ブログの検索

2020年に備えるべきサイバーセキュリティトレンドトップ5
, , , , ,

2020年に備えるべきサイバーセキュリティトレンドトップ5

2020年、サイバーセキュリティ攻撃は加速し、その戦術が進化することは明白です。長年にわたり脅威であった攻撃は、今後さらに増加し、私たちを追いつめていくでしょう。また、ビジネスが新たなイノベーションを採用すれば、新たな脆弱性が出現します。

あなたとセキュリティチームは、その脅威とビジネス上最重要なデータの狭間に立つことになります。しかしあなた1人ではありません。Impervaのサイバーセキュリティエキスパートのチームが、ビジネスの成長にあわせ、テクノロジー、戦略、洞察を提供し、あなたの安全性を確保します。

当社のチームは、すべての業界、すべての成長段階で悩みの種となる脅威の最前線に立ち、その視点を活用することができます。当社のグローバルリサーチチームであるImperva Labは、世界で常に変化し続ける脅威環境を把握し、長期間にわたり常にリスクを測定しています。

チームの専門知識を最大限に活用し、またグローバルな顧客ベースから洞察を引き出して、来年予測されるサイバーセキュリティトレンドについて、次のリストをキュレートしました。2020年に向けて備えが必要なトレンドのトップ5です。

クラウドトランスフォーメーションが加速

中規模そして大企業の多くは、俊敏性や効率を向上するため、すでにインフラストラクチャ、データ、ワークロードの一部をクラウドに移行しています。Forrester Researchによると、現在、ほぼ4分の3の企業がハイブリッドおよび/またはマルチクラウド戦略を実行しています。

多くの場合、クラウドへの移行は、DevOps戦略、マイクロサービス、API、コンテナなどの採用を含む、企業における大規模なデジタル変革の一部です。セキュリティが促進要因となることはほとんどありません。しかし、セキュリティは最も重要な懸念事項かもしれません。クラウドへの変革を可能な限り効率的に成功させるため、企業は高度なセキュリティとコンプライアンスを維持し続ける必要があります。

昨年、クラウド移行のセキュリティ保護について厳しい教訓を得ました。8月に、Impervaは本番環境のAWSアカウントの1つで管理APIキーを不正使用したことによるセキュリティインシデントを発見しました。このインシデントによって、Eメールや、ソルト付与・ハッシュ化したパスワードを含むデータベースのスナップショットが漏洩しました。

調査の結果、当社もクラウド技術の導入と、AWSリレーショナルデータベース(RDS)への移行を改めて実行することになりました。同時に行ったAWS評価プロセス中の重要な意思決定により、データベーススナップショップから情報を抽出することができました。

このインシデントについては、インシデントが発見された2019年8月と、2019年10月に再度、調査が完了したときにブログで述べました。当社のインシデント対応の迅速さ、透明性の高さを誇りに思います。また、調査を通して他の組織にも学びとなり得る洞察が明らかになったと考えます。

自動化攻撃が増加

自動化攻撃は、オンラインプレゼンスを持つすべてのビジネスで問題となっています。ビジネスの原動力であるウェブサイト、モバイルアプリ、APIはどれも、ボットによる絶え間ない攻撃を受けています。

Impervaの2019年版悪質なボットに関する報告によると、実際の人間によるウェブトラフィック量はわずか57.8%で、残りはボットによるものです。ビジネス上好ましいボットも存在しますが(検索エンジン等)、その他は悪質で危険なものです。現在のところ、悪質なボットは全ウェブトラフィック量の21.8%を占めていますが、2020年には増加する以外考えられません。

すべての業界の企業が悪質なボットによる攻撃を受けていますが、特にEコマース企業への打撃は甚大です。そのため、初の業界固有レポートとしてEコマースのボットのレポートを作成しました。このレポートでは、世界中の231ドメインから送信された164億件のリクエストを分析しました。その結果、次のことが判明しました。

  • Eコマースサイトへのトラフィック量の8%は、ボットによるものである
  • Eコマースサイトへのトラフィック量の7%は、悪質なボットによるものである
  • 悪質なボットの5%は、高度なボットに分類される

悪質なボットの戦術である価格スクレイピング、スニーカーボット、グリンチボット、ギフトカードのスタッフィング等からEコマースビジネスを保護する方法の詳細については、こちらのレポート「ボットがEコマースに与える影響」をお読みください。

企業はゼロトラストを導入

ゼロトラストとは、アナリストファームのForresterがアメリカ国立標準技術研究所(NIST)とともに2010年に提唱した概念です。これは、デフォルト設定ですべての人、自社ネットワーク境界の内側の人さえ信頼しないという、厳格なアクセス制御のフレームワークに基づいています。

