最終更新日時:Tue, 12 Dec 2023 19:05:08 GMT
2024年に突入するという今、まさに最新のベストセラー推理小説を読み始めるような気分です。冒険が待ち受けていることはわかるが、プロットはまだなにもわからないからです。
紆余曲折なサイバーセキュリティの世界にいると、「デジタルの地平線上に何があるのか」と疑問に思わずにはいられません。だれもが2024年がサイバー脅威の面で「驚きの少ない」年であってほしいと願っていると思いますが、残念ながらそんなことはあり得ません。
来年は少なからぬ驚きに見舞われる年になるとは思いますが、備えることはできます。そこで、2023年に得たいくつかの洞察と、来年に備えるための方法を紹介しようと思います。
予測1:ランサムウェアの攻撃者がゼロデイを焼き尽くす
RDP(リモート・デスクトップ・プロトコル)はち長期にわたって、ランサムウェア・グループの最初の侵入経路として採用されてきました。しかし、MOVEitとSysAidのキャンペーンにより、この点に変化が生じつつあることがわかります。
Rapid7は、ランサムウェアグループによって悪用されるゼロデイ脆弱性の数が増加していることを確認しており、この傾向が衰えることはないでしょう。ランサムウェアの攻撃者は簡単な標的しか狙わない考え方は忘れれた方がいいでしょう。彼らは今、ゼロデイ脆弱性を大規模に悪用しようとしているのです。
この傾向は、未知の脆弱性を悪用して被害者ネットワークへの足がかりを得るために必要な、高度なスキルを持たない犯罪グループの存在を示しています。これは、ランサムウェアのエコシステムにおいて、何らかの変化が起こっていることを示唆しています。私たちがみなさんにお伝えすべきことは非常にシンプルです。まずは脆弱性管理とパッチの適用手順を整え、今すぐ実行することです。また仮に脆弱性が悪用され始めている場合には、積極的な対処が不可欠です。
予測2:サイバーリスクと脆弱性の開示は、より良いリスク管理の実践に向けた統合につながる
サイバーリスク管理の実践とインシデントに関するコンプライアンスの増加や、サイバー攻撃における強力なツールとしての生成系AIの出現、ランサムウェアの増加、サイバーリスクに関する共通言語の欠落などにより、企業が自社のリスクプロファイルを決定したり、リスクに対処するために必要なツールやサービスを検討するために必要となる時間がますます増えています。
つまり、組織のリーダーたちは、コンプライアンス・リスクの軽減に取り組みつつ、サイバー・リスク管理戦略を立案していく必要があるのです。あるいはどちらか一つという選択を迫られる場面もあるかもしれません。この課題を、システムに関するリスクを議論し始める良いタイミングと捉えられるビジネスリーダーたちは、コンプライアンスの追いかけっこに足を救われるのではなく、ビジネスのリスクに対する戦略的ビジョンに対する投資機会と捉え、ビジネスを成功に導くことでしょう。また、このようなリーダーを擁する組織は、サイバーリスク管理やサイバーインシデントへの対応と手続きの開示に関するグローバルな要件にも対応できるでしょう。 情報開示が増加することで短期的なベストプラクティスの策定につながるとは言えませんが、長期的にみて、サイバー情報開示やリスク管理の実践に関するベストプラクティスの統合が進んでいくでしょう。
同時に政府も、ベストプラクティスや製品の安全性の調和を無視したコンプライアンスの導入を続ければ、モグラ叩きのようなコンプライアンスによるリスク軽減から、リスク管理にインセンティブを与える方向への切り替えのタイミングを見つけるのに苦労することになるでしょう。コンプライアンスがより包括的になればなるほど、不注意にも業界をより統合された構造へと向かわせる可能性があるのです。
予測3:グローバルな官民サイバーパートナーシップにおけるリアルタイム情報共有の拡大
2024年、コンプライアンス界隈は間違いなくゴタゴタするでしょう。
この新たなパートナーは、サイバーリスク軽減に取り組むために必要なツールの複雑さを増し、より強固でグローバルな官民パートナーシップにつながるでしょう。2024年には、グローバルなサイバーセキュリティのフラッシュモブのようなものが見られるかもしれません。サイバー脅威やサイバーリスクに関する通常の脅威インテリジェンスを共有するだけでなく、政府と企業が手を携えて脅威インテリジェンスやリソースを共有し、特定の脅威に対処するために集中的に防御を強化することになるでしょう。最終的には、四半期ごとの会議という歴史的なPPPを越えて、最初の侵入ベクトルから最終段階のペイロードまでのタイムラインの減少に対処するため、よりリアルタイムの共有アプローチへと移行します。
より行動志向のパートナーシップが、能力とサイバー防衛を強化するかどうかは 興味深いです。このようなアプローチを成功させるためには、「情報共有」のメンタリティと開かれたコミュニケーションのドアが築かれなければなりません。
予想4:曇りのち晴れのち雨
クラウドは今後も重要なサイバー戦争の舞台であり続けるでしょう。そして来年、新たに懸念されるのは、商用クラウド・サービス・プロバイダー(CSP)の悪用です。なぜなら、サイバー犯罪者はもはや既知のコマンド・アンド・コントロール・サーバーに頼るのではなく、悪意のあるコンテンツをホストするための隠れ蓑として商用CSPに目を向けているからです。
これは巧妙な傾向であり、攻撃者がクラウドの匿名性と合法性を悪用し、合法的なサービスに自分たちの活動を紛れ込ませるという、かくれんぼゲームに帰結します。この脅威と戦うには、クラウドにおけるAIや高度な自動化技術を活用するような、より革新的なソリューションが必要です。組織は、クラウド環境全体で高度なリスク・スコアリングを行い、セキュリティ・チームが死角をなくす完全な可視性を得て、効果的に改善措置の優先順位をつけられるようにすることが必要です。
予測5:AIと自動化はテーブルの上の杭になる
予測4で述べたように、AIと自動化におけるイノベーションは、増え続ける攻撃に効果的に対処することを約束しています。脅威インテリジェンスはあくまでも脅威インテリジェンスであって、それで何かを行うことは全く別の事柄です。そこで、より自動化された対応が重要になってきます。AIが登場し、より高度な自動化技術が実現すれば、検知や修復、予防の大部分は自動的に行われるようになるでしょう。
しかし、先走りは禁物です。一部のソリューションの市場投入を急ぐことは避けられないことであり、AI機能の中には的外れなものも出てくることを意味します。したがって、AIソリューションを採用する組織は、新たなサイバー・リスクをもたらすことなく、サイバー耐性を真に向上させることを保証しなければなりません。
来年、AIのユースケースとして増加するのは、AIの合成メディア(つまりディープフェイク)とID管理の利用です。政府は、バイオメトリクス技術と合成メディアという問題のあるユースケースの間の厄介な空間をナビゲートするという課題を抱えることになり、一方、企業はアイデンティティとアクセス管理でリスクを管理する方法を理解しなければなりません。
2024年に備えよ
以上、2024年のサイバー業界を俯瞰してみました。しかし、例年通り、新しい年には多くの変化、進化、変容が起こるでしょう。いずれにせよ、実務者は常に注意を怠らず、警戒を怠らず、レジリエンスを目指さなければなりません。皆様にとってより備えのある、より安全な、よりストレスの少ない2024年であることをお祈りします。
2024年に対するRapid7の考えについては、「サイバーセキュリティのトップ予測」ウェビナー(英語版)をオンデマンドでご覧ください。
※本ブログは英語版ブログ "Peeking into the crystal ball: What 2023 cyber threats told us about 2024" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。