2022年は、サイバーセキュリティ業界に携わるすべての人にとって最も大変な年でした。年間を通じ、ランサムウェア攻撃は世界最大の脅威の一つとして存在し続けていたためです。国家支援型のサイバー攻撃からテクノロジー(Twitter)、医療(Medibank)、通信(Optus)といった企業での大規模なデータ侵害まで、2022年には悪意のある人物がネットワークに侵入し、サーバーを侵害し、ネットワークを水平移動して高価値のデータを見つけて窃取するあらゆる種類のハッキングが発生しました。

サイバー脅威の数が増え続けるにつれて、脅威を用いる攻撃者は人工知能(AI)と機械学習(ML)の高度な学習機能を使用し、攻撃はますます高度になっています。AIを悪用した脅威により、IT、セキュリティ、リスク、コンプライアンスのサイバー防御を強化する取り組みはより困難になっています。このような脅威の拡大により、企業や政府機関はポイントセキュリティソリューションから脱却し、ゼロトラストアーキテクチャーなどの変革的なセキュリティの枠組みを採用することで、ビジネスプロセス、アプリケーション、サービスを完全に統合してサイバー攻撃に対する包括的なセキュリティを実現することが求められています。

このブログでは、2023年のゼロトラストに関する10の予想を紹介します。

1. 複雑なサプライチェーンのセキュリティリスクの影響が継続して発生

高度に接続された現在の世界経済では、組織は日常業務の遂行に必要な物理的な製品およびデジタル製品のコンポーネントについて、自らのサプライチェーンに大きく依存するようになっています。さらに、地政学的リスク関連のサプライチェーンの新たな課題により、ハードウェア不足、コストの増加、ライセンスの変更、およびキャパシティーの制限が生じています。

このような問題の影響を軽減するには、セキュリティに対する総合的アプローチを採用する必要があります。これには、特定の時点でのサードパーティーの評価から離れ、インバウンドのパッケージソフトウェアやファームウェアコンポーネントにおけるサードパーティーのリスクと脆弱性のリアルタイム監視に移行することが含まれます。また、より強力なアイデンティティーとアクセス管理(IAM)機能を展開し、ゼロトラストアーキテクチャーの採用を加速することで、パートナーと従業員によるシステムやデータへの正規アクセスをより適切に施行し、侵害されたサードパーティーとのトランザクションによる影響を軽減する必要があります。

2. ゼロトラストは取締役会の議題に

リスクエクスポージャー(企業の評判、収益、成長)がサイバーセキュリティの最大の問題であることから、2023年には取締役会がサイバーセキュリティを最優先事項にすることが予想されます。取締役会はサイバーリスクへの備えについてより粘り強く、意識的に取り組むようになるでしょう。サイバーリスクに関して四半期または年に1回情報を共有するような体制であったとしても、企業と経営陣の活動の全分野にわたって定期的に検討するようになると見られます。取締役会は企業の備えに関するより深いレベルの知見を要求し、サイバー攻撃に対するサイバー保険の賠償責任範囲を絶えず評価することになります。

3. ゼロトラストの責任者の役職が出現

クラウドへの移行が進むにつれて、組織はセキュアデジタルトランスフォーメーションを推進するためにゼロトラストの採用を進めており、セキュアアクセスサービスエッジ(SASE)が好ましいアプローチとして注目されています。しかし、多くの組織では、ネットワークとセキュリティの責任が組織内のさまざまな分野に分散しています。そして多くの場合、これらの部門が各領域のさまざまなベンダーに依存しているという課題があります。ゼロトラストを実装するには、セキュリティ部門とネットワーク部門の間のサイロを解消し、ビジネス上の望ましい成果に合わせて適切なツール、製品、ベンダーを選択することが不可欠です。ゼロトラストの実装を求める圧力が高まるにつれ、ゼロトラストの責任者の役職が現れる可能性が高まっています。この役を担う人物は、ゼロトラストへの道のりにおいて組織を率いる責任を負うことになり、ネットワーク部門とセキュリティ部門をまとめ、ゼロトラストを実装するという共通の目標を実現することが求められます。

4. ハイブリッドワークに向けて一貫したZTNAが普及

最近の調査によれば、従業員の3分の1近くがフルタイムのリモート勤務を予定しており、別の27%は少なくとも一部はリモートで働くことになるだろうと想定しています。ハイブリッドワークがより一般的になるにつれて、ゼロトラストネットワークアクセス(ZTNA)ソリューションへの関心も高まると予想されています。境界に縛られないテクノロジーにより、コモディティ化の進んだインターネットのみでユーザーがオフィス、自宅、空港、ホテルなどからすべてのものにセキュアに接続できるモデルへの移行が加速すると見られます。これを達成するために、リモートワーカー、オンプレミスおよび支店の両方を保護するために、一貫したZTNAの採用がより検討されていくでしょう。これにより、すべてのユーザーへの一貫したポリシーが確保されるだけでなく、組織のコストが削減され、ゼロトラストを活用して場所を問わず働ける体制が実現します。

