サイバーセキュリティの未来:2022年についてのDarktraceの予測
2021年には、Kaseyaサプライチェーンランサムウェア攻撃から、フロリダの水道に有害物質が加えられようとした攻撃、そして既に大きな問題となっているLog4Shell 脆弱性まで、歴史上最も重大なサイバー攻撃のいくつかが発生しています。
DarktraceのサイバーおよびAIエキスパートは昨年、防御型サイバーセキュリティ空間に多くの重要なAIイノベーションを提供しただけでなく、このAIを使って巧妙なサイバー攻撃に応戦し、勝つ方法を世界中の6,500を超える組織にアドバイスしてきました。
そこで私達はこれらのエキスパート達に対し、2022年のサイバーセキュリティについて聞いてみました。
当社の調査では、2021年に最も攻撃を受けた産業は情報技術(IT)および通信セクターでした。実は2020年には、金融サービス業界だったのです。SolarWinds、Kaseya、GitLabなどの大きく報道されたソフトウェアサプライチェーン攻撃、そして最近では、広範に使われているソフトウェアライブラリに組み込まれ数十億台のデバイスが脅威にさらされた‘Log4Shell’ 脆弱性などを考えれば、このシフトは明白でしょう。
攻撃者達は、ソフトウェアおよび開発者インフラ、プラットフォーム、そしてプロバイダーを、ますます政府、企業、重要インフラへの侵入ベクトルとして見るようになっています。脅威アクター達は悪意あるソフトウェアを、ソースコード、開発者のレポジトリ、オープンソースライブラリ、その他ソフトウェアサプライチェーン全体に渡って幅広く埋め込むことが予想されます。私達はおそらくソフトウェアプラットフォームに対するさらなるサプライチェーン攻撃や、その他の公開された脆弱性に対する攻撃を目撃することになるでしょう。
また、2021年11月に発生したFBI アカウント乗っ取りで見られたように、攻撃者はEメール攻撃を進化させ、より直接的に通信のやりとりを乗っ取り、本物の信頼のおけるアカウントからスピアフィッシングEメールを送るようになるでしょう。
攻撃者が開発プロセスの最初の段階から自身を組み込むことができるならば、組織は攻撃者が侵入してしまった後でこれらを検知し阻止できなければなりません。これらの脅威に対し、セキュリティを開発プロセスのより早い段階で組み込む必要性、および攻撃をすばやく封じ込めてビジネスの中断を防ぐことの重要性が再確認されています。これらの攻撃は多段階で行われるものであり、そのあらゆる段階でAIを使って脅威を封じ込め修正することができます。
世界的なパンデミックと並行して、ランサムウェアパンデミックも拡大しています。Darktraceの研究者は、米国内の組織に対する攻撃が2021年には2020年の3倍に増え、英国内では2倍に増えたことを確認しています。
この危機に際し、30か国が協力し対ランサムウェアの取り組みについて議論し、暗号通貨規制、セキュリティレジリエンス、攻撃の阻止、国際的なサイバー外交などについて検討することになりました。こうした画期的な政策にも関わらず、また政府の圧力によりランサムウェアグループを解散させ、あるいはランサムウェアギャングの刑事責任を追及しても、これらのグループは名前を変え、さらに高度なテクニックや能力を身につけて再び出現するでしょう。
ランサムウェアの侵入を許した場合、攻撃者は2022年にはテクニックを進化させ、クラウドサービスプロバイダやバックアップおよびアーカイブプロバイダを標的にする可能性もあります。そしてこれらの問題を単にIT上の不便として見ることができない、組織が耐えることのできない問題となる時が来ます。重要インフラを担う組織や企業は一様に、攻撃発生後どれだけ迅速にオペレーションを復旧できるか、そして身代金の支払いや高価なシステム修復などにおいて、サイバー保険会社にどれだけの期間頼ることができるか、およびそのための費用について検討を続けることになるでしょう。
ランサムウェアに対する防御が持続可能でなくなった場合、何が答えとなるでしょうか?最終的には、組織はサイバー攻撃に耐えることのできるシステムを構築するでしょう。それまでの間、組織に必要なのは学習し、細かな意思決定を行い、状況に見合った対処を行うことにより、データ抜き出しや暗号化が発生する前の十分に早い段階で攻撃を検知し阻止するセキュリティソフトウェアです。
