2024年のセキュリティ動向
掲載:2024年01月24日
執筆者:執行役員 兼 プリンシパルコンサルタント 内海 良
コラム
2024年が始まりました。本コラムでは、昨年のデジタル・セキュリティ動向を踏まえ、今年がどのような年となるか、予測してみたいと思います。
2023年は、一言で言うと生成AIに尽きるのではないでしょうか。OpenAI社が2022年末にChatGPT(GPT-3.5)を公開して以降、世界中で大きな反響を呼びました。またセキュリティ業界で言えば、相変わらず二重脅迫型ランサムウェアの猛威が継続し、名古屋港などのインフラが停止する事態は社会インフラに混乱をもたらし、大きく各種メディアでも取り上げられました。また、ブロック経済が進み、経済安全保障の流れでセキュリティ確保を求められる組織が増加しています。
こうした2023年を経て、2024年にはどのような脅威が予測され、どのような対策を重要視すべきか、気になっている方もいるのではないでしょうか。本年最初のサイバー/デジタルリスクNaviコラムである今回は、昨年のデジタル・セキュリティ業界を振り返り、2024年の動向を予測してみたいと思います。
2023年のデジタル・セキュリティ業界
2023年は、やはり生成AIが席巻した年と言えるでしょう。
OpenAI社がChatGPT(3.5)を公表したのが2022年末。人間が違和感を覚えず回答ができるこの生成AIは、世界中で大きな反響を呼びました。
私もすぐに衝撃を受けた一人です。
最初に使った際、自分が飼っているペットを題材に「クロという名前の猫が主人公の楽しい小説を1,000字くらいで書いて」と指示して、あっという間に書き上がった時の驚きは忘れられません。
以降、Google社が「Code red(非常事態)」を宣言したり、イーロン・マスクが生成AIの開発に警鐘を鳴らしたり(後日自身も開発に着手しましたが……)、ChatGPTの革新性を脅威とする反応が各所で示されました。その後、GoogleがGemini、マイクロソフト社がChatGPTをベースにしたCopilot、MetaがLlamaを公開、ソフトバンクやNTTなども国産LLM(大規模言語モデル)の開発に乗り出しました。
この流れはさっそくセキュリティ業界に影響を及ぼしました。
ChatGPTはAIがデータを学習することから、企業はこぞってChatGPT利用に伴う情報漏洩対策に乗り出し、マイクロソフト社が提供するAzure OpenAIを導入するなどの動きが活発化しました。
ChatGPTのアカウントを狙った攻撃も出てきたと思えば、「WormGPT」という非倫理的な依頼に応えるサイバー攻撃用生成AIが出現するなど、サイバー攻撃での利用においても拡大しました。世の常ですが、やはり良い面も悪い面も出てきています。
またランサムウェアの被害も相変わらず継続した一年でした。ランサムウェア被害はここ数年高止まりと言ってよく、国内外で様々な被害が発生しています。なかでも、名古屋港の港湾コンテナターミナルの管理システムがランサムウェア攻撃により停止した事例は2023年を振り返るうえで必ず思い起こされるインシデントでした。総取扱貨物量で日本一を誇る港湾がサービス継続できなくなったことで、経済活動に広く影響を及ぼしました。
このインシデントをきっかけに、経済安全保障の対象となる基幹インフラ事業者※の対象に、港湾を加える議論も行われています。
※電気通信、放送、金融、航空、空港、鉄道、電気、ガス、水道、貨物自動車運送、外航貨物、クレジットカード、石油、郵便の14業種
この基幹インフラという定義が生まれた背景にあるのが経済安全保障推進法です。
本来の防衛という物理的な側面が強かった安全保障の考え方が、情報戦という背景から経済分野まで裾野を広げています。例えば武器に転用できる可能性のある重要技術や、漏洩した場合に大きな損失となる特許情報に対し、国をあげてセキュリティを確保する法案が成立しました。
ランサムウェアグループ「CL0P」が世界8000社以上からデータを窃取したり、中国国家が支援するとみられるハッキング集団「Volt Typhoon」がインフラ事業者を標的として情報を盗んだりと、重要なデータを巡る攻撃は高度化する一方です。
日本に先行して、欧米では国独自のセキュリティ強化に乗り出し、米国では政府と取引する企業に対しNIST SP800-171をベースとしたCMMCというセキュリティ制度、英国では、Cyber EssentialsやCyber Assurance制度を強力に推進しています。
簡単に思い返すだけでも、これだけのことが浮かんできます。生成AIを筆頭に、10年後に振り返ってもとても印象深い年になることが想定される一年でした。
2024年のデジタル・セキュリティ動向予測
では、2024年はどうなるでしょうか?