5. サイバー人材の不足が続き、組織内に最新のセキュリティ慣行を幅広く採用することが引き続き困難に

景気低迷がもたらす主な課題の一つは、サイバースキルギャップが悪化することです。経済の不確実性が2023年も増すことにより、多くの組織が新規雇用を中断するだけでなく、既存の従業員を削減することもあるでしょう。セキュリティの監視と分析ツール(多くがオープンソース)への投資が増えると予測されますが、これらのツールを最大限に活用するためには、その構成や用途についての専門知識を持つスタッフにも投資する必要があります。そのため、サイバー人材の不足により、当面の間新しいセキュリティ慣行を採用する上で大きな課題が生まれると予想されます。

6. セキュリティサービスのオーケストレーションフレームワーク(または同様のもの)の採用が増加

オンプレミスであろうとクラウドであろうと、エンタープライズITにセキュリティ制御をオーバーレイすることが困難であると感じる企業が増えています。製品がどのようなセキュリティ機能を持ち、それが特定の環境やサービスへ適用可能かどうかを把握することがより困難になっているのです。単一の機能やカバレッジを提供するニッチなウィジェットから、より広範なセキュリティプラットフォームまで、互換性がなく、サイロで運用され、管理に多くの専門リソースを必要とする統合されていないセキュリティツールで溢れかえっています。これにより、多くの場合にセキュリティギャップ、一貫性のないセキュリティポリシー、サイバー攻撃に対する脆弱性が増加します。

結果として、組織内の広範なツールからのシグナルを集約および合成する新しいセキュリティサービスフレームワークやアーキテクチャーの採用を検討することになります。これは、攻撃が発生した場合に備えて、最大限の情報に基づいたポリシーに関する決定を下せるようスマートなコンテキストを開発することを目的としています。これには、エンドポイント保護ソリューションのデバイスポスチャー、SIEMツール、脅威インテリジェンスフィードなどの統合により、セキュリティエンジンを継続的に強化し、リスク分析やポリシー施行を行うことも含まれます。

7. DevSecOpsがビジネスに不可欠に

APIの種類やアプリケーションの導入が増え続けるのに伴い、悪意のある攻撃者にとっての攻撃対象領域が拡大しています。組織は、俊敏性に影響を及ぼすことなく自社を効果的に保護するために、シフトレフト式セキュリティの採用を加速させ、DevSecOps手法の使用でアプリケーション配信プロセスへと自動化するようになります。シフトレフトではセキュリティをCI/CDパイプラインに移行させ、アプリケーション開発に統合します。この方法により、脆弱性やその他のセキュリティの弱点が本番環境に導入される可能性が最小限に抑えられます。最新の展開環境をサポートするAPI脅威検出、CNAPPなどのツールは、標準化とより深く階層化された防御を実現し、セキュリティを大幅に向上させます。

8. データを中心としたセキュリティとプライバシーは、ブランドと顧客の信頼の構築に不可欠に

組織の顧客エンゲージメントの72%近くがデジタル化されています。その結果、自らのデータに対する制御と組織のポリシーに関する透明性の強化を求める期待が顧客の間で高まっています。ただし、このデータを追跡し続けることは多くの組織にとって最優先課題ではなかったため、データはほとんど可視化されていません。そのため、多方面における信頼を勝ち取り、顧客体験とブランド認知を強化するための従来の方法を支えるメカニズムとしてデータのプライバシー、セキュリティ、コンプライアンスを重視することは、企業の喫緊の課題となっています。

9. 自動対応はサイバー脅威への回復力の高いビジネスの中核に

サイバー脅威の進化と同じペースで、組織に対するサイバー攻撃や、巨額の身代金請求も続くことでしょう。この増加に伴い、組織は状況認識、脅威ベースのセキュリティ監視、インシデント対応、危機管理慣行に引き続き多額の投資を行うことになるでしょう。ただし、ほとんどの組織はまだ人に過度に依存しているため、検出と対応が遅くなります。サイバーセキュリティの専門家がさらに不足していく中、侵害が成功した場合に受ける打撃はこれらの新しいテクノロジーを採用するリスクをはるかに上回るため、組織は完全自動化対応テクノロジーを優先することになります。これにより、従業員はより重要なセキュリティプロジェクトに集中できるようになり、サイバー脅威に対する回復力が向上します。

10. 製造およびその他の環境における運用技術(OT)への脅威が増大

製造やその他の環境における運用技術(OT)に対するサイバーセキュリティの脅威は、2023年に大幅に増加することでしょう。サイバー攻撃者は運用技術(OT)環境を武器にして、産業プロセスを制御し、OTネットワークをセキュアに保護するハードウェアとソフトウェアを攻撃します。熟練した労働力の不足とIT/OT環境の重複により、サイバーインシデントの封じ込めは困難になるでしょう。組織はサイバー脅威の特定、検出、防止対策を実装して、OTセキュリティリスクに対処する必要に迫られると見られます。具体的には、デバイスの可視性の向上、OTネットワークのセグメンテーションの実装、OTネットワークとITネットワークからのセキュリティ情報の緊密な紐付け、およびこれらの両方の環境に対処するセキュリティ対応プロセスの確立などの措置を講じることです。