2018年もう終わりましたが、ITセキュリティ業界にとって興味深い年になりました。記録的なデータ侵害インシデント、新たな規制、そしてMeltdownとSpectreの問題があったりと、盛りだくさんな年だったと言えるでしょう。一年の締めくくりとして、当ブログにいつも寄稿してくださる皆様(そしてTwitterのフォロワーの皆様)に、記憶に残った出来事は何だったかを尋ねたら面白いだろうと我々は考えました。
サイバーセキュリティ特別研究員 | JUSTIN SHERMAN氏 @ETHICALTECHORG
「1月に、米軍関係者のウェアラブルフィットネスデバイスからのデータを介して、彼らの地理的位置を追跡できることが研究者によって明らかにされました。7月にも、研究者たちは、世界中で活動する諜報機関関係者のリアルタイムの地理的位置を追跡しました。それらの場所には、米国国家安全保障局、MI6、キューバのグアンタナモ湾収容所といった機密拠点が含まれていました。また、パリのフランス対外治安総局やロシア連邦軍参謀本部情報部などの諜報機関の職員の名前も明らかになっていたことが判明しました。この2番目のインシデントでは、問題の米軍関係者たちは、フィットネストラッカーというIoTデバイスを装着しており、それがオンライン上で彼らの位置情報を晒していました。このような事件により、IoTによるプライバシーの侵害が国家の安全にも直接的な影響を与える可能性があることがより明白になりました。」
サイバーセキュリティアドバイザー | CHRISTOPHER BURGESS氏@BURGESSCT
「航空会社は、私たちを移動させることを主な任務としています。しかし、私たちは非常に大事な個人情報も彼らに託しています。このような個人情報は、少しの努力で簡単に詐取されるものです。設定不備だらけのアプリやポータルサイトで、インフラストラクチャーへの侵入を許した航空業界は、データセキュリティは自分たちの責任であること、また、乗客の個人情報の安全維持は、旅客機の安全維持と同様に重要であることを心に留めなければなりません。2018年に発生した、エアカナダ、キャセイパシフィック、ブリティッシュエアウェイズの情報漏洩インシデントは、その典型的な事例です。」
プロフェッショナル・サービス・コンサルタント | CHRIS HUDSON氏 @ASKJARV
「GDPRの施行開始に伴い、2018年の始めにはそれに関連するたくさんのメールで受信トレイが溢れていました。しかし、GDPRのガイダンスにおいて非常に大きな影響を残したのは、「個人データの侵害があった場合には監督機関に通知すること」(第33条)という記載でしょう。セキュリティに関する通知基準の底上げのためにポリシー(特に複数の国をカバーするポリシー)を強化することにより、★★★セキュリティマイグレーションの方策について一般的に議論されるようになるでしょう。そのことは、企業が私たちのデータを安全に保つという義務を果たすうえで不可欠だと私は考えています。GPDRの施行はまだ始まったばかりですが、今後数年の間には、(単にテクノロジーの変化だけではない)ポジティブな変化をもたらすことを期待しています。
戦略&製品マーケティング担当バイスプレジデント | ADRIAN SANABRIA氏 @SAWABA
「最も印象に残った出来事を1つ挙げるとしたら、年初に大騒ぎになったMeltdownとSpectreの脆弱性の問題でしょう。この問題の発生後、良かれと思ってすぐにパッチを適用しようとした人たちは、多大な時間の浪費と損害を被りました。この事件は、セキュリティ業界において、本当の脅威と、私たちが脅威と認識しているものとの間に常にずれがあることを浮き彫りにしました。実際に損害や損失、保険の請求をもたらした事件を見ていると、メディアが伝えている潜在的な脅威とは少しも似ていないと思われることでしょう。我々の業界では、犯罪者の行動や被害者の体験よりも、ベンダー、イベントおよび研究者のアウトプットによって注目が向けられることが多いものです。」
アカウントエグゼクティブ | MARIBETH PUSIESKI氏 @MB_PDX
