重要インフラを守るサイバーセキュリティ戦略 ~第4回 セキュリティリーダーのためのマクロ環境分析~
ホワイトハウスから発表された、重要インフラを保護するための新しい米国国家セキュリティ戦略に着目します。また、最新のランサムウェア動向から、今後の動きを予想します。
政治:重要インフラを守るサイバーセキュリティ戦略、トップダウンで断行
米国時間2023年3月2日、新しい米国国家セキュリティ戦略がホワイトハウスから発表されました。主眼は、重要インフラを保護するためのセキュリティの徹底強化です。対中関係、ウクライナ情勢などの政治的緊張の高まり、またサイバー攻撃の深刻化を踏まえると、この発表の内容は十分に予測可能な内容であったと言えます。
米国では近年、水道局施設などへのサイバー攻撃が複数観測されており、サイバー攻撃は経済的被害に留まらず国民生活の安全を脅かす被害を生み出しかねない緊張感があるといえます。対象の「重要インフラ」には、必要最低限のインフラであるエネルギー・水道・金融・交通・物流などだけでなく、生活に必要な商業施設なども含まれており、国内経済基盤の要となるインフラと捉えられていると考えられます。発表された戦略では、政府組織だけでなく民間も含めて長期的視点でサイバーセキュリティを計画し実現することに関し、強い意思表示がなされています。また、関係民間組織に対し、サイバーセキュリティ体制について一定の義務化を進める方針を掲げています。
ここから学ぶべきことは、デジタル技術が及ぼす我々の生活への影響が飛躍的に(良くも悪くも)大きくなっている現状と、将来はそれが更に大きくなることを前提として、「実現したい未来の姿」を想定し、それを踏まえた技術の使い方とサイバーセキュリティを両輪として計画せねばならないということでしょう。さらに、地政学的な情勢変化や技術革新による急激な環境変化に備え、アジャイルに方向修正・転換ができる体制が必要です。そのためには、組織におけるサイバーセキュリティ戦略・計画は、経営・事業の戦略と直結したものである必要があり、それを統括する立場であるCISOの設置と機能がより必要になるでしょう。
経済:デジタルインフラの負荷、膨れ上がるデータセンターと電力消費
米国時間2023年1月20日、米バージニア州知事Glenn Youngkin氏は、米国Amazon Web Services社(AWS)が同州において2040年までの間に約4兆5000億円を新たにデータセンター構築に投資する計画であると発表しました。
データセンターの役割は、デジタル技術の上に成り立つ現代の社会を支える基盤として、以前にも増して大きなものとなっており、その需要は高まっています。事業用途またプライベート用途でのクラウド利用の拡大はもとより、生成AIの開発、メタバースなど3Dインターネット空間アプリケーションの実現には、莫大なデータを処理し保管維持する必要があるためです。データセンターの増加は、その運用に伴う冷却用などの電力消費の増加も意味し、環境負荷も高まることが分かっています。このような事情を踏まえると、今後データセンターは超過需要になる可能性が高く、クラウド契約であるか個別のデータセンター契約であるかにかかわらず、コストは高くなることが考えられます。
ユーザ組織また企業においては、各データをどのような形で(オンプレ、クラウドなど)、どこに(国内、国外など)持っていることがよいか、一層の精査を行う必要がありそうです。重要な観点としては、自然災害リスクはもちろんのこと、地政学的リスクやコストが挙げられます。コスト効率を図る上では、維持するデータに対する適切な要不要管理も重要となるでしょう。また、データセンター事業者にとっては、上述の通り環境負荷も軽視できるものではありません。目下、地球温暖化による氷河融解が進んでおり、地球温暖化は地球環境の先行きに影を落としています。今後更に厳しい環境負荷管理が求められるであろうことを踏まえると、サステナビリティの取り組みを促進すること、特に省エネやグリーンエネルギー活用の強化が求められます。
社会:日本企業のDX、顧客価値の創出の鍵は「なぜ」から始める
IPAが2023年3月16日刊行した「DX白書」では、デジタルトランスフォーメーション(DX)の取り組みについて米国と日本の企業に対して行った調査結果が解説されています。日本企業においては、デジタル技術導入による業務効率化が進んでいることが明らかになりました。一方で、米国企業と比較して特に差が目立った点としては、DXによる顧客価値創出の取り組みが挙げられます。米国では、顧客価値に直結する価値創出の取り組み(新規サービス開発など)におけるデジタル導入・活用の成功例が目立っている一方で、日本ではその実現がまだ覚束ないことが多いとのことです。日本の組織におけるDX推進課題には複数の要因があり、またDXのフェーズによっても要因が異なりますが、以下の3点は検討に値すると考えられます。
