～2030年のサイバーセキュリティ～企業が脅威に備えるには？サイバーレジリエンスを向上する、戦略的視点

2030年に顕在化するセキュリティ問題世界的な大事件が起きているとき、私たちは今いる場所、今の状況に目が行きがちです。しかし、テクノロジがこの先の未来にどのような影響を与えるかという視点を忘れてはいけません。サイバー世界の持つ社会的・経済的インパクトがかつてない拡大を見せる時代。未来のシナリオを綿密に計算し、サイバーセキュリティの担い手である各関係者が効果的に連携したとき、やっとサイバー脅威から社会を守る準備ができるといえるでしょう。トレンドマイクロの脅威リサーチ機関であるTrend Micro Researchが研究イニシアティブとして制作したレポート「Project 2030」では、2030年までに世界を劇的に進化させるであろうテクノロジと、そこから生まれるサイバー脅威について未来像を描いています。^※1

レポートでは、2030年の世界を、架空の市民、企業、政府の目を通して見ています。進化するサイバー脅威と、それがセキュリティ関係者にどのような影響を与えるかを詳細に分析しています。

レポートでは、次のような予測が展開されています。

AIツールは、技術的スキルのない個人にも重大なサイバー犯罪の実行を可能にする
神経へのサイバーインプラントにより、サプライチェーンの混乱と人体への被害が生じる
個人の五感に直結するヘッドギアなどで常時ネット接続される社会になると、ソーシャルエンジニアリングやフェイクニュースは今日以上に現実と見分けがつきにくくなり、社会に大きな混乱をもたらす
Massive IoT（MIoT）環境は、製造、物流、輸送、医療、教育、小売、家庭環境などを標的とした破壊工作や強奪攻撃の温床となる
AIによって難読化された攻撃が増えると、アトリビューションが事実上不可能になり、攻撃手法や侵入の痕跡に基づく分析が困難となることが予想される
すると、セキュリティ業界はインシデントレスポンスとエッジにおけるIAM（Identity and Access Management, ユーザプロファイル毎・機能レベル毎のアクセス権管理）に重点をおくようになる
5G、6G接続がどこでも可能なため、より高度で正確な攻撃が可能となる
「Everything as a Service」によって、クラウドプロバイダーはサイバー攻撃者にとって格好の標的となる
職場のサイバーセキュリティ監視を混乱させるようなツールを提供する、グレーマーケットが出現する
テクノナショナリズムが台頭し、各国家による技術の囲い込みが進み、国家間の格差はさらに広がる

コネクティビティは日常生活のあらゆる側面を支配し、物理的、心理的の両面で深く影響を及ぼすようになるでしょう。そして、悪意のある脅威アクターにとっても、テクノロジの革新は成長の契機となり、さらなる悪用を目論んで進化していく、そんな世界が予測されているのです。

サイバー犯罪の進化は予測できるのか
サイバーセキュリティの未来学者であるVictoria Baines博士は、「現代技術の飛躍的な発展は、サイバーセキュリティの課題とともに、豊かな未来の可能性をもたらしています」と述べています。そして、「このような将来の脅威に備えるには、サイバーセキュリティビジネスの在り方とそれを取り巻く規制をも変える必要があります。サイバーセキュリティ業界は、すべてがつながり、危険にさらされる未来に備え、テクノロジとトレーニングの両方を進化させなければなりません。」と示唆します。

つまり、脅威対策においてはテクノロジの進化はもちろんのこと、将来の脅威可能性に対する感度を常に高め、継続して予測に努めることが重要なのです。

Project 2030 レポートは、トレンドマイクロが欧州刑事警察機構（Europol）およびInternational Cyber Security Protection Alliance (ICSPA)との共同研究で発表したレポート「Project 2020（2013年公開）」の後継レポートです。2020年を迎えた際のレビューにおいては、予測は十分に正確であり、サイバー犯罪の進化が予測可能であることを示していました。

レビューでは、Project 2020レポートで予測されていた2020年のテクノロジと社会の様相について、2020年の現実の様子と照合しました。以下に、一部をご紹介します。

