サイバーセキュリティ攻撃後でさえ、サイバーセキュリティを優先しない
「Cybersecurity Trends and Drivers in 2022(2022年のサイバーセキュリティのトレンドと推進要因)」という記事が公開されており、この記事の中で興味深いことが書かれていたので、紹介する。2021年10月のUncommonXの報告によると、ランサムウェアの攻撃を受けた後でも、これらの企業・組織の多くは、サイバーセキュリティを優先しておらず、過去1年間にリスク評価を実施したのはわずかであるという結果が出ているというもの。ランサムウェアの攻撃を受けたことで、顧客の流出などが発生し、社会的評価の低下により、企業・組織の評価も下がるわけだが、攻撃後でも、2度とこのようなことは起こらないようにするのが普通だと考えられている。しかし実際は、攻撃を受けた後でも企業・組織の多くは、サイバーセキュリティを優先していない。昨今では、フィッシングやランサムウェアの被害が増加しているので、サイバーセキュリティは優先した方が良い。
ランサムウェア攻撃に対応した支払いに関する法律を制定する法域
悪意のあるAI(人工知能)が世の中に溢れる!?
「2022年に注目すべきサイバーセキュリティのトレンド - オンライン上の安全を脅かす6つのポイント(Cyber Security Trends to Watch in 2022 — 6 Things That Could Compromise Your Safety Online)」という記事が公開されており、この中で気になることが書かれていたので紹介する。それは、フィッシングメールやなりすましキャンペーンは、人間(サイバー攻撃者,犯罪者)によって作成されているが、今後はAI(人工知能)で作成される可能性がじゅうぶんにあるということ。人間ができることも、代わりにAI(人工知能)が行えるようになってきているので、この差は縮まりつつある。最終的に、AI(人工知能)は人間よりもパスワードやその他の機密データを渡すように説得することにたけることが考えられる。
ソフトウェアサプライチェーン
「CISOのための3つのサイバーセキュリティのトレンドと緩和戦略」という記事が公開されており、この中でDevOpsとソフトウェアサプライチェーンというトレンドについて書かれており、「ソフトウェアのサプライチェーンを標的にすることは、サイバー攻撃者(犯罪者)が被害者層を広げ、攻撃を飛躍的に拡大させるための効率的な方法」と書かれていたことが、同じ考えであった。また、サイバー攻撃者(犯罪者)はKubernetes(アプリケーションのデプロイ、スケール、管理を自動化するオープンソースソフトウェア)のような一般的な開発ソフトウェアをターゲットにする可能性が高くなると予測されており、これも一般的な開発ソフトウェアがターゲットにされる可能性は高いと考える。
責任ある倫理的なAIとサイバーセキュリティ
ソフトウェアサプライチェーン攻撃が急増する
「What the top five cybersecurity trends mean for your business in 2022(2022年、サイバーセキュリティのトップ5トレンドが意味するもの)」という記事が公開されており、この中で「次世代型サプライチェーン攻撃が急増」ということが報告されていた。特にソフトウェアサプライチェーン攻撃、特にオープンソースライブラリやツールの侵害も急増しており、サイバー攻撃者は攻撃範囲を最大化し、取り組みを自動化し、検知を回避する新たな方法を模索しているので、このようなソフトウェアサプライチェーン攻撃は増えていくだろうと考える。なお、記事内にも書かれているが、平均的なソフトウェアプロジェクトは、203もの依存関係を持っており、サードパーティのAPI、オープンソースコード、独自コードを含む複数の既製コンポーネントを含む、状況の中で、サードパーティのサイバーリスクを予期し、対処しなければならないので、企業や組織にとって、これはとてもむずかしい課題である。
データのプライバシーの重要性は年々増す
ハッカーやサイバー攻撃者は、企業、組織の顧客の個人情報を狙っています。その後、奪いとられた情報は、ダークウェブで販売するか、クレジットカードの詳細などの情報を個人的な利益のために使用する。ハッカーやサイバー攻撃者たちの攻撃手法もあの手この手を考えて行われており、その手法も高度化しているため、2022年も、データのプライバシーの重要性は増す。多くの企業、組織がデータのプライバシーを優先しており、EUでは、GDPR(一般データ保護規則)により、企業がデータを収集、使用、保存、および削除する方法について、厳格なルールが設けられている。米国においても、専用のデータセキュリティ計画を持っていない企業との協力は拒否されることもある。日本においても、海外のこのような動きにあわせて、現状より、厳格なルールが設けられる可能性はじゅうぶんに考えられる。