2018 IDG Security Priorities Surveyでは、「セキュリティを重視する意思決定者の71%がゼロトラストモデルに意識を向け、8%がすでに組織内で積極活用し、10%は試験的な段階にいます。つまり、まだハイプサイクルの初期段階であり、今後数年でさらに導入が増加すると予測される」と述べられています。

2020年にデータセキュリティについて話すときはゼロトラストについても言及されると考えます。時代遅れの、境界ベースのセキュリティでは通常、企業データへの(制限された)アクセス権を持つ内部者を信頼して防御します。そして、ネットワーク境界を外部者から保護することに焦点を置きます。今日、境界は突破されやすく防御は不可能です。ゼロトラストでは、現在のIT環境に沿うモデルを提供します。現在では内側と外側を区別することはほとんど不適切です。

コンプライアンス違反はコストが増大

規制の状況は進化しており、それに伴い新たなコンプライアンス要件も進化しています。コンプライアンスの手順にはリソースと時間が必要な一方、コンプライアンス違反によるコストも増加しています。

Ponemon Instituteによると、「コンプライアンス違反による事業への年間コストは平均1,480万ドル、2011年から45%増」に達しています。「一方、コンプライアンスにかかるコストは平均550万ドル、2011年から43%増」と述べられています。

企業は2020年に、ソフトウェア開発ライフサイクル(SDLC)、および継続的インテグレーション-継続的デプロイ(CICD)のプロセスにセキュリティを組み込むことでリスクを低減し、セキュリティのコスト効率と拡張性を向上させるでしょう。完全に自動化したアプローチにより、コンプライアンスはより迅速になり、そしてコストは低減します。

これはとりわけ金融サービス業界(FSI)に当てはまります。従来の金融機関が急速にフィンテック企業へと変貌しています。顧客の期待は、Google、Apple、Amazon Payの今日の金融取引により再定義されています。同時に、規制はさらに複雑になり、コンプライアンス違反への罰則は厳しくなっています。組織およびエグゼクティブに科せられる次の罰則について考慮が必要です。

  • SOX違反:SOX法第906条は、誤解を招くまたは不正な財務報告の認定に対する罰則の概要を示しています。SOX法第906条では、罰則として500万ドルの罰金ならびに20年以下の懲役を科せられます。
  • PCI DSS違反:決済カード業者は、違反に対して5千ドルから50万ドルまでの罰金を科せられます。
  • EU GDPR違反:グロ―バルな年間収益の最大4%の罰金。

FSIが新しい取引方法の開発とともに統制している新しいコンプライアンス基準が、業界のイノベーションを後押ししています。それも急速に。

企業は多層防御でリスクをバイダウン

組織が新しいデジタル改革イニチアチブを活用するには、スピード、利便性、セキュリティ、リスクという、相反する要件に対する取り組みが必要です。

Marsh-Microsoft 2019 Global Cyber Risk Perception Surveyでは、「組織の23%が、最新のテクノロジーでは、リスクが潜在的な事業利益を上回ると回答しました。また調査回答者の79%が、サイバーリスクをビジネス懸念事項のトップ5に順位付けています」と述べています。

幸い、Impervaのセキュリティエキスパートは、変化の激しい環境でリスクを軽減する多層防御フレームワークを用い、多くの企業のリスク軽減を支援してきました。そして、組織によるリスクの軽減を支える、次の5つのベストプラクティスを開発しました。

  1. エグゼクティブの連携を確実にする
  2. アプリケーションをエッジで保護する
  3. デフォルトでアプリケーションを保護する
  4. 実用的な洞察を得る
  5. オートメーションとDevSecOpsを採用する

それぞれのベストプラクティス詳細とその導入方法については、「リスクのバイダウンにおけるベストプラクティス」をお読みください。

先日、ImpervaのCMOであるDavid Geeと、これらのサイバーセキュリティトレンドについて深く掘り下げるウェビナーを開催しました。そこでは、2020年に取り組む準備をしている、セキュリティの脅威とテクノロジーについてお話しました。こちらからご覧いただけます。

また、ここで取り上げたトレンドについて、年末にかけて、ブログを掲載していく予定です。2020年のトレンドブログシリーズをフォローするには、こちらからImpervaブログの受信登録を行ってください。

Imperva社員一同、皆さまが楽しい休暇を過ごされるよう、また、来年が良い(そしてセキュアな)一年になりますよう、心よりお祈り申し上げます。