「私がサイバーセキュリティ業界に入ってから、侵害の規模、件数、深刻性が年々高まっています。これに伴い、個人的あるいは職業的に、プライバシーとは何を意味するのかという議論も増えています。スマートフォン、ソーシャルメディア、デジタルアクセス、Bluetoothなどの利便性が、個人のプライバシーや企業マーケティングに関する懸念を長い間覆い隠してきました。Facebookのフェイクニュース、政治広告、政治活動に絡んだ最近の論争と、9月に発生したFacebookへの侵害インシデントを受け、私たちは確かに転換点に到達した可能性があることを認識しています。
資本主義経済において、このような侵害によって、プライバシー向上への要求が高まり、企業の収益が下降すれば、人々は気を付けるようになるでしょう。マーク・ザッカーバーグに、Facebookの株が7月の最高値から40%も急落したことをどう思うか聞いてみてください。アメリカでは、金以上に変化を生み出すものはありません。ですから、そのうちきっと、プライバシーは保護され、セキュリティの侵害も下火になっていくのでしょう。」
主席ソフトウェアエンジニア | BEN LAYER氏 @BENLAYER
「私にとって、最も重要な出来事は、5月にEU一般データ保護規則(GDPR)が施行されたことです。GDPRは、EU市民のデータ保護を強化することを意図して策定され、収集可能な個人データの種類をユーザーがコントロールする権利を与えるとともに、データを保管する企業がデータを悪用から保護できるようにするものです。
GDPR違反に対する罰則は驚異的なレベルであり、これまでよりはるかに高い罰金が科せられることになります。2018年には、記憶に残る大規模なデータ侵害が多数発生しました。GDPRは、そのような攻撃を防御し、その影響を抑制するための変化をもたらす可能性を秘めています。」
主席市場拡大ストラテジスト | CHUCK BROOKS氏 @CHUCKDBROOKS
「サイバーセキュリティの侵害がノンストップで発生した2018年は、非常に費用のかかる年でした。Ponemon InstituteがIBMの依頼で実施した2018年のデータ侵害コストの調査によると、米国企業に対する平均的なデータ侵害のコストは791万ドルであり、2018年に世界で発生したサイバー犯罪の総コストは1兆ドルを超えていました。私が2018年に最も興味深く、また恐ろしいと思ったのは、攻撃の規模や予想されるコストではなく、米国の都市を標的とした攻撃です。
たとえば、アトランタとボルチモアの両都市は、3月のランサムウェア攻撃の被害を受けました。このハッカーはアトランタ市に55,000ドルを要求しました。また、攻撃からの修復にかかったコストはおよそ2,000万ドルであったと予想されています。ボルチモアでは、救急車両派遣システムがランサムウェア攻撃によってダウンし、数時間にわたって使用不能となりました。時代がデジタルコネクティビティに向かって進むなか、アトランタやボルチモアのインシデントは特に懸念される問題です。
IoTと、「スマートシティ」のセンサーによって、ますます大きな攻撃対象領域が構成されるようになると、私たちの都市生活が危険にさらされるようになるかもしれません。これらの出来事は、2019年以降に拡大する高度なサイバー脅威に対する軽減策が急務であることを、すべての都市や地域に注意喚起しているのです。」
CEO | NICK SANTORA氏@CURRICULA
「私にとって2018年の最も印象に残った出来事は、3月のアトランタ市に対するランサムウェア攻撃でした。アトランタの住民である私は、その影響を目の当たりにしました。ランサムウェアは駆除できず、それより重大な問題は、身代金を払うことだけではなく、攻撃から復旧することでした。
私たちは、この攻撃がアトランタの街全体に与えた壊滅的な影響と、それが世界中に与えた影響をつぶさに目撃しました。事件が発生したあとになって、私たちは多くのことを学びます。しかし、企業はインシデントのシミュレーションを行って自分たちの弱点を理解しておくべきでしょう。」
