あらゆる分野でデジタルトランスフォーメーション(DX)が進む昨今、デジタル技術の革新スピードはより一層速まっています。また地政学的な緊張が高まる中、各国・地域の規制やルールも目まぐるしく変わり続けています。
サイバー攻撃においても、攻撃者は最新技術を巧妙に採り入れ、攻撃手法は日々刻々と進化しています。このような状況下で企業は脅威をタイムリーに捉え、的確に対処することが求められています。
本レポートでは、各国の法規制、生成AI、サプライチェーン、脆弱性管理など、特に変化の激しい分野に関して、潜在的なリスクや企業に求められる対応を考察しました。本レポートから得られるサイバーインテリジェンスが、日本企業の皆さまがセキュリティ対策を講じる上での一助となれば幸いです。
2024年 Cyber IQ調査の一部を抜粋してご紹介します。全文は以下よりPDFをダウンロードしてご覧ください。
クラウド利用に代表されるように、サプライチェーンのデジタル化やグローバル化はとどまることを知らず、重要基幹インフラの導入や維持管理には、ますます多くの企業が関与していくことが予想されます。昨今のサイバーインシデント事例からも推察されるとおり、当該企業に対して直接的な攻撃が行われることもあれば、サプライチェーンを構成する事業者に対して攻撃が行われることもあります。重要基幹インフラの導入や維持管理においては、サプライチェーン全体で実効性のあるリスク管理措置を行い、特定社会基盤事業者としての説明責任を果たすことが重要となります。
デジタルの技術革新のスピードは一段と速まり、各国・地域の規制やルールも目まぐるしく変わり続けています。最新技術を巧妙に採り入れ、規制の穴を狙うサイバー脅威をきちんと分析して適切に対処するには、ガイドラインに沿った態勢を整えるだけでは万全とはなり得ません。自社のインテリジェンスを高め、さまざまなリスクを検知して事前に危機の芽を摘む能動的な備えを築くことが重要になっています。
激変するビジネス環境に真正面から対峙するには、まずはITやセキュリティ部門が各事業をきちんと理解し、ビジネスに合ったセキュリティ基盤を構築すること。さらに、事業部門もサイバーセキュリティやデジタル技術を「自分ごと」として捉えること。そして、両部門が目線を合わせてセキュリティレベルの底上げに取り組むことが、デジタル時代の経営のレジリエンス(強靭性)を保つことにつながると考えられます。
デジタル化に伴うリスクと機会を自社の成長につなげるには、全てのステークホルダーに対して自社の人材やサービス、企業統治などへの信頼を得ることが不可欠です。ステークホルダーが抱く「トラストギャップ(信頼の空白域)」をいかに埋められるかが、非連続な時代における企業の強靭性と成長力を高める源泉になると考えられます。
従来、セキュリティの高度なノウハウが必要なのは、ITや保守など一部の専門部署に限られていました。DXが進むにつれ、今では事業部門もAIやクラウドなどの使い手となり、セキュリティサービスの行き先を社内にとどめる時代は過ぎました。事業部門もデジタルサービスのセキュリティ上の脅威を意識して、適切な体制のもとでサービスを提供することが求められつつあります。
サイバー脅威をはじめ、複数のリスクが同時多発的に起き得る非連続な時代では、自社の視点に縛られていては事業継続の判断基準を見誤りかねません。重要なのは「顧客視点」でサービスを高品質に維持することです。自社のサービスの利用者が何人いて、各サービスはどの程度利用者にとって重要なものなのか、サービスを提供できない場合に代替の手段はあるのか、といった分析をもとに事業の強靭性を担保する必要性が高まっています。
守備の網の目を小さくするには、内部と外部のシステムの境界を無くし、守るべき情報にアクセスしようとするものを1つ1つチェックする「マンツーマンディフェンス」に切り替えることです。内部も外部も関係なく、全ての通信を何も信頼しないことを前提に検証と分析を重ねる「ゼロトラスト」の概念に基づいたセキュリティモデルの構築こそ、脅威を増すサイバーリスクを減らすカギになります。信頼を置かないことを前提とするセキュリティの積み重ねが、ステークホルダーの信頼を得る近道と言えます。
ゼロトラストによるマンツーマンディフェンスを敷く場合、重要なのはアクセス元をきちんと識別する手段を確保することです。身元を確認する、本人によって使われているかを判定する、アクセスを許可または制御する、アクセス履歴を収集・分析し、異常が起きていないかを判定する。これらの一連のセキュリティ網を整えるために必要なのが「デジタルアイデンティティ」です。Identity-based perimeterなどと呼ばれる、デジタルアイデンティティを新しい境界とする考え方が今、広がりつつあります。
「トラストギャップ(信頼の空白域)」を埋める詳しいアプローチはPDFをご参照ください。
Download PDF -
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Download PDF -
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
Download PDF -
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
Download PDF -
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
