2022年のセキュリティ動向

掲載:2022年01月17日

執筆者:執行役員 兼 プリンシパルコンサルタント 内海 良

コラム

昨年もセキュリティ業界ではいろいろな出来事がありました。なかでも、やはり最初にくるのは新型コロナの影響でしょうか。いよいよ新型コロナへの対応も3年目に入ります。新型コロナがもたらした新常態はセキュリティ業界にも大きな影響を及ぼしました。

昨年は各組織でテレワークが一層進み、ゼロトラストネットワークも一般的な概念として浸透し、取り組む組織も非常に増えています。また、テレワークなどの環境変化は、攻撃のつけ入る隙を常に模索し続けるサイバー攻撃者にとって格好の狙い目となりました。VPN機器・ソフトウェアの脆弱性を狙う攻撃やコロナ等に便乗したフィッシング詐欺、医療機関や大学の研究機関を狙った攻撃が激増した一年でした。

こうした2021年を経て、2022年にはどのような脅威が予測され、どのような対策を重要視すべきか、気になっている方もいるのではないでしょうか。本コラムでは、昨年のセキュリティ業界を振り返り、2022年の動向を予測してみたいと思います。

         

2021年のセキュリティ業界

2021年に最も大きな脅威となったのが、ランサムウェア攻撃です。Security Affairsがまとめた「The worst cyber attacks of 2021」では、2021年の経済的損失と業務の中断という観点から、以下のランサムウェア攻撃被害が取り上げられています。

  • 米CNA Financialに対するランサムウェア攻撃(2021年3月)
  • 米Colonial Pipelineに対するランサムウェア攻撃(2021年5月)
  • 米JBS Foodsに対するランサムウェア攻撃(2021年5月)
  • IT管理ソリューションKaseya VSAに対する大規模ランサムウェア攻撃(2021年7月)

特に、米国の石油パイプライン事業者Colonial Pipelineへの被害は世界中で大きく報じられました。暴露型(二重脅迫型)ランサムウェア攻撃は情報を詐取するとともに、データを暗号化してアクセス不可とし、身代金を払わなければ詐取した情報を公開、身代金を払えば情報は公開せず、暗号化したデータを復旧する複合キーを提供するという攻撃です。同社は「DarkSide」と呼ばれる暴露型(二重脅迫型)ランサムウェアの攻撃により、業務停止に陥りました。テキサス州からニュージャージー州に及ぶ同社のパイプラインは東海岸における石油供給の45%を担う大動脈であり、操業停止により米国東部の燃料不足が懸念される事態となりました。最終的に同社はサイバー攻撃者に対し、システム復旧の迅速化のために約400万ドル(約4億4000万円)の身代金を支払ったとされています。

これだけランサムウェアの攻撃が増えたのは、以前のばらまき型から標的型にシフトしたとともに、ダークウェブ上でRaaS(ランサムウェア・アズ・ア・サービス)が確立され、エコシステムとして確立されたことが大きいといわれています。サイバー攻撃集団も効率化を図っている証左です。

サイバー攻撃に加えて、システム障害も注目を浴びた一年でした。なかでも、度々発生したみずほ銀行のシステム障害は特筆すべきニュースです。本件は、金融庁が同行を監督下に置き、管理していくという異例の事態となりました。金融庁による業務改善命令の公表文 では「言うべきことを言わない、言われたことだけしかしない姿勢」などと叱責に近い内容が記載され、改めてシステム対応の体制やルールの整備、ツールの導入だけではなく、経営陣の責任として企業風土から変革する必要性が訴えられました。

簡単に思い返すだけでも、これだけのことが浮かんできます。サイバー攻撃からシステム障害まで、本当に様々な出来事があった一年でした。

2022年のセキュリティ動向予測

では、2022年はどうなるでしょうか?

あくまで予測ですが、テレワークを狙った攻撃、そしてランサムウェア攻撃などのサイバー攻撃の脅威は引き続き大きな脅威となり続けるでしょう。特にランサムウェアは暴露型(二重脅迫型)がさらに進化し、恐喝のみに焦点を絞った形に変化する可能性があるといわれています。またここ数年注視されているサプライチェーン攻撃も引き続き懸念されますし、ディープフェイクなどを活用した多要素認証を突破する攻撃も拡大するかもしれません。

とどまるところを知らない、複雑化・巧妙化が増すばかりのサイバー攻撃については、引き続きゼロトラストネットワークの構築と、サイバー対応レベルの可視化が重要視される一年になると予測しています。ゼロトラストネットワークの構築は数年がかりになるため、すでに着手した組織も継続して対応という形のはずです。サイバー対応レベルの可視化については、ガイドラインをベースラインとした対応状況が注目されると予測します。米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)やSP800-171が注目を浴びて久しいですが、それらグローバルスタンダードのガイドラインを用い、どれだけ準拠できているかが、セキュリティ対応の指標となると予測します。取引先にNISTガイドラインへの準拠レベルを報告するような取り組みも出てくるかもしれません。

また、システム障害についても、さらに重要視される一年となるのは間違いありません。昨年4月に内閣サイバーセキュリティセンター(NISC)が「政府機関等における情報システム運用継続計画ガイドライン」を約8年ぶりに改定しています。これらのガイドラインに従ってルール整備・見直しが進むとともに、ディスクの劣化状況などを検知してシステム障害を事前に予測する「障害検知ソリューション」や障害が発生した際の対応としての手順書の整備・見直し、システム障害に対応する演習のやり方についても大きな変化が起きるかもしれません。

これまでの演習は机上中心であり、システム切り替えまでは実際に行わない組織が多かったところ、もっと実践的な演習が求められるようになってくるはずです。それはシステム、データセンター、地域単位で起きる様々な規模の障害を想定した演習であり、実際にシステムをダウンさせ、切り替えのストレステストを行うものです。代表的なものは、米Netflixが実践しているカオスエンジニアリングや米Meta(旧Facebook)が行うStorm Drillです。国内でもいよいよこのレベルの演習の必要性が強く認識されてくるでしょう。

また、クラウドに依存する組織が増加するなか、MS365やGoogle Workspace、AWSやGCP、Azureなどのメガクラウドの障害が著しい業務停止をもたらす可能性があります。その対応としてマルチクラウド、分散クラウドの動きがさらに活発化するでしょう。クラウド選定については、日本版FedRAMPである、ISMAP制度が2020年から導入されています。このガバメントクラウドの動きも活発化するとともに、民間企業がセキュリティ対応を重視してクラウドを選定する動きもでてくるでしょう。

まとめ

2022年の予測をまとめると、サイバー攻撃やシステム障害への対応はより高度なレベルが求められ、さらには災害DR対応などもクラウド技術の浸透とともに見直されるでしょう。そして、サイバー攻撃や障害、災害などを個別最適で対応するのではなく、あらゆるリスクを内包した全体最適、いわば「デジタル・レジリエンス」への取り組みが活発化すると推測します。2022年は後々「デジタル・レジリエンス元年」と呼ばれることもありえる、と個人的には思っていますが、どうなるでしょうか。

今年も様々なセキュリティ対応が求められそうですが、インシデントで足を引っ張られることのないよう、気を引き締めて取り組んでいきましょう。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる