2018年を支配する情報セキュリティを脅かす5つの脅威

2017年がデータ違反の悲惨な年だと思ったら、2018年を待ちましょう。
情報セキュリティフォーラム(Information Security Forum:ISF)はサイバーセキュリティと情報リスク管理に重点を置く世界的に独立した情報セキュリティ機関である。
ISFは2018年は5つの主要なセキュリティ脅威のために多くの組織が直面するデータ侵害が増え、かつそのインパクトも大きくなると予測しました。

ISFのマネジングディレクター、スティーブ・ダービン(Steve Durbin)は、

「情報セキュリティの脅威は、信頼性の高い組織の真実性と評判を危険にさらしています。2018年には、弱点に特化した脅威や既に対策をされているセキュリティを回避するように脅威の洗練さが増しています。」

「データ侵害の数が増えればそれだけデータ漏洩に繋がります。」とDurbin氏は続けました。このため、来年の攻撃はあらゆる規模の組織にとってはるかに痛手になるでしょう。ネットワークのクリーンアップや顧客への通知など伝統的対処では、これらのダメージの一部を軽減できますが、増加する当事者を含む訴訟などの、そのほかの分野で費用かかってしまいます。 ISFは、怒っている顧客が、政府に、より厳しいデータ保護法を導入するよう圧力をかけるだろうと予測しています。

ISFによれば、この流れが、2018年に企業が直面する次の5つの世界的なセキュリティ脅威になると伝えます。

  • サービスとしての犯罪(CaaS)では、利用可能なツールとサービスが拡大する。
  • モノのインターネット(IoT)は、さらにリスクを追加する。
  • サプライチェーンは、リスク管理において最も弱いリンクのを維持する。
  • 規制により、重要な資産管理の複雑さが増す。
  • 主要なインシデントによって、満たされていないボードの期待値が公開される。

サービスとしての犯罪(CaaS)

昨年、ISFは、犯罪組織が複雑な階層構造、パートナーシップ、および大規模な民間組織を模倣した共同作業をさらに発展させて、CaaSが飛躍的に進歩すると予測しました。

「2017年には「サイバー犯罪、特にサービスとしての犯罪が著しく増えた」

と言われていることから、2017年の予想は証明された」とDurbinは語ります。 ISFは、それらの犯罪が新たな市場でさらに多様化し、グローバルレベルで活動を続けると考えています。それらの一部は既存の犯罪組織が行っているが、それだけでなくサイバー犯罪だけに焦点を当てたものも出てくるとも予想しています。

最大の違いは? CaaSは、2018年には、ツールやサービスを購入できないほど知識のない、もしくは実行すらできないものでさえサイバー犯罪者になってしまうかもしれないとDurbin氏は考えています。

「サイバー犯罪は、知的財産や大銀行のような非常に大きなもの以外も対象につつあります」

と彼は付け加えます。

今日マルウェアの最も一般的なカテゴリーであるcryptowareを例にとると。過去に、ransomwareを使用しているサイバー犯罪者は、あなたのコンピュータを拘束し、被害者がお金で身代金を払い、犯罪者はコンピュータのロックを解除します。しかし、Durbinによれば、このエリアにサイバー犯罪者を入れてしまうのは、「信頼」が崩壊していることを意味しています。身代金を支払う犠牲者でさえ、財産を解く鍵を得ることができないかもしれないし、サイバー犯罪者が何度も何度も戻ってくるかもしれない。

同時に、Durbinによれば、サイバー犯罪者はソーシャルエンジニアリングの使用においてより洗練されてきています。ターゲットは一般的に企業ではなく個人であるが、そのような攻撃は依然として企業にとっても脅威となっている。

「私にとっては、企業と個人の間にこのようなぼやけが増えています。 「個人はますます企業になっている」

IoT

組織はますますIoTデバイスを採用していますが、ほとんどのIoTデバイスは設計上安全ではありません。さらに、ISFは急速に進化するIoTエコシステムに透明性が欠けていると警告しています。これは、顧客が意図していない方法で、組織が個人データを使用することを可能になっているということです。企業としてはどの情報がネットワークを離れるか、どんなデータがスマートフォンやスマートテレビなどのデバイスによって秘密にキャプチャされて送信されているかを知ることは組織にとって問題です。

