2021年上半期はサイバーセキュリティ市場の記録的な年。

www.etftrends.com

 

2021年上半期は、サイバーセキュリティ市場の記録的な年であることが、上記の記事で紹介されています。また、2021年上半期のサイバーセキュリティ市場では、593の事業活動があり、その総額は510億ドルに達するということが報告されている。この要因としては、ランサムウェアの攻撃によるものが大きく、ランサムウェアの攻撃が前年比で148%増加している。日本でも警察庁調査では、ランサムウェアによる被害が半年で3倍になっている(https://www.nikkei.com/article/DGXZQOUE075E90X00C21A9000000/ 2021年9月9日)。今後も、サイバーセキュリティ市場は伸びそうな感じがしている。

 

 

セキュリティ才能(人材)を探す

サイバーセキュリティにおいて、基本的な脆弱性管理を理解している適切なスタッフを見つけて採用するというのが大事ではあるが、ほとんどの企業・組織は、サイバー攻撃の脅威の状況が、人材の採用活動よりも速く進化し続けているため、採用プロセスのどこから始めればよいかわからない。

そのため、ほとんどの企業・組織は、人材の穴埋めとして、サイバー攻撃対策ツール、ソフトウェア製品だけに依存している。しかし、ソフトウェア製品だけに依存しているのでは、脅威からは守れず、ソフトウェアを実行および管理するための適切な訓練を受けた人を採用するか、スタッフ教育を行う必要がある。

多くのセキュリティ監視ツール導入で混乱。

venturebeat.com

 

海外のサイバーセキュリティ関連の記事をチェックすると、「Enterprises struggle with security monitoring ‘tool sprawl’(企業はセキュリティ監視のツールの無秩序な増加」に苦しんでいます)」という記事が公開されていた。

記事内では「企業が導入しているセキュリティ監視ツールは平均で29個あり、セキュリティオペレーションセンター(SOC)が、警告の優先順位を決めたり、サイバーリスクを効果的に管理したりする上で複雑な問題になっている」ということが報告されている。複数のセキュリティ監視ツールを導入しないと、脅威に対応できないということか。これらの監視ツールを、AI(人工知能)や機械学習を活用して、複雑になっている取り組みを、もっとシンプルに取り組めるようになればよいと考える。

 

生体認証は必ずしも安全とは言えない。

生体認証は「なりすまし」のリスクが低く、元データのコピーが難しいですが、必ずしも安全かというとそうではない。

民間が販売している3Dプリント機器と、ユーザーの指紋をスキャンするだけで、指紋読み取りシステムを欺くことができる指紋を、3Dプリントで製作できる。

十分なリソースを持つ、サイバー犯罪(攻撃)者であれば、生体認証を欺くための指紋クローニング技術を開発できてしまう。

世の中に生体認証が提供された一方で、生体認証を欺く新しいタイプの攻撃の可能性があるということを、認識しなければいけない。

サイバー保険料、攻撃が急増するにつれてコストが急騰する

searchsecurity.techtarget.com

 

サイバーセキュリティ関連の記事を閲覧していると「Cyber insurance premiums, costs skyrocket as attacks surge(サイバー保険料、攻撃が急増するにつれてコストが急騰する)」という記事が公開されていた。

ランサムウェアなどのサイバー攻撃が増加し、政府や民間部門(企業・組織)のデータとプライバシーを脅かすにつれて、サイバー保険のニーズが変化。変化したことにより高額になっている。これは海外の記事だけど、日本でも総務省が公開している「サイバー攻撃の最近の動向等について(https://www.soumu.go.jp/main_content/000722477.pdf)(令和2年12月3日)」を確認すると、「サイバー攻撃の脅威の増加している」ことが報告されているので、日本でのサイバー保険の保険料が上昇していき、サイバー保険の需要は、大手から中小企業まで、あらゆる面で増加する可能性はじゅうぶんに考えられる。

本物そっくりのメールとログインページ(フィッシング詐欺)。

news.yahoo.co.jp

 

この前、「「重要なお知らせ」と書かれた本物そっくりのメールが… フィッシング詐欺の巧妙な手口とは?」というニュースが報道されていた。メールの差出人が「NTT ドコモ」という名前になっており、本物と何ら変わらないメールが被害者の元へ届く。何も疑わない被害者は、メールに記載されている偽物の「dアカウント」のログインページを開く。このページも本物とほとんど変わらないので、本物のページと信用し、ログインしてしまう。このようなフィッシング詐欺が増えると、一般人はどのように身を守ればよいのかわからない。「怪しいメールは開くな」と言われているが、見分けようにもかなり難しい。

詐欺グループがどのようにして、「dアカウント」のログインページの作成方法などを知ったのかはわからないが、作ろうと思えば、簡単にフィッシング詐欺のページが作れてしまうので、今度もこのような事件が増える可能性はじゅうぶんに考えられる。

オープンソース及びサードパーティのリスク。

企業、組織が、新型コロナウイルス感染症が感染拡大したことも影響し、デジタルトランスフォーメーション(DX)を加速しており、これにより、オープンソースライブラリとフレームワークを含むコードの再利用が増えています。このようなライブラリを使用することは、効率的ですが、人気のあるライブラリのいずれかがサイバー攻撃(犯罪)者によって汚染された場合、何千ものアプリケーションが影響を受ける可能性があります。現在、平均的なJavaアプリケーションには50のオープンソース脆弱性があると、ContrastLabsのオープンソースセキュリティレポート(https://www.contrastsecurity.com/security-influencers/2021-state-of-open-source-security-report-findings)には書かれている。