組織の規模に関わらず、サイバー攻撃はこれまでにないほど身近なリスクとなっている。サイバー攻撃の脅威が進化してエスカレートし続ける中、サイバーセキュリティは経営レベルの重要な議題となっている。セキュリティはDX（デジタルトランスフォーメーション）の根幹を成すものでもあり、その状況を理解しておくのは極めて重要だ。

多様化する脅威に備えるには、組織的な対策が必要となる。セキュリティ担当者のみに任せるのではなく、全社が一丸となって安全なデジタル環境を構築していかなければならない。

セキュリティ技術者の貢献を称える「マルウェア対策の日（11/3）」を記念して、現在、そして未来に影響を与えるであろう、サイバーセキュリティの主な課題について解説したい。

1. サイバー犯罪の増加

Cybersecurity Ventures社の調査によると、全世界でのサイバー犯罪による損失額は、2021年から2025年まで年率15%で増加し、年間10兆5,000億ドル（1,435兆円相当）に達すると予測された。これは、あらゆる違法薬物の取引で得られる利益をも上回る。

サイバー犯罪の増加には、サイバー犯罪集団や政府の支援を受けたグループによる活動が背景にあるとされる。同時に、加速するDXによって、アタックサーフェス （サイバー攻撃の標的となる対象）も広がっていることも要因の1つだ。

2. 人材の不足

セキュリティ領域では高スキル人材の需要が高まっているものの、人材不足は拡大し続けている。(ISC)2のサイバーセキュリティ人材調査では、全世界におけるサイバーセキュリティ人材の不足は340万人に達し、70%の企業はサイバーセキュリティの人員を確保できていないと報告された。多くの政府は、この人材不足を改善するための施策を講じている。また、グーグル社、マイクロソフト社、アイビーエム社といった大手企業では、セキュリティ人材のスキル向上を目指した取り組みを活発に進めている。

また、世界経済フォーラムは、いくつかの企業と提携し、個人や企業向けのオンライン教育プラットフォームであるCybersecurity Learning Hubを公開した。このプロジェクトの目的は、セキュリティ人材を教育し、スキルを向上させ、人材不足が叫ばれるセキュリティ領域で重要な職を得られるよう支援するものだ。

3. インクルージョンとダイバーシティ

人材不足は既に顕在化している。同様にセキュリティ業界が直面しているのは、より人材を多様化できるかという点だ。女性など、これまでセキュリティ業界で十分な機会を得られなかった人たちやマイノリティーからの参加を促進するための施策や、ポリシーを策定し直す必要がある。

これは単に価値観に関する課題にとどまらない。ダイバーシティ＆インクルージョンは、イノベーションやパフォーマンス、生産性に寄与するものであり、あらゆる組織の成長のキー・ファクターとなっている。これまで活躍する機会が少なかった人々をサイバーセキュリティ業界へ招き入れることは、セキュリティ人材不足の解消に貢献することは言うまでもないだろう。

4. リモートワークとハイブリッドワーク

コロナ禍によって加速されたDXにより、企業はセキュリティを重要視するようになった。リモートワーク、あるいはハイブリッドワークを導入した場合、オンプレミスのインフラによって社内の境界防御を固めるだけでは不十分になっているからだ。

そして、社内のシステムへ遠隔からアクセスする従業員に対しては、適切なセキュリティ研修とツールを提供し、サイバー犯罪者に狙われるリスクを軽減しなければならない。

5. ダークウェブの隆盛

コロナ禍以降に見られるダークウェブにおける犯罪活動の活発化は、近年の大きな課題となっている。こうしたインターネットの闇に対する脅威インテリジェンスの取り組みの重要性は、ますます高まっている。

ダークウェブの監視は、セキュリティ担当者がサイバー攻撃に対抗する助けとなる。具体的には、詐欺師やサイバー犯罪集団の企みは何か、どのような脆弱性が狙われているのか、企業システムへ不正侵入したり、従業員を欺くために使われているツールは何か、どのような機密情報が闇市場に出回っているのか、といったことを把握できる。

Torブラウザーを使ってみた

6. サイバー犯罪の新たな手法

ソーシャルエンジニアリングの新たな手法が広がっている。これらの変化に対応するため、企業は進化する攻撃パターンを把握し、その情報を従業員へ周知する必要に迫られている。