データ違反が発生した場合、または透明性違反が明らかになった場合、組織は規制当局と顧客によって責任を負う可能性があります。また、最悪のシナリオでは、産業用制御システムに組み込まれたIoTデバイスのセキュリティを怠ったために物理的に被害にあったり死につながる可能性もあります。

Durbinは、

「メーカーの見地からは、使用パターンが何であるかを知り、個人をよりよく理解することが重要である。しかし、それだけではこれまで以上に多くの脅威生まれるだろう。」

と述べています。

「デバイスを制御するのではなく、コントロールするためにはどうすればよいか?この領域で、より認知度が向上するでしょう」

とDurbin氏は付け加えます。

サプライチェーン

ISFは長年サプライチェーンの脆弱性の問題を提起しています。組織が指摘するように、価値のある機密情報はしばしばサプライヤと共有されます。その情報が共有されると、直接制御が失われ、その情報の機密性、完全性、または可用性の妥協のリスクが増加することを意味します。

「昨年、大手製造業が製造能力を失ったのは、ロックアウトされ、供給に影響を受たためです」

とDurbin氏は言います。

「現在使用しているビジネスラインが問題なのではありません。我々はすべてサプライチェーンを持っています」

と彼は付け加えます。

「私たちが直面する課題は、ライフサイエンスのあらゆる段階で情報がどこにあるのか、どのように情報が共有されているのか、その情報の完全性をどのように保護するのかということです。」

2018年には、サプライチェーンの中で最も弱い分野に焦点を当てる必要があるとISFは述べています。すべてのセキュリティ侵害を事前に防ぐことはできませんが、お客様とサプライヤーは積極的に対応する必要があります。 Durbinは、直面するリスクに対して、強固でスケーラブルなプロセスを採用することを推奨しています。組織は、既存の調達およびベンダー管理プロセスにサプライチェーン情報リスク管理を組み込む必要があります。

規制

規制により複雑さが増し、2018年初頭には欧州連合(EU)の一般データ保護規制(GDPR)がオンラインになり、重大な資産管理の複雑さが増します。

「GDPRには触れられていない世界の誰かと会話することはないだろう」

とDurbin氏は言う。

「コンプライアンスだけではなく、個人データを指し示し、そのデータがどのように管理され、保護されているかを理解するためには、いつでも企業やサプライチェーン全体で能力を発揮できるようにすることです。規制当局だけではなく、個人によっていつでもそのことを実証することができます。これを正しく実装するには、ビジネスのやり方を変えなければならない」

と同氏は付け加えた。

ISFは、GDPRの義務に対処するために必要な追加資源は、コンプライアンスおよびデータ管理コストを増加させ、他の活動から注意と投資を引き出す可能性が高いと指摘する。

アンメットボードの期待

ISFによると、取締役会の期待と情報セキュリティ機能の実績との間のミスアラインメントは、2018年に脅威となると伝えます。

「ボードは、原則としてそれを入手し、サイバースペースで動作していると理解しています。しかし、多くの場合、そのボードの完全な意味についてわかっていません。」

とDurbin氏は言います。 CISOはそれをすべて支配していると思っていますが、きっと多くの場合、質問するべき適切な質問を知らないでしょう。そしてCISOはいまだにそのボードになんと話しかけるか、またはどうビジネスとどう絡めるかもわかっていないでしょう。

ISFは、過去数年にわたり情報セキュリティ予算の増加が承認され、CISOおよび情報セキュリティ機能が即時の成果を生み出すことができると両審議会は期待しています。しかし、完全に安全な組織は達成不可能な目標です。たとえ組織が正しいスキルと能力を備えていても、情報セキュリティの大幅な改善には時間がかかることを多くの取締役会が理解していません。

このミスアライメントは、大きな事故が発生したときに、それが影響を感じる組織だけではないことを意味します。ボードメンバーの評判に、​​個人的にも集団的にも悪影響を与える可能性があります。

このため、CISOの役割は進化しなければなりません。

「最近、CISOの役割は、ファイアウォールが確実に維持されることを確認することではなく、予期することです。 CISOは、営業担当者とコンサルタントである必要がありますが、両方を持つことはできません。私は最高のコンサルタントになることができます。私のアイデアをあなたに売ることができなければ、ボードルームのどこにも行くことはできません」

原文はこちら: 5 information security threats that will dominate 2018

【IoTレポート】次世代スマートファクトリー:産業用ロボット、IIoT、3D印刷、高度なデータ管理 世界のIoTに関するレポート公開中