一つ目は、DX自体の理解です。これはまさに入口部分での課題と言えます。そもそもDXの意義とは、デジタル技術の活用により新たな価値を創出することであるはずです。経産省のDX推進施策の中心となる「デジタルガバナンス・コード」では、DXの意味について、「企業が」「デジタル技術を活用」して自身を「変革し」「競争上の優位性を確立すること」と定義しています。このようなDX自体の目的理解が薄い場合、また自組織において実現したい新たな価値の検討が十分でない場合、「DXを行う」こと自体が目的になってしまう危険性があります。結果として、DXで達成すべきことも「デジタル化による業務の効率化」程度に矮小化されてしまいます。まずは経営層や旗振り役部門から一般社員まで、なぜDXを行うのか、DXによって自組織が実現したい顧客価値とは何なのかを定めることをDXの第一歩とすべきでしょう。
二つ目は、組織設計です。DX推進の責任者(部門)の権限・職責と、そこに課されたミッションの性質や大きさに隔たりがあり、影響力を十分に発揮できないケースが挙げられます。このようなケースにおいては、権限のある上位層からDX責任者が適切な権限移譲を受けること、また両者間に直接のコミュニケーションが図れるパスがあり、上位層からDX責任者への十分な支援があることが重要です。米国ではトップダウンの指示により選任部門が権限を持ってDXを断行するケースが多い模様ですが、このような形をそのまま輸入しても日本の組織にはなじまないかもしれません。自組織の特性を踏まえてよりよい形を検討すべきでしょう。
三つ目は、スキルと能力の観点です。一般に、特にDX企画開発のリーダー格には、デジタル技術・ソフトウェア開発手法の素養と、ビジネス開発とピープルマネジメントや利害調整のスキル、失敗を恐れないマインドセットが求められます。組織内に適切な人材が不在の場合、思い切った投資判断も必要かもしれません。上述の通り、DXは事業で実現したいことを改めて見直して、ビジネスモデルをアップグレードする機会でもあり、改革の機会といえます。そのような大きなチャレンジにおいて成功を収めるには、相応の人材が必要であるともいえます。
技術:ChatGPTに見る、生成AIの可能性と課題の本質とは
日本時間2023年3月29日の報道で、高度なAIの開発に対し6か月のモラトリアムを求める署名活動が始まっており、Elon Musk氏ら一部のIT企業代表やAI開発者が署名していることが明らかになりました。他方、イタリア政府は、イタリア国内におけるChatGPTの使用に関し一時全面停止としていました。後者はAIの学習データに関し、データの所有者のプライバシーの扱いについて法に抵触する可能性があることなどを理由としていました。2023年4月28日、個人データ取り扱いに関してChatGPTを運営するOpenAIが改善策を導入したことから禁止を解除しましたが、イタリア当局によると今後も調査は継続するとのことです。いずれも、AIの機能性が向上し使用範囲が急速拡大する中で、プライバシーや著作権の保護、また生成AIによって生み出された成果物を使用する上でのルール作りなどが十分ではないことを示唆しており、法制度の整備は急務です。
しかし、現実的には、法令や各種規制が整備されるまでの間もおそらくAI開発は続行され、またツールが利用可能である限り利用者・利用件数は増加します。規則の現状と現実にギャップが生じることは本ケースに限らず往々にしてあることで、特に事態の展開の早い場合(破壊的技術をベースとした急速なビジネス展開など)、規則整備は後追いになりがちです。だからこそ、個々の組織企業や個人の単位で、各自の知識と倫理観に基づき正しい(よりよい)判断をすることが求められます。
では、現時点で生成AIを利用するにあたって、何を注意すべきなのでしょうか。まず、現在の生成AIの機能について振り返ります。生成AIとは、インプットされた学習データ群を基に、クエリに従い「それらしい」コンテンツを吐き出すものです。AI自身には、内容に対する認識も自覚もありませんし、正確さを客観的に精査する能力もありません。つまり、これらのAIが急にGAI(汎用人工知能:人間の感情に近い作用を持ち、自律的に機能するAI)に変貌することはありませんので、本質的には「人間の代わり」にはならないといえます。