Uberドライバーなどギグエコノミーと呼ばれる新しい雇用パターンが生まれている
知的財産のオープンソーシングが標準になりつつある
例えば、多くのモバイルデバイスメーカーは特許を共有しており、GitHubはあらゆる種類のアプリ開発で使用されているオープンソースプロジェクトで溢れている
消費者が気づいているかどうかに関わらず、個人はサービスを享受するため、個人データを対価として提供し、プライバシーや脅威リスクを受け入れてしまっている
サイバーセキュリティと国家安全保障の境界線があいまいになっている
個人がソーシャルメディアを通じて、地域や世界の政策に影響を与えるようなグローバルコミュニティや運動を生み出している
個人、企業、政府がますます多くのデータを生成するにつれ、サイバーセキュリティはますます重要になる
脅威アクターは、モバイルデバイス、デジタル通貨、クラウドソーシングから得られた情報、ソーシャルメディアにフォーカスを移している

この予測分析の経験を活かし、2030年を予測するプロジェクトが進められました。

トレンドマイクロの脅威リサーチ研究機関Trend Micro Researchでは、世界15か所に渡る拠点において、脅威の分析やサイバー犯罪の動向調査を行っています。また、下図に示すようにサイバーセキュリティに関する様々な活動を、多角的な視点、そして過去と現在のデータに加え未来の視点を持って行っています。それらを基礎に、攻撃者についてすでにわかっていることを、想定し得る技術革新と結びつけて考えることで、予測を積み重ねます。Project 2030レポートは、その結実の一つの形なのです。

将来のビジネスを守る、
サイバーセキュリティに必要な３つのポイント

「Project 2030」が目指したのは、予想される未来を合理的かつ理性的に示すことにより、個人や企業、さらには国家が、よりきめ細かな長期的戦略の方向性を見いだせるようにすることです。

脅威が進化し、攻撃者がより熟練するにつれ、現在の攻撃から組織を守るだけでなく、将来の脅威に備えるための適切な対策が必要となります。顧客からの強い信頼。ビジネスの変革。安定した生産性。ビジネスの成果を生み出すには、さまざまなアセットを守り育てる必要があります。テクノロジの進化と共に、さらに複雑さを増す世界においては、一つ一つのアセットを適切に保護できる強固なサイバーレジリエンスを構築することが必要です。そのためには、漠然としたセキュリティアラートでは事足らず、目の前にある脅威の全貌を明らかにし、それらを阻止することが求められます。
優れたサイバーセキュリティには、先見性、明確な戦略、そして、守り抜く熱意が欠かせません。

サイバーセキュリティのパートナーを選定の際には、これら3つのポイントを踏まえ長期戦略的視点をもって検討することが必要です。

進化するサイバー犯罪に対峙するには、アンダーグラウンドでの犯罪行為を監視して重要な洞察を得たうえで、インターポール、国連、FBI、米国国土安全保障省などの政府機関や法執行機関と緊密に連携することができる組織が必要です。
産業界各社の戦略的サイバーセキュリティは、結果的に産業界全体と官学民との連携を支えることになるでしょう。そうすることで、グローバルに、差し迫る脅威をより正確に予測し、備えることが可能となります。

Project2030のレポート詳細はこちらからご参照ください。強固なサイバーレジリエンスを持ったビジネス環境を、戦略的に構築するための参考となれば幸いです。

レポートを読む

※1 「Project 2030：サイバー犯罪の将来のシナリオ」レポートについてのレポートは、デジタル倫理やAIなどの新興技術の誤用に関する専門家で、元Facebookの欧州・中東・アフリカ地域のTrust & Safety担当マネージャー、現ボーンマス大学客員教授のVictoria Baines博士と、トレンドマイクロのセキュリティリサーチバイスプレジデントであるRik Fergusonの共著により、2021年5月に公開されたもの。本レポートの内容は、これまで確認されたサイバー攻撃やサイバー犯罪事例の分析をはじめ、情報セキュリティやデータ保護、法執行、国際関係の各分野における100人以上の専門家の意見のヒアリング結果、新興テクノロジに対する広範なホライゾンスキャニング※2を参考に、2030年頃に世界の一部地域で起こり得ることとして考案されたものである。

※2 ホライゾンスキャニング：今後大きなインパクトをもたらす可能性のある変化の兆候をいち早く捉え、将来的な展望を得ることを目的とした調査・分析活動。