目次 [ close ]
  1. はじめに
  2. 2023年のサイバーセキュリティのトップ・トレンド
    1. 脅威エクスポージャ管理
    2. アイデンティティ・ファブリック・イミュニティ
    3. サイバーセキュリティ・バリデーション
    4. サイバーセキュリティ・プラットフォームの集約
    5. セキュリティのオペレーティング・モデルの変革
    6. コンポーザブル・セキュリティ
    7. 人間中心のセキュリティ・デザイン
    8. 人材管理の強化
    9. 取締役会による監視能力の拡大
  3. おわりに

はじめに

サイバーセキュリティは、ITシステムの安全性と信頼性を保つために欠かせない要素です。しかし、サイバー攻撃の手口は日々進化し、脅威は増大しています。

2023年には、どのようなサイバーセキュリティのトレンドが見られるのでしょうか?そして、それに対応するためには、どのような対策が必要なのでしょうか?この記事では、サーバーセキュリティの最前線を追いかけます。

ガートナーやJASAなどの有識者が発表した2023年のサイバーセキュリティのトップ・トレンドを紹介し、サーバー管理者やセキュリティ担当者が知っておくべきポイントを解説します。また、実際に発生したセキュリティインシデントの事例も参考にしながら、サーバーセキュリティを強化するためのベストプラクティスをご紹介します。

2023年のサイバーセキュリティのトップ・トレンド

脅威エクスポージャ管理

サイバーセキュリティ最適化の優先順位を絶えず改善するための体系的アプローチ

サイバーセキュリティ最適化の優先順位を絶えず改善するための体系的アプローチ 。脅威エクスポージャ管理とは、組織がどのような脅威にさらされているかを定量的に評価し、その結果に基づいてセキュリティ対策の優先順位を決めるプロセスです。

このプロセスでは、脅威インテリジェンスや脆弱性スキャンなどのツールを活用して、組織の資産やシステムがどのような攻撃シナリオに対して脆弱であるかを特定し、その影響度や確率を算出します。そして、その結果を可視化し、ダッシュボードやレポートなどで経営層や関係者に報告します。これにより、組織は、セキュリティ予算やリソースの配分を効果的に行うことができます。

また、脅威エクスポージャ管理は、継続的に行われるべきものであり、脅威の動向や組織の変化に応じて、常に最適化されるべきです。

対策

その評価結果を可視化し、ダッシュボードやレポートなどで経営層や関係者に報告することで、組織はセキュリティ予算やリソースの配分を効果的に行うことができます。脅威エクスポージャ管理は継続的に行われるべきものであり、脅威の動向や組織の変化に応じて、常に最適化されるべきです。

アイデンティティ・ファブリック・イミュニティ

デジタル免疫システムの概念をアイデンティティ・システムに適用します

デジタル免疫システムの概念をアイデンティティ・システムに適用します。アイデンティティ・ファブリック・イミュニティとは、人間の免疫システムに倣って、アイデンティティ・システムを自己修復や自己防御が可能なものにするアプローチです。

このアプローチでは、アイデンティティ・システムは、様々なコンポーネントやサービスから構成されるファブリック(織物)と見なされます。そして、このファブリックは、予防的なメカニズム(例えばパスワードや多要素認証など)と検知的なメカニズム(例えば異常検知や監査ログなど)を組み合わせて、アイデンティティ・システム全体を保護します。

また、このファブリックは、攻撃が発生した場合には自動的に対応し、被害を最小限に抑えるとともに、原因を特定し、修復することができます。

対策

  1. デジタル免疫システムの適用: アイデンティティ・システムにデジタル免疫システムの概念を適用し、自己修復や自己防御の能力を持たせる。
  2. ファブリックの構築: アイデンティティ・システムを、様々なコンポーネントやサービスから構成されるファブリックとして設計・実装する。
  3. 予防的メカニズムの導入: パスワード管理、多要素認証などの予防策を取り入れて、アイデンティティの安全性を向上させる。
  4. 検知的メカニズムの導入: 異常検知システムや監査ログを活用して、不正アクセスやセキュリティ侵害をリアルタイムで検知する。
  5. 自動対応機能: 攻撃やセキュリティ侵害が検知された場合、自動的に対応措置を講じ、被害を最小限に抑える。これには、原因の特定やシステムの修復も含まれる。

