信じられないことに2023年もまた、あっという間に終わりを迎え、2024年が始まりました。

さて、2023年に最も注目された話題と言えば、何と言っても生成AIの登場です。これまで、スマートフォンとクラウドこそが私たちの世代における最大の変革だと考えていた人も多かったと思います。しかし現実には、生成AIの登場により、このような状況は一変してしまいました。

この6〜9ヶ月の間、私がサイバーセキュリティ関係の会合に出席した際に、AIが重要なトピックにならなかったことは一度もありません。トピックの例としては、攻撃者がAIをいかに活用しているか、企業がいかにしてAIを自社プロセスに組み込もうとしているか、そしてサイバーセキュリティ機能がいかにAIを活用し始めているかなどが挙げられます。

そして、あらゆる物事の進化がそうであるように、生成AIの進化のスピードには容赦がありません。このような私の経験を踏まえるならば、生成AIが私の2024年の予測に大きな影響を与えていることは当然だと言えます。

ランサムウェアはよりローカルな言語へと移行する

サイバー攻撃を受けた企業の数は増加の一途を辿っており、もはやその被害率は飽和状態に近づいています(過去24ヶ月で少なくとも89%の企業がハッキングを受けています)。このような状況において、攻撃者は、新たなターゲットを見つける必要に迫られています。ChatGPTのようなAIチャットボットを使えば、誰でもあらゆる言語で極めて高いコミュニケーション能力を発揮できるようになります。このため、私たちは、サイバー攻撃がよりローカルな言語へと移行するであろうと予想せざるを得ません。

当社が昨年実施した調査によれば、こうしたサイバー攻撃はすでに英語以外の言語にも及んでおり、非英語圏の国々で最も大きな影響を及ぼしていることが判明しています。このような事態が引き起こされたのは、単にそれらの国々が、これまでそのような攻撃に対処した経験がなかったからだと推測されます。AIチャットボットは、このような傾向をさらに加速させるでしょう。

パーソナライズされた攻撃が増加する

過去に、AIチャットボットは、誰もがパブリックドメインの情報を素早く収集し集約することを可能にしました。しかし、それはレガシーデータに基づくものでした。一方、ChatGPT4.0は、誰もがAPIを通じてインターネット上にある生きた情報にアクセスすることを可能にしました。今や、詳細なプロフィールの収集と構築がより容易になり、AIチャットボットを使用してパーソナライズされたコミュニケーションを動的に作成できるようになっています。このため、私たちは、かつてないほどにパーソナライズされたサイバー攻撃に備える必要があります。特に、ホエーリング攻撃や、経営層をターゲットとした供給および通信フローの中での攻撃が増加することが予想されます。

リスクを理解した上でAIシステムを保護することが求められる

2019年、あるセキュリティベンダーのAIベースのセキュリティエンジンが攻撃者により悪用されました。攻撃者は、AI機能の背後にあるスコアリングを利用することで、既知の悪意のあるものを無害なものに見せかける方法を学んでいました。今後、AIシステムの複雑さ、規模、そして使用頻度が増大し続けるにつれ、AIにより駆動される、かつてないほど重要なビジネスシステムに対するエクスプロイトや脆弱性を発見することに、より焦点が当てられるようになると予想されます。

私が、今後より精密な監視が必要となると予見している具体的な分野の1つとして、「合成ユーザー」が挙げられます。合成ユーザーの例としては、AIとサードパーティアプリケーション間、あるいはAIとAIアプリケーション間の橋渡しをする自律的なアカウントが挙げられます。

データプライバシー法が試される

データのスクレイピングから、コンテンツの生成、そして個人に関するリッチなプロフィールの構築までを可能にするAIツールに関して、私たちは、次のような課題があることを予見する必要があります。すなわち、AIツールはどれほどの量のデータを集約できるのかという問題、そしてデータの集約に関して責任を負うのは誰か(集約するツールなのか、それとも同ツールを使用する個人なのか)という問題です。短期的には、「忘れられる権利」に対する要求が増えることが予想されます。

その一方で、企業や組織は、一般公開されている従業員の個人データへの関心を高めなければならなくなるでしょう。さらに、自社がどのようなデータを保有しているのか、そしてそれがAIツールによりアクセス可能かどうかについて、より詳しく検討することが必要となるでしょう。長期的には、データプライバシー法のさらなる改正も想定しておく必要があるでしょう。

アイデンティティ管理がさらに問われる

近年、SaaSツールの爆発的な普及は、シングルサインオンソリューションを効果的に活用する能力をめぐる課題を企業にもたらしました。現在、生成AIツールを通じて公開情報をスクレイピングできるようになったことで、私たちは2つの段階的な問題を抱えることになりました。

1つ目の問題は、私たちは、このようなデータスクレイピングが、パスワードをハックするためのブルートフォースツールと連携するであろうことを想定しなければならないということです。たとえば、今後は、ペットの名前や家族の名前など、ユーザーがパスワードを忘れないようにするために行う典型的な行為を禁止する必要が出てくるでしょう。企業や組織にとって、すべてのパスワードが強固であることを保証することが、かつてないほどに重要となるでしょう。