近年、急増しているフィッシング詐欺の手法の1つが、コールバック型フィッシングと呼ばれるものだ。メールを用いた旧来のフィッシングに、音声を使ったフィッシング（別名ビッシング）を組み合わせた手法である。企業のシステムへ不正侵入し、社内ネットワークにランサムウェアなどのマルウェアを感染させるのに用いられる。

例えば、まず被害者が「契約しているサブスクリプションサービスを更新する必要がある」といったメールを受信する。更新をキャンセルしたい場合、メールに記載された電話番号から「サポートチーム」へ電話をかけるよう促される。しかし、これはまったく偽のコールセンターである。この電話でのやり取りの中で、被害者はシステムへマルウェアをインストールするよう騙されてしまい、その他のコンピューターへマルウェアの感染を広げてしまうのだ。

また、機械学習（ML）技術により、合成音声の生成も大きく進歩してきた。例えば、管理職の声を機械学習ツールによってリアルタイムで模倣し、攻撃者が保有する口座へ送金するよう従業員を騙す手口も多く見られる。

7. 暗号資産（仮想通貨）システムのセキュリティ

消費者・企業・政府がビットコインやその他の暗号資産の使い方を探っているのと同様に、サイバー犯罪者も常に目を光らせている。暗号資産詐欺や、そのシステムの参加者に対するサイバー攻撃は、もはや同業界の脆弱性となってしまった。暗号資産に関するセキュリティの課題がたびたび話題に上るのも不思議ではない。

暗号資産やNFT、Play to Earn（プレイトゥーアーン）ゲームの一般的な知識を得るには、PhishTankのようなプラットフォームを閲覧してみるとよい。暗号資産ウォレットのログイン情報を詐取するよう作られた、無数のフィッシングサイトが毎日報告されているのがわかるはずだ。

暗号資産の取引所さえもAPT （標的に対し、継続的に攻撃を仕掛ける種類のサイバー攻撃）集団の標的となってしまった。Axie Infinityというオンラインゲームのプラットフォームから6億2,500万ドル（854億円相当）の暗号資産が詐取されたのは、北朝鮮のハッカーLazarusグループによるものだったとされている。

8. ランサムウェア

ランサムウェア対策チームが施策を講じ続けているにも関わらず、いまだにランサムウェアは企業が優先的に対応すべき主要な課題となっている。ランサムウェア攻撃に対抗するツールを準備したり、包括的なセキュリティ研修プログラムを提供したりして、被害に遭った場合でも回復できるよう備えておく必要がある。

ランサムウェア攻撃の数は2020年から2021年の間に2倍となり、2023年を目前に控えた今もなお、その脅威は大きな課題となっている。実際、ここ5年間にわたるランサムウェアの進化を考慮すると、ランサムウェアビジネスによるサイバー犯罪業界への資金流入が止むまでには長い時間を要するだろう。

9. メタバース

メタバースの普及が進み、2026年までに全世界の人口の25%は毎日少なくとも1時間は仮想空間で過ごすという予測がある。つまり、メタバースに対するセキュリティも将来、課題となり得るということだ。

ユーザーが交流し、ゲームを楽しみ、さまざまな資産を取引する仮想空間では、多数の攻撃や詐欺が増加してしまうのは避けられない。加えて、新しい技術が広がる際は、セキュリティやプライバシーに対する考慮が必ずしも十分とはいえない点にも注意が必要だ。

10. 教育と啓蒙の向上

セキュリティ業界が常に直面している重要な課題は、既知のセキュリティリスクに対する教育と啓蒙だろう。インターネットやテクノロジーが全世界に普及した今、過去の十数年に比べて、アタックサーフェス（サイバー攻撃の標的となる対象）が大幅に広がっている。

セキュリティリスクが高まる一方で、そのリスクや対策を従業員に周知するための行動は十分ではなかった。従業員が「最も脆弱なポイント」だと指摘されるのはそこに理由がある。しかし反対に、最善の防御にもなると考えられている。従業員がセキュリティに対して注意を払う文化・風土を醸成することの重要性は、いくら強調してもしすぎるということはない。

上記のポイントは、サイバーセキュリティにまつわる課題をすべて網羅しているわけではない。しかし、これらを見るだけでも、これからのサイバーセキュリティの課題に対応するには、セキュリティ担当者だけではなく、さまざまな利害関係者による協力が必要になるのがわかるはずだ。

──マルウェア対策の日を記念して。