サイバーセキュリティ・バリデーション

特定された脅威エクスポージャを潜在的な攻撃者が実際にどのように悪用するか、および保護システム/プロセスがどのように対応するかを検証するために用いる技術、プロセス、ツールをまとめたものです

特定された脅威エクスポージャを潜在的な攻撃者が実際にどのように悪用するか、および保護システム/プロセスがどのように対応するかを検証するために用いる技術、プロセス、ツールをまとめたものです。

サイバーセキュリティ・バリデーションとは、組織が自らのセキュリティ状況を客観的に評価し、改善するための手法です。この手法では、組織は、攻撃者の視点から自らのシステムやネットワークに対して様々な攻撃シナリオを実行し、その結果を分析します。そして、その分析に基づいて、セキュリティ対策の効果性や弱点を把握し、必要な改善策を実施します。

サイバーセキュリティ・バリデーションは、脅威エクスポージャ管理と補完的な関係にあります。脅威エクスポージャ管理が脅威にさらされている範囲を理解することを目的とするのに対し、サイバーセキュリティ・バリデーションは脅威に対する防御力を検証することを目的とします。

応用

  1. 技術・ツールの導入: 脅威エクスポージャを悪用する攻撃者の手法をシミュレートするための専門的なツールや技術を導入します。これには、ペネトレーションテストツールや脆弱性スキャンツールなどが含まれます。
  2. 攻撃シナリオの実行: 攻撃者の視点から、組織のシステムやネットワークに対して様々な攻撃シナリオを実行し、セキュリティの弱点や脆弱性を特定します。
  3. 分析と評価: 実行された攻撃シナリオの結果を詳細に分析し、セキュリティ対策の効果性や存在する弱点を明確にします。
  4. 改善策の実施: 分析結果に基づき、セキュリティの弱点や脆弱性を修正するための具体的な改善策を実施します。
  5. 連携と補完: 脅威エクスポージャ管理との連携を強化し、組織が直面する脅威の範囲と、それに対する防御力を総合的に理解・評価します。

サイバーセキュリティ・プラットフォームの集約

複雑さを軽減し、運用をシンプルにし、従業員の効率を高めます。

サイバーセキュリティ・プラットフォームの集約とは、組織が使用するセキュリティ製品やベンダーの数を減らし、一元化されたプラットフォームに統合することです。

このことにより、組織は、セキュリティ製品の導入や管理のコストや手間を削減するとともに、セキュリティ運用の効率化や可視化を実現できます。また、セキュリティ製品間の連携や相互運用性も向上し、セキュリティインシデントへの対応速度や精度も高まります。

応用

  1. セキュリティ製品の監査: 現在使用しているセキュリティ製品やツールのリストを作成し、それぞれの製品の機能やコスト、利用状況を評価します。
  2. 統合プラットフォームの選定: 市場で提供されている統合セキュリティプラットフォームを調査し、組織の要件や予算に合わせて最適なプラットフォームを選定します。
  3. 移行計画の策定: 選定したプラットフォームへの移行計画を策定し、段階的に実施します。この際、データの移行や設定の変更、トレーニングなどのタスクをリストアップします。
  4. 連携と自動化: 統合プラットフォーム内でのセキュリティ製品間の連携や自動化を設定し、インシデント検出から対応までのプロセスを効率化します。
  5. 監視とアラート: 統合プラットフォームを使用して、組織全体のセキュリティ状況をリアルタイムで監視し、異常やインシデントが発生した場合には迅速にアラートを受け取るように設定します。
  6. 継続的な評価: 統合プラットフォームの導入後も、定期的にその効果や性能を評価し、必要に応じて設定の見直しやアップデートを行います。
  7. 教育とトレーニング: 組織のスタッフに対して、新しいプラットフォームの使い方や機能についてのトレーニングを提供し、正確かつ効果的な運用をサポートします。