セキュリティガバナンス、リスク、コンプライアンススペシャリスト | SARAH CLARKE氏 @TRIALBYTRUTH
「2018年に最も印象に残ったのは、人々がプライバシーを手に入れ始めたことでした。私に強烈な印象を与えたのは、クリス・ワイリーが、Facebookやケンブリッジアナリティカ、SCLによるデータ処理、心理測定プロファイリング、心理的操作について暴露したことではありません。GDPRが施行されたことでもありません。英国のEU離脱や米国の選挙に、ロシアがサイバー攻撃によって介入した件でもありません。それは、含意が初めて主張へと変わり始めたことについてです。
テクノロジーのリーダー企業や、開発者のコミュニティ、さらには一部のユーザーを含むさまざまなグループがデータを非倫理的に利用していることに対し、人々が強い怒りを示し、これに立ち向かうべくアクションを起こしているのを私たちは見てきました。人権の侵害に対する嫌悪感が積み重なった結果、消費者はセキュリティとデータ保護に対して、これまでにない関心を寄せるようになりました。これは、私たちが到達するとは思わなかった転換点です。
巧みなごまかしや、偏った解釈、弱気な規制機関のせいで、今後この振り子はきっと無礼なデータの扱いを許してしまう方向に戻るでしょう(たとえば、スマートホーム用デバイスがAmazonの販売上位を占めていますが、米政府はいまだにデータの密猟者に狩猟のルールを決めさせて、取締りをさせようとしているのです)。それでも、私たちは重要な転換点まで達することができたと私は信じています。
R&Dマネージャー | ANTHONY ISRAEL-DAVIS, SR.氏@ANTHONY_ID
「2018年のFacebookの行動と、ソーシャルメディア全般に対する監視の目が厳しくなったことは、私たちのプライバシーとメディアに対する認識を大きく変えました。私たちの個人データが広告宣伝目的だけでなく、ソーシャルエンジニアリングの武器として悪用するために売買されていることは、ショックではあるものの、驚くことではありません。特にFacebookは、GDPRが大きな影響を及ぼし、プライバシーが米国よりもはるかに社会的通念化しているヨーロッパにおいて動揺しています。マーク・ザッカーバーグが英国議会の召喚を拒否したことからも、いかに同社が切羽詰まっているかがわかります。
このことが、どのような個人情報を自分は提供しているのか、それはどのように使用されているのか、そもそも自分はそのような情報を企業に提供してよいのかといったことをユーザーが考える材料となればよいと思います。ソーシャルメディアは素晴らしいツールです。でも、そこにあるのは、愛猫の動画や子供の写真だけではありません。"Caveat emptor(買い物する者は用心を心掛けよ)"という原則を肝に銘じましょう。」
セキュリティリサーチャー. | LANE THAMES, SR. @LANE_THAMES
「2018年7月23日、米国の複数の公益事業ネットワークに2年間にわたり侵入を行っていたロシア人ハッカーに関する報告が伝えられました。これらの公益事業ネットワークは、米国国土安全保障省(DHS)によって重要インフラとして分類されるものです。
この報告によると、ハッカーらは、サードパーティベンダーにスピアフィッシングおよび水飲み場攻撃を行って最初のアクセスを獲得しています。ハッカーらは、このサードパーティベンダーのネットワークに侵入すると、コントロールルームなどの重要なユーティリティシステムに直接入り込みました。このインシデントは、私たちのサイバーセキュリティの道は前途遼遠であることを示しています。
2018年のサイバーセキュリティ攻撃は、人間の弱みとサプライチェーンの依存性につけこむことにより成功を収めました。私たちは、全従業員レベルのセキュリティ意識向上に向けて頑張らないといけません。サプライチェーンの関係性や依存に対するセキュリティの影響は、急速に注目の話題になっています。サプライチェーンの安全性を確保するための技術的進歩を、近い将来目にすることを私たちは望んでいます。
パート2はこちらからご覧いただけます。