端的に言うと、良いことも悪いこともこれまでの10倍になると思っています。
AIの活用で言えば、Copilotに代表されるように、自動化が進み、いわゆる「一人情シス問題」の解決策の大きな光になるでしょう。
しかしながら、これだけIT技術に依存してきた我々がさらに生成AIに依存する形になるのですから、AIが大きな混乱をもたらすこともあるでしょう。
2024年の世界動向で言えば「選挙イヤー」です。
すでに台湾総統選挙は終わり、今後はなんといっても米国大統領選挙があります。ロシア、ウクライナ、フィンランド、ベラルーシなどの戦争当事国及び周辺国でも選挙があります。他にも、インド、韓国、インドネシア、リトアニア、ジョージアなど世界各地で選挙が予定されています。
ここにAIが絡んでいき、ディープフェイクが本格的に問題を起こすのではないかと思っています。
岸田首相のチープなフェイク動画が出回ったのは記憶に新しいですが、GPU機能の高度化に伴い、ほぼリアルタイムで顔や声を偽造した見分けのつかないフェイク動画が出回る可能性があります。
それによって投票結果に影響を及ぼし、大きな問題になるかもしれません。
G7や各国で生成AIの規制について論じられていますし、3月には我が国でもAI事業者ガイドラインが公表される見込みですが、広く活用していく流れは止められないでしょう。
また先に取り上げた経済安全保障推進法に関し、5月までに210の事業者が対象となり、サイバーセキュリティに対する対策状況の届け出が義務化されます。サプライチェーンの流れで210事業者以外も対象となり得るので、関係ないと思っていた企業にも影響が出てくる可能性があります。
また、サプライチェーン企業に影響が及ぶ観点で言えば、これまでセキュリティ調査票を取引先に送付して回答してもらう、受け取った企業はその内容を信用するしかないという、いわば「性善説」に基づくセキュリティチェックの対応が一般的でした。しかし今後はこの商習慣にもメスが入ると予測しています。
経済安全保障の流れもあり、SBOMによるソフトウェアのモジュール管理や、セキュリティレーティングサービスやASM (アタックサーフェスマネジメント)ツールのスコアを共有することで信用を得るなど、これからは取引先のセキュリティ評価では、客観的な指標が重用されるでしょう。
サプライチェーンのセキュリティのあり方が大きく変わる元年になるのではと思っています。
経済安全保障はいわば国が先導してインフラや機密データを守っていくことです。
その意味では、個人情報保護の観点ではデータの越境移転を制限する国・地域が格段に増えていますが、同様にサプライチェーンも含めて機密データ(個人情報に限らない、多様な重要情報)を守る必要性が一層強まるでしょう。
まとめ
2024年の予測をまとめると、あらためて良いことも、悪いことも激増するのではと思います。
その分、生成AI利用のガバナンスや、サプライチェーンも含めたサイバー攻撃への対応はより高度なレベルが求められていくことが想定されます。
今年も様々なセキュリティ対応が求められそうですが、インシデントで足を引っ張られることのないよう、気を引き締めて取り組んでいきましょう。
おすすめ記事
- サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (前編) ~CMMC1.0とは~
- サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (後編) ~CMMC2.0とは~
- SBOM
- アタックサーフェス
- 「NIST SP800-171」CUIの厳格管理でサプライチェーンリスクに備える
- 欧州AI法案
- AI Risk Management Framework (AIリスクマネジメントフレームワーク、AI RMF 1.0)
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- サプライチェーン攻撃
- ランサムウェア被害件数は高止まり、2023年上半期の「サイバー空間をめぐる脅威の情勢等について」を公表 警察庁
- 「サイバー空間における脅威の概況2023」を公表 公安調査庁
- 攻撃対象領域管理(ASM、Attack Surface Management)の導入ガイダンスを公表 経産省
- AI事業者ガイドライン案の意見公募や新組織「AIセーフティー・インスティチュート」の立ち上げ間近 政府
- 脆弱性の把握に有効、「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0」を公開 経産省
- NIST SP800-171「Rev.3」を正式に発行 NIST
- 重要経済安保情報保護・活用法と改正経済安全保障推進法を公布 政府
- グローバルCBPR(越境プライバシールール)システムの6月稼働に向けてガイドラインなどの文書を公開 グローバルCBPRフォーラム
- 国家が背景にあるグループによるサイバー攻撃の脅威の緩和に向けて、国際ガイダンスに署名 NISC/警察庁
- 「Risk Management Framework (RMF) 中小企業向けクイックスタートガイド」(NIST SP 1314)を公表 NIST
- 米・英・独・豪におけるクラウドサービス評価制度の実施状況調査結果を公開 IPA