これらのAIの特徴を踏まえると、本質的な問題はインターネットが急発展した際と大きくかわりません。つまり、開発側また使用する側が、インプット(学習)・アウトプットデータの質を把握すること、また権利関係を尊重することが必要です。インプットデータの質については正誤も重要ですが、バイアス(偏り)についてもよく確認する必要があります。バイアスが問題になった有名なケースとしては、人物認識AIが白人データに偏重しており、黒人や黄色人種の認識精度が低い例等があります。同様に、アウトプットについても誤用や過信をしないようリテラシーを持つことが肝要です。
さて、サイバーセキュリティやサイバー犯罪においてもAI活用の試みが進んでいるといえます。トレンドマイクロが運営する脆弱性発見コミュニティZDI(Zero Day Initiative)が先日マイアミで開催したハッキングコンテスト「Pwn2Own」では、リサーチャーがエクスプロイトを作成するにあたりChatGPTを使用し、作業時間を著しく短縮ができた例が見られました。その一方で、ZDIは、ChatGPTのようなAIが自律的にハッキングに及ぶような事態はまだ相当先になりそうと予想しています。これらの意味するところは、戦略的な攻撃者にとってAIは戦術上非常に有用な武器になるであろうということです。事実、AIのユースケースはエクスプロイト作成に留まらず、従来人手の掛かっていたBECやロマンス詐欺などの人の弱み・感情に付け込む詐欺への活用も広がりを見せつつあります。これまでにも増して、個々のユーザ一人一人が情報リテラシーの向上に努めると同時に、セキュリティを含めたITリテラシーを磨くことが重要だといえます。
脅威:ランサムウェアグループ、一般企業と酷似した思考回路
本シリーズ前回の記事内において、ランサムウェア攻撃に対しては防御側の施策強化、また公的な取り締まりの強化を背景に、今後変化が予想されると述べました。その変化の方向性として、「ランサムウェアを使用しない脅迫」と「ランサムウェアを見せ球とした情報窃取」が考えられるとしていました。その後四半期の間に、実際にそのような攻撃が観測されており、ランサムウェアグループの変容は現実のものとなってきています。一例として、ランサムウェアグループ「BianLian」のケースが挙げられます。このケースでは、ランサムウェアを使用しない脅迫だけでなく、被害者に対するランサムウェアグループ側の要求を正当化するようなまことしやかな根拠をでっち上げている点なども注目されます。
犯罪者グループは、今や一般企業と同じように戦略に基づいて事業計画を作り、それに基づいた戦術を使うようになってきています。ランサムウェア攻撃による詐欺・恐喝を通じて回収できる金額が下降する中、「収益性」を上げるためには戦略的になっていくことは当然の流れとも言え、またそのような戦略的なグループが生き残り、強大化(集約)していく可能性が高いでしょう。
犯罪者グループ視点での「収益強化」でまず考えられる点は、オペレーションの効率化であり、その一つが暗号化の省略です。暗号化は複雑なプロセスでありコストがかかるためです。また、歩留まりを上げ、更にリードタイムを短縮するためには、被害者が支払いに応じるような仕掛けを強化することが挙げられます。すなわち、ここで取り上げたBian Lianのように、被害者へのサポートを提供するように見せかけたり、それらしい法的根拠をでっち上げたりすることで被害者の一定の信頼を得るといったことが含まれます。中長期では「犯罪事業のピボット、合併、協業」も増えると思われますが、当座とくに警戒すべきは上述のような巧妙化、また「ランサムウェアを見せ球とした情報窃取(情報売却型)」の攻撃と想定されます。最新の動向についてまとめたセキュリティレポートもご参考ください。
まとめ
2023年1~3月期は、ChatGPTの台頭により生成AIの有用性が一般的に認識されるところとなり、産業界をはじめ多くの業界に衝撃を与えました。これは、AIに関する様々な議論の契機ともなりました。またロシアのウクライナ侵攻を発端とした国際的緊迫感は依然継続しており、解消の兆しが見えない状況でもあります。前者のようなデジタル技術の更なる用途拡大が起こる中で、地政学的リスクの高い状況が継続することは、とりもなおさずサイバーリスクは上昇傾向であるといえます。すなわち、米国国家サイバーセキュリティ戦略に説かれる通り、サイバーセキュリティの役割は今までにも増して高まっているといえ、日に日に変化する状況に合わせて進化することが求められていると言えるでしょう。組織、企業における将来検討の参考に、我々トレンドマイクロがご提供する情報をお役立ていただけますと幸いです。
最新のセキュリティレポートは下記よりダウンロードください。
本記事は連載記事です。以下から続きをご覧ください。
関連記事
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)