防御担当者達は組織の存亡を左右するサイバー攻撃の脅威に対し、脅威の検知から自律的マイクロデシジョンの使用、そしてマシンスピードでの攻撃への対処まで、これまで10年近くに渡ってAIを適用してきました。セキュリティチームが最高の状態で機能するためのブレイクスルーは、こうした高度な数学アルゴリズムだけによるものではないかもしれません。2022年には、説明可能なAI(XAI:Explainable Artificial Intelligence)によりそれらが実現されるでしょう。
機械学習が作成した結果と出力を人間が理解し信頼できるようにするためのプロセス及び手法は、セキュリティオペレーションセンター(SOC)の中心となるでしょう。単なる警告までの時間ではなく、理解するまでの時間を重視することで、セキュリティチームの有効性を計る方法が進化します。セキュリティエキスパート達はAIの予想する影響とその潜在的なバイアスについて理解したいと考えているため、「ブラックボックス」的概念と際立って対照的なXAIへの注目が高まるでしょう。
この例としては、自然言語処理(NLP:natural language processing)を使ってサイバー攻撃についての仮説、AIが実行したステップ、それらのステップの結果、推奨されるアクション、ひいては攻撃が再度発生しないようにするための方法までを説明することが含まれます。
パンデミックによる従業員の「大量退職時代」 においては、不満を持った従業員が情報を盗む、あるいは従業員が意図せず次の仕事に情報を持って行ってしまう、ということが起こり得ます。また、犯罪者グループが多額の金銭あるいは身代金の一部を提示して内部関係者を勧誘する、という例もありました。
意図の有無にかかわらず、2022年には内部関係者対策が企業にとってますます大きな問題となるでしょう。クラウドを使ったコミュニケーションやコラボレーションアプリケーションを使う組織が増える中、肥大化したデジタルインフラ内でこれらの脅威を検知することはより困難となります。従業員がリモートで働くようになると、機器やデータの返却を徹底することもさらに難しくなります。
そして、組織は従業員の行動を複数の角度、たとえばクラウド、SaaS、エンドポイントなどから理解するためのセキュリティテクノロジーにより大きく依存するようになるでしょう。このテクノロジーは、従業員がEメールを外部に送信する、通常はアクセスしないファイルにアクセスする、その他異常な操作をするなど、その人らしくない振る舞いをしたときに自動的にアクションを取るものです。これらのアプローチは新たなゼロトラストテクノロジーと共に機能し、ゼロトラストアーキテクチャに従って組織を内部関係者による脅威から守ります。
AIは防御型サイバーセキュリティ空間において、脅威検知、調査、対処などに対するさまざまな重要イノベーションを提供してきました。2022年にはAIイノベーションは防御中心から、プロアクティブなセキュリティおよび攻撃シミュレーションなどの周囲分野に拡大するでしょう。
最新の進化により、AIを使って攻撃経路モデリング、敵対シミュレーション、継続的レッドチーミングなどを実行することが可能になり、組織は最も蓋然性の高い問題シナリオを可視化しテストすることにより、安全策やコントロールを適用してサイバーリスクを低減することができるようになります。サイバーセキュリティ組織にとっての基本的重要項目も、脆弱性を見つけ出し、コントロールされた攻撃を実行して防御をテストする新しいテクノロジーにより力を入れていくにつれ、形を変えていくでしょう。
サイバーリスク管理に対するこれらのいわゆる積極型、予測型のアプローチは、まだ経営層に浸透しているとは言えませんが、企業、規制当局、監査コミュニティ、サイバー保険会社が将来のサイバーリスクを評価するやり方を変えていく可能性があります。
これらの予測の基礎となる考察を提供してくれたDarktrace社内の各分野のエキスパート諸氏に感謝します。
