第3回セキュリティリーダーのためのマクロ環境分析

はじめに
優れた戦略は、環境変化の正確な理解により生み出されます。それは、サイバーセキュリティ戦略も例外ではありません。トレンドマイクロでは、お客様のサイバーセキュリティ戦略に役立つ情報を提供するために、四半期ごとにマクロ環境分析を行っています。本記事では、直近三か月（2022年10月～12月 ※一部2023年1月の情報を含む）に起きた出来事を、政治・経済・社会・技術・脅威の観点から解説し、セイバーセキュリティにどのような影響を及ぼし得るかを考察します。本ブログでは触れていない出来事も多くありますので、専門家との議論をご希望の方はお問合せください。

政治：米国商務省BISによる対中輸出規制の強化

米国時間2022年10月7日、米国産業安全保障局（BIS）は過去に前例のないレベルでの対中輸出規制を公表しました（正式な公示は同年10月13日付の官報）。対象となったのは主に先端半導体で、デュアルテクノロジー（軍民両用技術）として適用可能な製品を対象とした措置となっています。AI技術に使用される最先端の画像処理半導体（GPU）や、線幅14ナノメートル未満の中央演算処理装置（CPU）はもちろんのこと、半導体製造に必要な材料や設備も対象になっており、規制の対象がより広範になっていることが特徴です。加えて、中国国内で半導体製造に関わる米国人および米国企業も規制の対象となっており、実際に当該規制公開の翌日8日には中国国内の大手半導体工場から米国国籍の技術者が全員いなくなっていたというケースも確認されていることから、米国政府の対中政策への本気度が伺えます。
半導体は言うまでもなく現代国家の「戦略的資産」です。半導体の安定的な確保が国家の成長に不可欠であることを鑑みると、2023年に半導体のサプライチェーンに何も起こらないと思うほうが不自然でしょう。バイデン政権は2023年1月時点で既に米日蘭での規制合意に向けて動き出しています。この動きを受けて企業経営層が注視しておくべき事柄は多岐にわたりますが、新たな視点として「中国国内での従業員の活動が制限される可能性」を考慮に入れておくべきでしょう。2023年は自社の中国市場に対するスタンスを問われる一年となりそうです。

経済：インフレ圧力とIT投資の関係

2023年1月にGartner Japan社が、国内法人におけるITユーザおよびITシステム導入の意思決定者が最も懸念している「自社のビジネス成長に脅威となる外部環境要因」に関する調査結果を発表しました。それによると、最も懸念される要因は「グローバルなインフレ圧力」および「景気後退」であり、『グローバルでの経済環境の変化が日本企業にも影響を及ぼしていることが明らかに』なったと結論付けています。
その一方で、Citrix Japan System社が行った調査では、『インフレがデジタル施策にプラスの影響を与えたと約7割 (グローバル69%、日本79%）が回答』しています。インフレがIT投資を後押しした明確な理由には言及されていませんが、多くのITリーダーが「インフレや円安といった不確実な環境変化に対応するにはデジタル技術を活用した柔軟性の高いビジネス基盤が必要である」と考えていることは間違いなさそうです。上記に加えて、2023年1月24日に一般社団法人日本情報システム・ユーザー協会（JUAS）が公表した調査でも、「企業の46.1％が23年度にIT予算を増やす見込み」であるという結果が出ています。マクロ要因としてのインフレ圧力はあるものの、コロナ禍を抜け始めた企業の業績が回復傾向にあることも、IT予算の増加を促している要因の一つでしょう。
上記のJUASの調査では、今後重視する人材タイプとして「IT戦略担当「情報セキュリティ担当」「DX推進担当」が上位に挙がっています。DXにより企業価値を生み出すべきという考えは多くの企業で共通しており、その実現のためには人材確保が課題であると言えそうです。当該調査でも『戦略立案や事業変革など経営や事業に詳しい人材タイプの人材ニーズが高まりそう』であると言及していることからも、本質的なDXを行うためにはリーダシップを持つ人材によるビジネスとデジタルの統合がより重要になるでしょう。