セキュリティのオペレーティング・モデルの変革

テクノロジや分析業務を分散させ、サイバーセキュリティ・リスクに関する意思決定の量、種類、速さを増大させてビジネス成果を促進します。

セキュリティのオペレーティング・モデルの変革とは、組織がセキュリティ機能や責任を再構築し、ビジネスとの連携や調整を強化することです。この変革では、セキュリティチームは、中央集権的な管理から分散型の協働へと移行し、ビジネス部門や他の関係者と積極的にコミュニケーションや協力を行います。

また、セキュリティチームは、最新のテクノロジや分析手法を活用して、セキュリティ情報やインサイトを生成し、ビジネス部門や他の関係者に提供します。これにより、組織は、セキュリティ・リスクに関する意思決定を迅速かつ効果的に行うことができます

応用

  1. 組織構造の再編: セキュリティチームの役割や責任を明確にし、ビジネス部門との連携を強化します。これには、セキュリティの専門家を各ビジネス部門に配置するなどの方法が考えられます。
  2. コミュニケーションの強化: セキュリティチームとビジネス部門との間での定期的なミーティングやワークショップを実施し、セキュリティに関する情報や課題を共有します。
  3. 最新技術の導入: セキュリティ分析や脅威検出のための最新のツールや技術を導入し、セキュリティ情報の収集や分析を効果的に行います。
  4. 情報共有のプラットフォーム構築: セキュリティ情報やインサイトを組織全体で共有するためのプラットフォームやダッシュボードを構築します。
  5. 教育とトレーニング: ビジネス部門や他の関係者に対して、セキュリティに関する教育やトレーニングを提供し、セキュリティ意識の向上を図ります。
  6. 意思決定の迅速化: セキュリティ・リスクに関する情報をリアルタイムで提供し、経営層やビジネス部門が迅速かつ効果的に意思決定を行えるようにサポートします。

コンポーザブル・セキュリティ

サイバーセキュリティ・コントロールをアーキテクチャ・パターンに統合し、コンポーザブル・テクノロジの実装時にモジュール・レベルで適用するアプローチを指します

コンポーザブル・セキュリティとは、組織がビジネスの変化に柔軟に対応できるように、セキュリティ・コントロールを再利用可能なモジュールとして設計し、必要に応じて組み合わせて適用することです。

このアプローチでは、セキュリティ・コントロールは、アーキテクチャ・パターンと呼ばれる一連の設計原則やガイドラインに従って構築されます。そして、これらのパターンは、コンポーザブル・テクノロジと呼ばれる技術や手法を用いて実装されます。

コンポーザブル・テクノロジとは、組織がビジネスのニーズに応じて、既存のシステムやサービスを分解し、再構成し、拡張できるようにする技術や手法です。例えば、マイクロサービスやAPI、コンテナなどが挙げられます。コンポーザブル・セキュリティは、コンポーザブル・ビジネスの変化を保護するために設計されており、ビジネス・プロセスのすべての側面に適用されます。

応用

セキュリティ・コントロールを再利用可能なモジュールとして設計する。

セキュリティ・コントロールは、アーキテクチャ・パターンに従って構築されるべきです。アーキテクチャ・パターンとは、セキュリティの目的や要件に応じて、最適な設計原則やガイドラインを定義したものです。例えば、マイクロサービス・アーキテクチャやAPIセキュリティなどが挙げられます。これらのパターンは、セキュリティ・コントロールの機能や責任、相互作用、依存関係などを明確にします。

