世界は今、政治、経済、そして環境や衛生の面で大きな変化に直面している。その中で、サイバーセキュリティに対する向き合い方も見直していく必要があるだろう。本連載では、プルーフポイントの調査や脅威インテリジェンスから得た知見を基に、変化する時代の中でサイバーセキュリティの領域では何が起こり、どのように対策を検討すべきかを探っていく。
パンデミックを機に広がったハイブリッドワークがもたらす新たなリスク
2年前に新型コロナウイルスが世界的に感染拡大を始めてからというもの、私たちの働き方は大きく変化した。毎日オフィスに出社し、顔を付き合わせて打ち合わせをしながら業務を進めるやり方から、Web会議を駆使したリモートワークに移行した。
その後、感染拡大に一定の歯止めがかかったことからオフィスへの回帰も見られ、顔と顔をつきあわせてのコミュニケーションの価値も改めて認識された。ただし、業種や業務内容によってはリモートワークの方が効率や生産性が高かったり、育児や介護といったさまざまな事情を抱えた従業員でも能力を発揮できたりすることから、リモートワークを継続する企業もある。現実的には、出社とリモートワークを組み合わせた「ハイブリッドワーク」が広がっていると言えるだろう。
ただ、リモートワーク、ハイブリッドワークの環境では、オフィスのように「周囲の目」が存在しない。そのため、うっかり、あるいは故意に機密情報を閲覧・ダウンロードしても、とがめられる恐れは少ないと言える。
また、巧妙な攻撃メール、フィッシングメールに引っかかってマルウェアに感染したり、リモートアクセスに必要なID・パスワードなどの認証情報を攻撃者に渡してしまったりするリスクも高く、従業員が違和感を持っても、即座に同僚や情報システム部に相談するのが難しい。
このようにパンデミックは、社会はもちろん働き方を変え、必然的にセキュリティへの向き合い方も見直しを余儀なくされている。
そこで多くのセキュリティ担当者はこの2年あまり、こうしたリモートワーク、ハイブリッドワーク特有のリスクに直面し、どう対処するかに心を砕いてきた。幸い、ゼロトラストセキュリティという考え方やクラウドベースのセキュリティソリューションも普及したことから、何もできずに手をこまねいているだけという企業は少ないようだ。
現に、プルーフポイントが世界14カ国の最高情報セキュリティ責任者(CISO)、約1400名を対象に行った調査結果をまとめた「2022年 『Voice of CISO』レポート」(CISO意識調査レポート)によると、日本を含む世界のCISOはパンデミック後のハイブリッド型勤務環境に慣れ、サイバー脅威に対応できるようになったと感じていることが明らかになった。
一方で、ハイブリッドワークが長期化したことで、情報保護はCISOにとって最重要課題になっている。しかもそのうち55%が標的型攻撃の危険性を認識していると回答した。特筆すべきは、どのようにデータ侵害を引き起こす可能性が最も高いかという質問に対し、日本のCISOは、「従業員が不注意で自身の認証情報を公開し、サイバー犯罪者に機密データへのアクセスを与えてしまう『内部脅威』の可能性」を挙げていることだ。
なお猛威を振るうランサムウェアだが、調査時点では、サイバーセキュリティ上の脅威としてランサムウェアをとらえる声は少なく、日本では32%、グローバルでは28%にとどまった。それでも組織の重要課題であることに変わりはなく、ランサムウェアの侵入防止やサイバー保険によるリスク移転といった対策を取る企業も増えてきた。
やはり一番大きな脅威として捉えられているのは、不注意、過失、犯罪を問わない「内部脅威」で39%だった。これに、「スミッシング/ビッシング攻撃」(33%)、前述の「ランサムウェア攻撃」(32%)、巧妙な詐欺メールで多額の金銭を詐取する「ビジネスメール詐欺」(31%)と続いている。こうした状況により、経営層のサイバーセキュリティへの関心も高まっており、CISOにかかるプレッシャーも増している。
推進法も成立、世界情勢の変化で無視できなくなった経済安全保障
新型コロナに続き、この半年余りで世界情勢も大きく変化した。それ以前から米中対立、米露対立の中で軍備増強が繰り広げられ、局地的な衝突も発生していたが、いよいよそれが火を噴いたのがロシアのウクライナ侵攻と言えるだろう。
こうした世界情勢の中で改めて重要性を増しているのが、「経済安全保障」だ。米中間ではかねてから、ハイテク技術を巡る争いが激化していた。そこに起こったパンデミックにより、グローバルに展開されてきたサプライチェーンが混乱し、「半導体が届かない」「ものが届かない」といった状況があちこちで発生し、インフレにもつながっている。経済のグローバル化はさまざまな恩恵をもたらしたが、半面、国際競争の激化に伴って経済安全保障の重要性がますます高まっている状況だ。
では、経済安全保障とは一体何を指すのだろうか。端的に言えば、自国の国益を守るために、技術や資源、データ、情報、製品といった経済分野の資源を確保することを指す。これに伴って企業は、好むと好まざるとにかかわらず、経済原則に従って、人件費が安価なところから部品を調達するのではなく、地政学的なリスクも考慮に入れ、サプライチェーンを見直す必要に迫られることになる。
日本でもこうした動きを背景に、2022年5月に「経済安全保障推進法」が国会で可決、成立した。この法律には、特定の国に頼りすぎることなく、安定して原材料・部品を確保できるようにすることを目指した「サプライチェーンの強靱化」のほか、「基幹インフラの安全性確保」「先端技術への研究開発投資」「特許の保護」という4つの柱がある。
こうした覇権争いの中心にあるのが、IT/デジタル技術だ。具体的にはAI、5G/6G、宇宙ステーション、量子技術、ブロックチェーン、そして半導体という6種類の技術競争が激化している。それの勝者が経済覇権・金融覇権を握り、ひいては軍事・実際の政治力学の中でも覇権を確立するものとみられる。
問題は、その技術競争がフェアに行われるかということだ。競争である以上、ある程度の「奪い合い」になるのはやむを得ないが、その裏では人材の引き抜き合戦や買収による技術入手に加え、サイバー攻撃による情報窃取も盛んに展開されていると見られている。
好むと好まざるとにかかわらず、こういった動きが起こっているのが現実だ。その中で個人が、組織が、そして国がどう生き抜いていくのかが問われることになる。必然的に、サイバーセキュリティ対策もこうした視点を織り込んで検討する必要があるだろう。