従来の対策では防ぎきれない...今後のサイバーセキュリティで「警戒」すべき5つのリスクとは

2023年12月12日（火）18時07分

DC Studio／Shutterstock

＜従来のサイバーセキュリティ対策では追いつかないほど、次々と新たなリスクや攻撃手段が登場し被害をもたらしている＞

現代の目まぐるしく動くデジタル世界では、サイバーセキュリティの状況が絶えず変化し、多種多様で複雑なリスクが存在する。高度なランサムウェア攻撃から、攻撃者によるサプライチェーン（供給網）への浸透、AI（人工知能）の悪用に至るまで、新たに登場する脅威がサイバーセキュリティ環境をこれまで以上に危険なものにしている。

そこで本稿では2023年を振り返って、来たる2024年に注目すべきサイバーセキュリティのリスクを5つピックアップして、対策まで紹介したい。

ソフトウェアサプライチェーン攻撃

まず1つ目は、ソフトウェアサプライチェーン攻撃だ。これは、私たちが導入しているソフトウェアの製造や提供の工程が攻撃され、ソフトウェアそのものや、そのアップデートプログラムなどに不正なコードを埋め込まれてしまうことを指す。このような外部からの関係企業を介して（つまりサプライチェーン）、企業や組織が広範囲にわたって侵害を受けることになる。

2020年には、ネットワーク監視などの製品を提供するアメリカのソーラーウインズ社の製品「Orion Platform」に攻撃者がマルウェア（悪意ある不正なプログラム）を埋め込んだことで、その製品を導入していたアメリカ政府機関や大手企業、日本企業など全世界で1万8000の顧客が影響を受けた。

こうしたサイバー被害を防ぐには、まずソフトウェアのアップデートやパッチを適応することを忘れないこと。また、ソフトウェアなどの製造元に対する定期的な評価を行い、業界基準に沿ってセキュリティ慣行を行っているかを確認すべきだ。さらに、組織内のソフトウェアと関連システムに対して、厳格なアクセス管理と多要素認証（MFA）を実施する。加えて、攻撃被害に遭ってしまった際の復旧プロセスも確認したい。

外部の契約業者によるセキュリティ侵害

2つ目のリスクは、外部の契約業者によるセキュリティ侵害だ。現代のビジネス環境では、外部の取引業者などとの協力が一般的になっている。しかし、外部パートナーへの依存度が高まることで、新たなサイバーセキュリティリスクが生じる。外部業者はセキュリティ対策が希薄なことが少なくないため、サイバー犯罪者は取引業者から本丸（本来のターゲット）への不正アクセスを図る。

日本では2022年10月に大阪の大阪急性期・総合医療センターがサイバー攻撃されて診療を長期間停止した。この攻撃では、取引業者の給食提供業社から侵入されている。こうした問題は、引き続きリスクとなるだろう。

次のページ新たなリスクの扉を開いている存在

この筆者のコラム

総選挙を前に「日本企業を狙った」サイバー犯罪がさらに活性化...特に「狙われる」業界とは？ 2024.10.19

ファイブ・アイズ情報長官が警告する「中国ハッカーの脅威」に並ぶ、イラン組織の危険度とは？ 2024.09.09

パリ五輪ではイスラエル選手の「個人情報」暴露も...様変わりする「ハクティビスト」攻撃の手段と目的 2024.08.22

ディープフェイクによる「偽情報」に注意を...各国で、選挙の妨害を狙った「サイバー工作」が多発 2024.06.08

企業のサイバーセキュリティに不可欠な「アタックサーフェス」の特定...API、サブドメインなどの脆弱… 2024.05.22

現代の国家の安全を守るカギ...「海洋インフラ」の重要性と、勝利に不可欠な「非キネティック能力」とは 2024.04.27

モスクワ銃撃テロの背景...サイバー空間で復活した「IS（イスラム国）」、脅威インテルで実態に迫る 2024.03.23

記事一覧へ

プロフィール

クマル・リテシュ

Kumar Ritesh　イギリスのMI6（秘密情報部）で、サイバーインテリジェンスと対テロ部門の責任者として、サイバー戦の最前線で勤務。IBM研究所やコンサル会社PwCを経て、世界最大の鉱業会社BHPのサイバーセキュリティ最高責任者（CISO）を歴任。現在は、シンガポールに拠点を置くサイバーセキュリティ会社CYFIRMA（サイファーマ）の創設者兼CEOで、日本（東京都千代田区）、APAC（アジア太平洋）、EMEA（欧州・中東・アフリカ）、アメリカでビジネスを展開している。公共部門と民間部門の両方で深いサイバーセキュリティの専門知識をもち、日本のサイバーセキュリティ環境の強化を目標のひとつに掲げている。
twitter.com/riteshcyber