セキュリティ・コントロールをコンポーザブル・テクノロジで実装する。

コンポーザブル・テクノロジとは、組織がビジネスのニーズに応じて、既存のシステムやサービスを分解し、再構成し、拡張できるようにする技術や手法です。例えば、マイクロサービスやAPI、コンテナなどが挙げられます。これらのテクノロジは、セキュリティ・コントロールを疎結合で再利用可能なモジュールとして提供します。また、これらのテクノロジは、セキュリティ・コントロールを自動化や監視などの運用プロセスに統合することも可能にします。

セキュリティ・コントロールを必要に応じて組み合わせて適用する。

セキュリティ・コントロールは、ビジネスの変化に柔軟に対応できるように、必要に応じて組み合わせて適用されるべきです。例えば、あるビジネス・プロセスでは、認証や暗号化などの基本的なセキュリティ・コントロールだけで十分かもしれませんが、別のビジネス・プロセスでは、アクセス制御や監査ログなどの追加的なセキュリティ・コントロールが必要かもしれません。このように、セキュリティ・コントロールは、ビジネスの文脈やリスクに応じてカスタマイズされるべきです。

人間中心のセキュリティ・デザイン

デザイン:セキュリティ全体で、技術面だけではなく従業員エクスペリエンスを向上させます

人間中心のセキュリティ・デザインとは、組織がセキュリティを人間の視点から考えることです。このデザインは、行動科学やユーザー・エクスペリエンス (UX) などの分野を活用し、従業員のセキュリティに関する意識や行動を改善します。

例えば、従業員がセキュリティ対策を簡単に理解し、実行しやすいようにすることや、従業員がセキュリティ対策に対して肯定的な感情や動機付けを持つようにすることなどが挙げられます。

人間中心のセキュリティ・デザインは、技術的な対策だけではなく、人的な要因も重視することで、組織全体のセキュリティレベルを向上させます。

手法

従業員にセキュリティに関する教育やトレーニングを提供する。

従業員にセキュリティの基礎知識やスキルを身につけさせるとともに、セキュリティ対策の重要性やメリットを伝えることで、意識や行動を改善することができます。教育やトレーニングのツールとしては、[Microsoft Learn]や[Microsoft Security Awareness Toolkit]などが利用できます。

従業員のセキュリティ行動をフィードバックやインセンティブで支援する。

従業員がセキュリティ対策を実行した場合には、ポジティブなフィードバックやインセンティブを与えることで、動機付けや満足感を高めることができます。フィードバックやインセンティブのツールとしては、[Microsoft Secure Score]や[Azure Sentinel]などが利用できます。

従業員のセキュリティ行動を観察や分析で評価する。

従業員がどのようなセキュリティ行動をとっているかを観察や分析することで、問題点や改善点を把握することができます。観察や分析のツールとしては、[Microsoft Defender for Endpoint]や[Microsoft Threat Protection]などが利用できます。

従業員のセキュリティ行動を設計や工夫で促進する。

従業員がセキュリティ対策を簡単に理解し、実行しやすいように設計や工夫することで、摩擦や障壁を減らすことができます。設計や工夫のツールとしては、[Azure Active Directory]や[Microsoft Identity Manager]などが利用できます。

人材管理の強化

有能な人材を引き付けて定着させるために、人間中心のタレント・マネジメントに焦点を移します

人材管理の強化とは、組織がセキュリティに関するスキルや知識を持つ人材を確保し、育成し、定着させることです。この強化では、組織は、人間中心のタレント・マネジメントと呼ばれる手法を採用します。

この手法では、組織は、従業員の個性や能力に合わせて、キャリアパスや教育プログラムを提供し、従業員の成長や満足度を高めます。また、組織は、従業員の貢献や成果を評価し、適切な報酬やフィードバックを与えます。

