サイバーセキュリティについての5つの予想

サイバーセキュリティについていうと、2016年は暗澹たる年だった。@DotGovアカウントを持つハッカー達による米国連邦政府職員の情報漏洩に続き、フィリピン選挙委員会で起こった情報漏洩では投票した国民全員の個人情報が暴露され、更にはこれまで報告されていなかったLinkedInやYahoo, Dropbox, Oracleといった企業のユーザ情報の大規模な流出に発展した。

ロシアの犯罪組織による衝撃的なHold Securityからのeメール情報の漏洩も忘れてはならない。他にもGufficer 2.0やバングラデシュで起こったサイバー銀行破り、MiraiなどによるIoTを使ったネットワークサービスプロバイダに対する世界規模のDDoS攻撃、ランサムウェアによるサンフランシスコ市営鉄道(MUNI)へのハッキング、米国大統領選で問題になった国家機密のやり取りに私的なメールサーバを使用することについての議論、サイバー攻撃を国家が支援することに対する非難など様々なことが話題となった。

情報漏洩や悪用など日頃のニュースに出てくるものを挙げればきりがないが、メジャーな事件1件あたりの被害総額の平均を取ると、2016年はこれまでで最悪の年となった。

悲しいことに2017年にはさらなる情報流出やハッキング、ランサムウェア、サイバー犯罪が横行し、公式、非公式を問わず人々のプライバシーや安全が脅かされるとみられている。重要かつ見落とされがちなセキュリティのベストプラクティスについて目を向けようという議論がやがて起こり、そこからリサーチや対話が始まり、実際のアクションとなって身を結ぶことを望むばかりだ。

2017年、この残念なセキュリティ状況から、以下のようなことが起こるだろうと予想する。

#1. Eメールに関するセキュリティに好転の兆しが訪れる

ここ何十年、見向きもされてこなかったPGPやS/MIMEといった認証や暗号化の標準がようやく大々的に広まる可能性がある。煩雑でユーザに煩わしさを与えるという批判はあるものの、これら標準的なEメールセキュリティが幅広く受け入れられることは、2016年のメールハッキング事件から得られたポジティブな反応といえる。

#2. クラウドサービスのセキュリティが強化されるか？

大規模なクラウドホスティング業者たちが、これまではベンダーや運用者が行なっていたセキュリティ上の問題に対処するためのサービスを展開し始めるだろう。これらのサービスを扱う中小企業は今、安定的にレベルが高いサービスを提供することに課題を抱えている。IoTサービスではとりわけそうだ。大規模クラウド業者がこの点をカバーするようになるだろう。

#3. インターネットに接続するための安全基準が決められる

2016年にビデオカメラなど脆弱性を抱えたリスクのある製品により多くの被害が出たことから、ヨーロッパ、あるいは米国でもホームルーターなどインターネットに接続するデバイスには最低限満たさなければならない安全基準が定められることになるだろう。

#4. Open Whisperの様なテクノロジーがさらに広まる

音声、チャット、BitcoinアプリケーションにおけるOpen Whisperのエンドツーエンドのセキュリティの成功が、機械間通信の標準化や展開で模倣されるだろう。

#5. ベンダーと政府の対立

デバイスやアプリケーションに強力なセキュリティを施しているAppleと米国政府との間で諍いがあったが、同じようなことは今後も続き、強い暗号化を米国内で違法とする動きがみられるようになるだろう。2017年以降、政府、企業、コンシューマの間でこのようなことが起こるとみており、１年では収束しない厄介な問題であると考える。

充分なセキュリティが何を指すかということは常に変化しており、それを捉えるために専門家たちは苦心している。2016年でわかったことは、ますますコネクテッドな世界に依存し、我々の生活を脅かす新たな方法を探し当てる悪者の方が一枚上手だということだ。IoTとビッグデータへの依存が人々の生活や企業、政府を変えていくなか、セキュリティ事件が与える唯一のいい影響といえば、自分自身の情報の保護、そしてそれら情報を扱うシステムに対する注意を喚起することくらいではないだろうか。

著者はVerizon, NXP, IBM, E.Onなどと提携しているIoTソフトウェアプロバイダ Greenwave Systemsの主席セキュリティエンジニアである。彼自身IoTの未来を推し進めるいくつかの特許を有する著名なIoTセキュリティエンジニアであり、CESやIEEE、ACM国際カンファレンスでも講演している思想的リーダーでもある。

MARK BAUGHER
[原文4]