2つ目の問題は、生成AIツールが、現実世界におけるコンテキストを許容することで、あたかも自分が信頼できる同僚や第三者と会話していると従業員に信じ込ませる能力を高めていることです。このため、本人が本人であることを確認する他の方法を追加する動きが拡大するでしょう。そのような動きに伴い、多要素認証は、ビジネスの国境を越えて効果的に成長する必要があります。

スキル格差の拡大がセキュリティ成果に基づいたサービスを普及させる

ISC2によるサイバーセキュリティ分野における労働力調査を見ると、サイバーセキュリティに従事する労働者の数が約13%増加する一方で、未充填の欠員数ははるかに急増しており、50%以上の職務が未充填のままとなっていることが分かります。これは、企業や組織が、従業員の潜在能力を最大限に引き出すためのより良い方法を見つけると同時に、サイバーセキュリティ機能をさらに強化しなければならないことを意味します。私は、今後多くの企業や組織が、自社で管理するものと成果ベースのサービスとして利用するものとを比較することになるだろうと予測しています。

一時期、セキュリティは社内で行わなければならないものと考えられていましたが、電子メールのフィルタリング機能の登場がそのような考え方を打ち破りました。今日では、多くの組織がSoCやIR機能の一部をアウトソーシングしています。現在問題となっているのは、アウトソーシングがどの程度まで可能であるか、そしてどの程度までアウトソーシングすべきなのかということです。

サイバーセキュリティ業界への参入障壁は、より低くなると同時により高くもなる

一方、生成AIは、より複雑なタスクの自然言語翻訳を可能にするため、より多くの人々が、より少ないスキルで物事を行うことを可能にします。たとえば、ティア1のSoCアナリストは、AIに複数のベンダーのログを自動的に翻訳させることで、それらのログを翻訳する必要がなくなるため、よりシンプルな方法で仕事が行えるようになると予想されます。同時に、WormGPTのようなツールを使うと、攻撃者が自然言語を通じてより簡単にマルウェアを生成できることを、私たちはすでに目の当たりにしています。

これは、裏を返せば、生成AIツールの開発やカスタマイズを望む企業は、MLエンジニア、AIエンジニア、AIサイエンティストなどの職種をより多く必要とすることを意味します。現在、これらの職種はすべて、通常のサイバーセキュリティ専門家よりもさらに希少なリソースとなっています。

合成ユーザーアカウントが新たな弱点となる

生成AIの利用がビジネスアプリケーションに組み込まれるようになると、テストと監視の両方に合成ユーザーアカウントを使用し、複数の機能間で動的にクエリやデータ交換を行うことが多くなるでしょう。ここでの問題は、これらの合成ユーザーアカウントは多くの場合、機能をテストするために作成されるものであるため、一度設定されると、それらはビジネスシステムで忘れられたアカウントになる危険性があるということです。しかも、それらの合成ユーザーアカウントには、通常、その作成時に過剰な権限が与えられています。

クラウドに対応していないシステムに関連するセキュリティに新たな焦点が当てられる

数年前、私はオフラインシステムを持つ組織とミーティングを行った際に、同組織の出席者から「機密性が高すぎて保護できない」と言われたことを記憶しています。これほど矛盾した発言を聞いたのは初めてでした。同様に、私は、従来のエンドポイント型AVを導入し、レガシーなOTシステムを破棄した組織と話したことも覚えています。多くの場合、レガシーシステムは長い寿命を持つため、同組織は、そのレガシーシステムがもたらす追加的な負荷に耐えられなかったのです。

多くのテクノロジーがクラウドに移行する一方で、企業や組織が抱えるクリティカルなシステムのうち、クラウドに対応していない部分がかつてないほどに拡大しています。そのようなクラウド非対応の部分は、そのクリティカルな性質が理由で、攻撃者により標的とされることや、より汎用的な攻撃の巻き添え被害に遭うことが多くなっています。このような状況を踏まえて、EU NIS2指令のような新たな規制は、クリティカルなビジネスシステムとそれを支えるサプライチェーンに焦点を当てるようになっています。このような動きを受けて、多くの企業や組織は、現在のセキュリティソリューションを見直し、完全なオフライン環境で実行できるように設計された適切なセキュリティソリューションを採用せざるを得なくなっています。

【グローバル調査結果】2023年版 ランサムウェアと最新のSOC〜ランサムウェアがSOCを最新化するために与えた影響〜

セキュリティオペレーションセンター(SOC)は、その規模や成熟度にかかわらず、人材不足、可視性や自動化の欠如、ツールの増加、アラート過多などが原因で、常に窮地に立たされています。攻撃者の一歩先を行くこと、セキュリティ投資に対するリターンを示すこと、そしてスタッフを燃え尽きるほど酷使しないようにすること、このような課題に常に取り組んでいる現状は、多くのSOCにとって耐え難いものです。

サイバーリーズンの新しい調査では、世界8ヶ国、12業種における1,203人のサイバーセキュリティ担当者を対象として、SOCが現在直面している課題は何か、そしてそれらの課題がSOCの最新化にいかなる影響を与えているかについてアンケートを実施しました。

本レポートでは、調査結果を元に、ランサムウェアとSOCの最新化やサイバーセキュリティ担当者が直面している4つの必要性について紹介します。
https://www.cybereason.co.jp/product-documents/survey-report/10369/