トップサイバーインフルエンサーが語る2025年以降のサイバー未来予想図
今年もほぼ終わりに近づいてきました。2021年も、サイバーセキュリティの世界では、多くのニュースがあり、その中でも著名なランサムウェアギャングを巻き込んだSolarWinds社、Kaseya社、Colonial Pipeline社などが、トップレベルのサイバー攻撃として今後も記憶に残ることでしょう。サイバー脅威は拡大を続けており、病院、石油·ガス産業、交通機関などの主要な重要インフラに影響を与えています。私たちは、今年1年を振り返るだけでなく、今後5年、10年の間に私たちが直面するサイバー脅威について真剣に考える必要があります。
そこで私たちは、業界で最も影響力のあるオピニオンリーダーたちに、2025年から2030年までの予測を聞いてみました。その結果、以下のような意見が寄せられました。
予測:「Securing Blockchain, Crypto and the Metaverse (ブロックチェーン、暗号、メタバースの確保)」:マーカス·J·ケアリー、ReliaQuest社エンタープライズアーキテクト、「Tribe of Hackers 」の著者
予測:「サイバー保険へのシフト、サイバー犯罪のマーケットプレイスの増加、AIによるSOCチームの補完」:ダニエル·ミースラー、ロビンフッド社 脆弱性管理·アプリケーションセキュリティ部門責任者
予測:「キルウェアの増加とドローンによる遠隔操作の戦争」:、デブ·ラドクリフ、サイバーリスク·アライアンス戦略アドバイザー、「Breaking Backbones. Information is PowerBook I of the Hacker Trilogy」の著者
予測:「Cyber Wakeup Calls Ignored & The Need for More Cohesive Security Strategies」(サイバー·ウェイクアップ·コールは無視され、よりまとまったセキュリティ戦略が求められる):アイラ·ウィンクラー、「You CAN Stop Stupid: You CAN Stop Stupid: Stopping Losses from Accidental and Malicious Actions」の著者
また、Deep Instinct社の共同設立者であるCEOのガイ·カスピとCTOのナダブ·ママンの予測も交えて、深層学習がサイバー脅威対策にどのように役立つかを理解しました。ここでは、専門家が共有した内容をご紹介します。
#第1回:サイバーテロと悪意のあるAIの増加
ガイ·カスピ、Deep Instinct社CEO兼共同創業者
私は、サイバーという手法を用いて力を行使するテロ組織が世界的に増えると考えています。現在、テロ組織はまだ情報戦に主眼を置いており、DDoSや汚損などを行っています。しかし、サイバー技術が徐々に浸透していく中で、重要インフラや交通機関、医療機関などへのサイバー攻撃がテロリストによって行われるようになるのは、決して遠い未来の話ではないと思います。これは、脅威のレベルと幅という点で、新しいボールゲームになるでしょう。AIや従来のMLがコモディティ化している今、敵対的なAI技術は検知回避のためだけではなく、あらゆるレベルの攻撃者が採用することになると思います。AIのツールや能力を活用することで、攻撃者は攻撃の規模、成功、効果を向上させることができるでしょう。
#第2回:ブロックチェーン、暗号、メタバースの安全性確保
マーカス·J·ケアリー、ReliaQuest社エンタープライズアーキテクト、「Tribe of Hackers 」の著者
今後5~10年の間に、ほとんどの企業が暗号による支払いを行うようになると思いますが、詐欺師が企業の暗号財布を狙うようになるため、人々はこれらをよく理解する必要があります。サイバーセキュリティの専門家は、ブロックチェーンで活動するためにWeb3に軸足を移す必要があります。ディズニーやマーベルのような企業は、人々が買いたいと思うようなIPを持つNFTを持っているでしょう。
それと同じように、攻撃者はビットコインや暗号通貨を活用したランサムウェア攻撃で、すでにWeb3で活動しています。実際、攻撃者は以前から暗号に超精通していますから、ブロックチェーンを通じて、暗号通貨の領域で悪質な行為者を脅して特定する必要があります。企業が暗号通貨を受け取っている場合、攻撃者はこれらのウォレットにアクセスしようとします。私たちは現在、銀行に現金を持っているかもしれませんが、近い将来、これらのデジタルウォレット(ホットウォレットとも呼ばれる)は、コンピュータ上に住んでいるため、そこから通貨を盗み出すことを目的とした攻撃者の主要な標的となるでしょう。なぜコールドウォレットが重要なのかというと、攻撃者はネットワーク上のホットウォレットを探すので、人によってはコールドウォレットを貸金庫に保管しておきたいと思うかもしれません。
