39秒ごとに発生しているサイバー攻撃。政府はついに反撃の準備を整えたのか?

2021年5月12日発行
マティアス・マドゥ博士著
ケーススタディ

39秒ごとに発生しているサイバー攻撃。政府はついに反撃の準備を整えたのか?

2021年5月12日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。

いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。

脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。

しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?

サイバー脅威を解決するには(世界の)村が必要になる

ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。 

米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。

徐々にではありますが、確実に、世界中の政府がサイバー防衛への投資を強化しています。英国は、サイバーセキュリティ分野で記録的な投資を行い、新しいタスクフォースを設立しました。オーストラリアは、サイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどは、サイバープログラムで最高レベルとされています。日本は、サイバー防衛分野で5位にランクされています。これは、2018年に桜田義孝サイバーセキュリティ担当大臣(当時)が「コンピュータを使ったことがない」と発言したことを受けて、自信を持って発表したものです。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束され、デジタルの安全性と完全性を強固にするための先進的な動きとなっています。

未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。

お金があれば問題が減るわけではない

米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。 

しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。

すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。

サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある

高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。

真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。 

サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

39秒ごとに発生しているサイバー攻撃。政府はついに反撃の準備を整えたのか?

2021年5月12日発行
マティアス・マドゥ博士著

この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。

いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。

脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。

しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?

サイバー脅威を解決するには(世界の)村が必要になる

ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。 

米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。

徐々にではありますが、確実に、世界中の政府がサイバー防衛への投資を強化しています。英国は、サイバーセキュリティ分野で記録的な投資を行い、新しいタスクフォースを設立しました。オーストラリアは、サイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどは、サイバープログラムで最高レベルとされています。日本は、サイバー防衛分野で5位にランクされています。これは、2018年に桜田義孝サイバーセキュリティ担当大臣(当時)が「コンピュータを使ったことがない」と発言したことを受けて、自信を持って発表したものです。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束され、デジタルの安全性と完全性を強固にするための先進的な動きとなっています。

未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。

お金があれば問題が減るわけではない

米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。 

しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。

すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。

サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある

高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。

真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。 

サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。