社会：日本人のための「リスキリング」

世界的な景気後退の懸念が強まる中、巨大テック企業を中心に大規模な雇用調整が進んでいます。2023年1月18日、Microsoft社は同年3月までに従業員1万人を削減すると発表しました。これは全従業員の約5%にあたります。昨年のMeta社、Amazon社の発表に続く万単位の雇用調整となります。このような経済的不確実性の高まりや働き方の多様化、そして社会のデジタル化などの複数の波が重なり、一人一人に「生き抜く力」が問われる社会潮流ができつつあります。その流れに乗って注目を集めているワードが「リスキリング」です。
2022年10月3日の臨時国会で、岸田首相は『個人のリスキリング（学び直し）の支援に5年で1兆円を投じる』と表明しました。リスキリング（Re+Skilling）はその名の通り、今までとは異なる仕事をするために必要な技術や技能を身につける/つけさせることを意味します。もともと英語圏では失業者に対する再教育の文脈で使われてきた言葉でしたが、2018年1月に世界経済フォーラムが公開した「Towards a Reskilling Revolution」を皮切りに「デジタル化社会で求められる新たなスキルを身につける」という意味合いに変化してきました。セキュリティ業界で言えば「プラス・セキュリティ人材」の育成がそれにあたります。
国が予算をかけて個人の成長を支援することは素晴らしい取り組みです。しかしながら、道具・時間・環境すべてが揃えば人は何でもできるかといえば、そうではありません。2022年11月8日にパ―ソル総合研究所が行ったグローバル就業実態・成長意識調査では、『勤務先以外の学習や自己啓発に投資をしていない・する予定がない』人の割合が60%と他国に比べて圧倒的に高い結果が出ています。しかし、この問題を個人のモチベーションに起因するものと考えるのはあまり生産的ではありません。高度経済成長期に確立した長期安定雇用とジョブローテーションという仕組みによって、日本企業の従業員は常に学びの機会を構造的に得られていたために、能動的に学びに行く必要性がなかったという見方もあります。受動的だった学びのかたちを能動的なものに変える。これがこれからの日本人に必要なスキルと言えるでしょう。海外と比較すると「学ばない人」が統計上は多いのかもしれませんが、周りを見渡してみると日々努力している人が大勢いることも事実です。「何を学ぶべきなのかがわからない」ことが課題なのだとすれば、企業側から何を学んでほしいかを提示することも一つの解決策でしょう。

技術：プログラミング言語「Rust」とメモリ脆弱性

Rustは、今年『ブレイク必至』と称されるプログラミング言語です。Cの代替言語のひとつであるGoが抱えていた「性能と安全性のトレードオフ」を解決する言語として注目を集めています。従来は開発および運用の観点での利便性で善し悪しを語られてきたプログラミング言語ですが、2022年12月1日に公開されたGoogleセキュリティブログ「Memory Safe Languages in Android 13」は、サイバーセキュリティの文脈でのRustの可能性を感じさせる内容となっています。Google社によると、Androidの新しいコードにRustを採用してからメモリ安全性関連の脆弱性が半減しており、その減少傾向が始まった時期がRustを取り入れたそれと一致しているようです。相関関係が必ずしも因果関係を表すわけではありませんが、2019年には223件だったメモリ安全性関連の脆弱性が、2022年には85件になったことは無視できないでしょう。
これはサイバーセキュリティ業界全体にとっても大きな進歩です。なぜなら、メモリ安全性関連の脆弱性は10年以上にわたって全脆弱性の65%以上を占め続けているからです。実際にAndroidの全脆弱性に占めるメモリ安全性関連の脆弱性の割合も、2019年の76%から、2022年には35%まで減少しています。2022年は、メモリ安全性関連の脆弱性がAndroidの脆弱性の大部分を占めていない最初の年となりました。脆弱性に対するベンダーとしての根本的なアプローチとして大変参考になる事例でしょう。
一方で、Rustを使用し始めたランサムウェア攻撃グループがいることもわかっています。注目すべき点は、Go言語で書かれた「同様のランサムウェア」が、以前タイやインドネシア等の国々のヘルスケア産業や教育産業を標的にしていたことです。Rustは、現時点ではまだ解析が比較的難しく、さらにアンチウイルスエンジンによる検出率も低いため、攻撃者の間で需要が高まっていることが推測できます。