量子暗号や量子コンピューティングの領域では、主要なアルゴリズムが破られることが見えています。また、ブロックチェーンに大きな脆弱性が発生するなどの大事件も考えられますね。今は暗号が強いのでブロックチェーンは安全ですが、今後5年間でこれを破る人が出てくるでしょう。復旧もそうですが、このようなことが起こることも想定しておくべきでしょう。
本当にサイバーではイノベーションは死んでいると思います。将来的には、インシデント対応や管理を外部に委託するマネージドディテクション&レスポンス(MDR)という形で、サイバー業界全体が崩壊していくと思われます。MDRは今後も続くでしょうし、多くのサイバー企業がソフトウェアやMDRの共同管理を提供するでしょう。残念ながら、企業は多くのサイバー製品を購入しましたが、それらを管理することはできず、助けを必要としています。そのため、MDRやXDR(Extended Detection and Response)が主流になると思われます。
最後に、サイバーセキュリティ関係者は、Web3テクノロジーへの適応や注目が遅れています。私は、サイバー担当者に、メタバース、Web3、暗号に関わることを勧めます。あなたのFacebookは、Facebookの友達と一緒に仮想現実になります。信じられないかもしれませんが、人々はすでにWeb3で不動産を建設して販売していますので、セキュリティ担当者は注意を払い、この新しい世界に適応する必要があります。ほとんどの企業もWeb3に参入することになるでしょう。例えば、Nikeはデジタルシューズを操作するための特許/商標を取得しました。車のブランドも同じように、コンセプトカーをメタバースでデザインし、運転するようになるでしょう。このようなイノベーションが目前に迫っている今、私たちは準備をしておく必要があります。
#第3回:機械学習の適応、MFAのバイパスとEDRの欠点
ナダブ·ママン、Deep Instinct社 CTO兼共同創設者
今後数年のうちに、機械学習の適応が攻撃の現場で広く利用されるようになるでしょう。特に、電子メールを利用するとは限らず、複数の異なるアプリケーションを利用する組織のユーザーを標的とした高度なフィッシング攻撃に利用されるでしょう。攻撃者は、ソーシャルネットワーク、ブログ、フォーラムなどのクローラーに基づいて、組織の従業員のマッピングを構築することに多大な努力を払い、機械学習を簡単に使用することで、複数のエリアのユーザーを対象とした、より強固でターゲットを絞った成功するキャンペーンを構築し、多くの素晴らしい結果を出すでしょう。
また、次世代の認証回避メカニズムも登場するでしょう。現在、多要素認証(MFA)が広く採用されており、GoogleがGmailアカウントに必須と定義する予定であることから、ハッカーは戦略的資産にアクセスするために、ユーザーのモバイルデバイスにアクセスしなければならなくなるでしょう。このような標的型攻撃を行うためには、モバイル端末を攻撃することがより価値のあるものになるでしょう。
攻撃者の高度化により、組織は人間が脅威を狩ることができなくなり、その複雑さゆえに、複数のシグナル(デバイス、ユーザー、ネットワークなど)で組織全体を横断的に見るAIベースのサイバー分析が必要になりますが、これは現在どのベンダーも提供していません。このような膨大な量のデータを複数のデータソースで扱うために必要なアルゴリズムのレベルは、今後も最重要課題として取り組んでいきます。
EDRがランサムウェアの攻撃に対する良いソリューションではないことは、中堅企業や大企業でもいつかは気づくと思います。TCO(総所有コスト)や運用上のダメージ、特にブランド認知度への影響を考えると、企業は予防に重点を置き、より積極的にこれらの脅威に対処するようになるでしょう。ランサムウェアのような特定の脅威が、さらに5~10年先まで議論されるということはありえません。
#4:サイバー保険へのシフト、サイバー犯罪マーケットプレイスの増加、AIによるSOCチームの補完
ダニエル·ミースラー、ロビンフッド社 脆弱性管理·アプリケーションセキュリティ部門長