さらに、組織は、従業員の健康や幸福をサポートし、ストレスや燃え尽きを防ぎます。人材管理の強化は、セキュリティ人材の不足や離職という課題に対処するために必要です。

手法

人材確保のための取り組みを行う。

セキュリティに関するスキルや知識を持つ人材を採用するために、採用の仕方や条件を整理し、説明をしっかりと行って採用者に寄り添う努力をすることが重要です。また、採用するターゲットの見直しも有効です。例えば、若手や女性、シニアや外国人など、多様な人材を積極的に採用することで、セキュリティ人材の不足を補うことができます。

人材育成のための取り組みを行う。

セキュリティに関するスキルや知識を持つ人材を育成するために、従業員のキャリアデザインが明確であることが重要です。従業員が自らのキャリアパスや教育プログラムを選択できるように、個別のカウンセリングやミーティングを行い、従業員の成長や満足度を高めることができます。また、研修制度や仕組みも確立することが必要です。例えば、階層別・職種別など細かく従業員を分類し、一人ひとりに合った研修を提供することで、セキュリティスキルの向上につなげることができます。

人材定着のための取り組みを行う。

セキュリティに関するスキルや知識を持つ人材を定着させるために、従業員の貢献や成果を評価し、適切な報酬やフィードバックを与えることが重要です。従業員が自分の仕事に対して誇りや達成感を持つように、目標設定や評価制度を明確にし、公正な評価を行うことができます。また、従業員の健康や幸福をサポートし、ストレスや燃え尽きを防ぐことも必要です。例えば、メンタルヘルスケアや福利厚生などの制度を充実させることで、従業員のモチベーションやエンゲージメントを高めることができます。

取締役会による監視能力の拡大

取締役がガバナンス/監視活動の一環として、サイバーセキュリティに注意を払うことを義務付けます

取締役会による監視能力の拡大とは、組織が取締役会の役割や責任を見直し、サイバーセキュリティに関する意思決定や監督を強化することです。この拡大では、組織は、取締役会にセキュリティの専門家を追加することや、取締役会に定期的にセキュリティ状況やリスクについて報告することなどを行います。

また、組織は、取締役会がセキュリティに関する教育やトレーニングを受けることや、取締役会がセキュリティ戦略や予算に関与することなどを促します。取締役会による監視能力の拡大は、サイバーセキュリティが組織の業務や信頼性に与える影響が大きくなっていることを踏まえて行われます。

方策

セキュリティ専門家の追加

取締役会にサイバーセキュリティの専門家を追加し、専門的な知識や視点を取り入れることで、より適切な意思決定をサポートします。

定期的なセキュリティ報告

セキュリティチームは、取締役会に対して定期的にセキュリティ状況やリスク、インシデントの報告を行い、取締役会が最新の情報を持って意思決定を行えるようにします。

教育とトレーニング

取締役会のメンバーに対して、サイバーセキュリティの基礎知識や最新のトレンド、リスクに関する教育やトレーニングを提供します。

セキュリティ戦略の策定

取締役会は、組織全体のセキュリティ戦略の策定や見直しに関与し、長期的なビジョンや目標を設定します。

予算の確保

サイバーセキュリティの取り組みに必要な予算を確保し、適切なリソースやツールの導入をサポートします。

外部の専門家との連携

必要に応じて、外部のセキュリティ専門家やコンサルタントと連携し、取締役会の意思決定をサポートします。

セキュリティポリシーの見直し

取締役会は、組織のセキュリティポリシーの見直しや更新を監督し、組織全体のセキュリティスタンダードを維持・向上させます。

おわりに

この記事では、サーバーセキュリティの最前線: 2023年の最新トレンドと対策について紹介しました。サーバーセキュリティは、ITシステムの安全性と信頼性を保つために欠かせない要素です。しかし、サイバー攻撃の手口は日々進化し、脅威は増大しています。

2023年には、脅威エクスポージャ管理やアイデンティティ・ファブリック・イミュニティなどの新しいトレンドが見られます。これらのトレンドに対応するためには、サーバー管理者やセキュリティ担当者が知っておくべきポイントがあります。また、実際に発生したセキュリティインシデントの事例も参考にしながら、適切な対策を行うことが重要です。