脅威：ランサムウェアマフィアがランサムウェアを使わなくなる日

トレンドマイクロが実施した2022年の国際調査によると、現代のランサムウェア被害の約7割で情報漏洩が伴います。これほどまでに暴露型ランサムウェア攻撃が一般化しているのには、二つの理由が考えられます。一つは、攻撃者側のエコシステムが高度に組織化されたことで内部探索を伴う攻撃手法が取りやすくなったこと。もう一つは、以前ほど防御側が身代金を支払わなくなってきたことで攻撃者側が新たなマネタイズの方法を探っていることです。トレンドマイクロの先端脅威リサーチチームが「Conti」および「LockBit」のリークサイトを監視・分析したところ、身代金を支払った被害者の割合は約16%でした。法規制による身代金支払に対する罰則や防御側の認識の高まりを考えると、今と同じ脅迫の仕方では身代金支払率が高まるとは考えられません。
そこで次に考えられるのは「ランサムウェアを使用しない脅迫」と「ランサムウェアを見せ球とした情報窃取」です。前者は、マルウェアによる暗号化は使わずに、窃取した情報を公開/売却するなどの脅迫により、被害組織に身代金を支払わせるやり方です。自社ブランドや評判が経営に大きく影響する組織の場合は、「身代金を払えば被害に遭ったことがバレずにすみますよ」という犯罪者の交渉に応じるかもしれません。後者は、攻撃者の本当の狙いが身代金獲得ではない場合です。たとえランサムウェアで暗号化に成功しても10社に1社しか身代金を払わなければ、10社から情報を盗んで転売したというビジネスモデルを選ぶ攻撃者が出てもおかしくありません。ランサムウェアマフィアの未来予測研究についてはこちらのリサーチペーパーをご参照ください。

まとめ

2022年10月～12月は、戦略物資に対する歴史的な規制、インフレや景気後退などの経済的揺らぎなど、個人の力では変えることのできない大きなうねりに生活やビジネスが翻弄された期間でした。そんな不確実性の中を生きるために必要な力は、『揺らぐことのない強固さ』ではなく、むしろ『揺らいでも立ち直れるしなやかさ』なのではないでしょうか。「Resilience」という英単語は、しなやかさを連想させる言葉です。そう考えると、サイバーレジリエンスの本質が見えてきます。
法人のセキュリティ責任者がカバーすべき話題は、日々変化し、増え続けるばかりです。我々トレンドマイクロがご提供する情報が、デジタル社会で戦うセキュリティリーダーのみなさまの一助になれば幸いです。

本記事は連載記事です。以下から続きをご覧ください。

石原陽平

トレンドマイクロ株式会社
セキュリティエバンジェリスト

CISSP。犯罪学学士。経済安全保障コーディネーター。世界各地のリサーチャーと連携し、サイバー犯罪の研究と情報発信を担う。また、サイバー空間における脅威概況や特定専門領域（産業制御システム/IoT/5Gなど）のセキュリティ調査/発信も担当。日本の組織の経営・役員に向けた講習、サイバーセキュリティの国際会議での講演などを通じ、ビジネスとデジタル技術の関係性や、サイバー事故の犯罪学的/地政学的考察に基づく、サイバーリスク対策の啓発を行う。

講演実績：Gartner IT SYMPOSIUM/Xpo™ 2023、SANS ICS Summit 2022、CYBER INITIATIVE TOKYO（サイバーイニシアチブ東京）2022、デジタル立国ジャパン・フォーラム 2022、制御システムセキュリティカンファレンス 2021・2022など