将来的には、サイバーセキュリティの状況は、保険や会計のような必然的な目的地に向かっていくと考えています。分かっています。セキュリティには常に魔法がかけられていて、刺激的ではありますが、安定性や予測性はありません。企業は、すべてのリスクをビジネスリスクにするために、セキュリティによる安定性を必要としているのです。そのため、サイバー保険の導入や、セキュリティ状態の継続的なテスト、大災害からの復旧能力の継続的な検証などが期待されます。
敵は今後も進化し続けるでしょうが、その能力向上のほとんどは連携によるものです。最近のランサムウェアの影響は、より優れたハッキングやより優れた攻撃によるものではなく、ツール、被害者を見つける方法、支払いを受ける方法などを備えた脅威アクターの統合によるものです。-- そして、それらすべてがマーケットプレイスとなったのです。今後も同じことが繰り返されるでしょう。
驚きもあるでしょうが、未来のことなので何とも言えません。積極的な攻撃が原因ではなく、おそらくシステムの規模が大きいために、主要なインフラの可用性にますます大きな影響が出ることが予想されますね。例えば、AWSへの攻撃や停止はインターネットを揺るがすものですが、人々はこのような事態を見たことがないという理由で予想しません。
AIがSOCアナリストに取って代わることはないと思います。確かに、AIはSOCアナリストの仕事をより多く引き受けるようになり、人間ができることの多くをこなせるようになりますが、最終的には機能的にTier1からTier2のアナリストになるでしょう。そして、それを大規模に行うことができるようになり、それが本当に重要なことなのです。しかし、このような実装には、人間の監督を必要とする多くの欠陥があります。そのため、当面の間、SOCアナリストの分野で人間が解雇されたり、採用されたりすることはないでしょう。むしろ、AIは人間がすでに持っているものを補完するものだと考えられます。
#第5回:キルウェアの増加とドローンによる遠隔戦
デブ·ラドクリフ、サイバーリスク·アライアンス戦略アドバイザー、「Breaking Backbones: Information Is Power. Book I of the Hacker Trilogy」の著者
今後5~10年の間に、ドローンを使った遠隔地での戦争が増加し、ドローンの信号や制御に関する新たなハッキングの可能性が出てくると考えています。軍隊でもすでにこうした技術を活用し始めています。これらが大量破壊兵器になれば、悪人がビジネスを収益化したり人質にしたりするための次の手段になるでしょう。私のサイバー·スリラー「Breaking Backbones: Information Is Power. Book I of the Hacker Trilogy」には、このような要素がたくさん含まれています。また、スマートな自動運転車(これも私の著書の中に出てきます)や医療機器など、人を殺したり物理的に傷つけたりするために使われるスマートデバイスに対するキルウェアが増え、新たな時代を迎えていると考えています。悲しいことに、ランサムウェアの運営者は、人を殺していても気にしません。
ランサムウェアにはぜひとも終焉を迎えてほしいと思います。犯罪者は、データを流出させ、身代金を支払った後に契約を反故にし、同じターゲットを何度もリハックすることで、自らの足を撃っています(トリプルエクストーション)。私は最近、LinkedInでアンケートを実施しましたが、回答者の80%が、身代金を支払った後もデータが自分に不利になると分かっていたら、支払わなかったと答えています。言うまでもなく、複数の暗号キーを支払わなければならない場合もあり、それらは現在、世の中に出回って転売されています。身代金の支払いを禁止する新たな法律が制定されれば、人々は身代金を支払うことをやめ、悪者の収入は途絶えてしまうでしょう。もう1つの驚くべきことは、一般の人々に対して行われてきたあらゆる誤報キャンペーンが統合されることです。中国は現在、グローバルなスパイ活動を展開しており、地球上のすべての人間に関するあらゆるデータを収集していますが、最終的には中国がインターネット全体を支配しようとする可能性があります。
マーケティング担当者が好んで使うデジタルトランスフォーメーションという言葉は、実際にはクラウドへの移行を促す大げさな流行語に過ぎず、パンデミックやリモートワークのために時期が早まったものです。開発者が独自のクラウドネットワークを構築しているため、リークバケットなど、クラウド上でハッキングされるアプリが増えています。今後、攻撃者が最も注目するのはクラウドでしょう。その結果、サプライチェーンはより頻繁に影響を受けることになるでしょう。最後に、ほとんどのハッカーは善人であり、悪人は悪人であることを明確にしておきたいと思います。ハッカーは悪者という評価に値しません。
#第6回:無視されるサイバーウェイクアップコールと、よりまとまったセキュリティ戦略の必要性
アイラ·ウィンクラー、「You CAN Stop Stupid」の著者。kyline Technology Solutions社のCISO
今年の初めに起きたコロニアル·パイプラインへの攻撃を見て、我々は自問する必要があります。この攻撃は、Code RedやNimda、さらにはMorrisワームとなぜ違うのか?いわゆる「警鐘」となるようなインシデントがあったにも関わらず、なぜ誰も目を覚まさなかったのか?私たちは、「目覚まし」と呼ばれるようなランサムウェアの攻撃に対して、常にスヌーズボタンを押し眠り続けています。コロニアル·パイプラインは、WannaCryの被害に比べれば、私たちのお尻についたニキビのようなものでしたが、誰もWannaCry のことはもう覚えていないようです。ガス不足は、WannaCryの影響でイギリスの病院が閉鎖されたことに比べれば、何でもないことでした。ランサムウェアは、結局のところ、Morrisワームと同じなのです。いわば革命的な新手の攻撃ではなく、単なる進化であり、利用可能な技術を利用してマルウェアを洗練させていくだけのことなのです。
問題は、この20年間、「ユーザー問題」を解決する方法が完全に停滞していたことです。人間が「ヒューマン·ファイアウォール」になるという馬鹿げた言い方をしています。人間が最後の防衛線であるならば、リーダーとしては解雇されるべきです。SolarWinds社のハッキング事件は、「インターン」が誤ったパスワードを設定したために起こったものなので、多くの人がユーザーの問題であると考えようとしました。しかし、たった1つの不適切なパスワードのために、セキュリティ体制全体が崩れてしまうようなことがあってはなりません。このような攻撃を未然に防ぐためには、より強力なセキュリティ戦略が必要なのです。
私の著書「You CAN Stop Stupid」のタイトルにある「Stupid」とは、「愚かな行為を止めることができる」という意味です。「You CAN Stop Stupid: Stopping Losses from Accidental and Malicious Actions」のタイトルにある "Stupid "とは、ユーザーが損失を被る可能性のある行動をとることを認識せず、潜在的な損失を予測して軽減しない、愚かなセキュリティ専門家のことを指しています。私たちは、ユーザーが攻撃を防ぐという考えから脱却する必要があります。私は、ベンダーに誘導されたおしゃべりから脱却し、単なるバズワードではなく、まとまりのある安全な環境(潜在的にはゼロトラスト)を作る動きを見たいと思います。サイバーセキュリティの世界では、ユーザーエラーに対処しなければならないのは自分たちだけだという、雪の結晶のような態度があります。安全科学など他の分野を見てみると、ユーザーが怪我をするなどして損失を出した場合、それはシステム全体の故障となります。戦術で問題を解決するのではなく、より優れた、よりまとまったセキュリティ戦略で問題を解決することは、予測というよりも希望に近いと思います。
サイバー·ドゥームズデイなどの可能性について、私が考える現実は次のとおりです。将来、何らかの形で大規模なサイバー攻撃が行われる可能性があります。誰かが送電システムに侵入して悪さをすることはあるのでしょうか?あり得ます。しかし、人々はレジリエンス(回復力)があることも認識する必要があります。今後5~10年の間に、私たちが石器時代に逆戻りしたり、「デジタル·ハルマゲドン」が起こるとは思いません。
未来への備え
未来を予測することが無駄であることはわかっていても、準備をすることは無駄ではありません。一面のニュースにならないようにするために、企業には実現可能な手段がたくさんあります。2022年に向けて、私たちが直面している課題は数多くありますが、1つ確かなことは、サイバーセキュリティの重要性が年々高まっているだけでなく、今後もずっと続いていくということです。そして、AI/機械学習、暗号、メタバース、Web3など、技術革新が進むごとに、サイバー脅威対策技術も同様に急速に革新していく必要があります。このような業界の有力者や専門家と比較して、皆さんの予測をぜひお聞かせください。