ニュース
「サイバー犯罪市場は違法薬物市場よりも規模が大きい」、米Kyndryl幹部がサイバーリスクを解説
2024年9月17日 06:15
キンドリルジャパン株式会社は13日、サイバーセキュリティに関する説明会を開催し、米Kyndryl セキュリティ&レジリエンシー グローバルプラクティスリーダーのクリス・ラブジョイ(Kris Lovejoy)氏が、AI、量子コンピューティング、ドローンを中心としたセキュリティリスクについて語った。
ラブジョイ氏によると、サイバー犯罪の推定市場規模は10兆5000億ドルにものぼるという。この数字について同氏は、「すべての違法薬物の販売を合わせた市場よりも規模が大きい」と話す。
「攻撃者は、私たちが日々利用している生成AIなどのツールを活用し、即時にマルウェアを作って脆弱性を突くといった攻撃手法を用いるようになっている。また、企業側のアタックサーフェスも拡大している。それは、5Gの展開によってセキュリティが十分担保されていないセンサーが数多く実装されるようになったことがひとつ。また、AIの活用によって扱うデータ量が増加し、そのデータをホストするシステムも増えていることなども要因だ」と、ラブジョイ氏はサイバーリスクが高まっている現状を説明する。
リスクの増加に伴い、各国政府が規制の強化を進めているというが、「規制の多くはプライバシーに関するものであり、サイバーセキュリティやレジリエンスに関する規制が増えているわけではない」とラブジョイ氏。ただし、これまでの規制では、サイバーリスクのマネジメントに関する説明責任を組織に義務付けることはなかったというが、「最近はサイバーセキュリティに関する責任を問う可能性がある規定が盛り込まれるようになってきた」とラブジョイ氏は指摘、「こうした変化に対応するためにも、企業はサイバーセキュリティ対策を強化し、リスク管理を徹底する必要がある」とした。
AI、量子コンピューティング、ドローンのリスク
次にラブジョイ氏は、AI、量子コンピューティング、そしてドローンに関するリスクについて語った。
AIに関しては、組織内での活用が重要視される一方で、誤情報の拡散や選挙への干渉といったリスクを指摘。特に、「不適切なアルゴリズムの学習によるバイアスの発生や、AIを利用した高度なフィッシング攻撃の可能性がある」とラブジョイ氏は語る。従来フィッシング対策では、悪意のあるリンクのクリック率を10%以下に抑えることを目標としているものの、生成AIを用いたフィッシングではこの率が90%近くまで上昇する可能性があるという調査結果も出ているとして、新たな対策の必要性を強調した。
量子コンピューティングについては、「2029年までに商業化が進み、現在の暗号技術を短時間で破る能力を持つ可能性がある」とラブジョイ氏。多くのレガシーアプリケーションがこのリスクに対応しておらず、2000年当時に起こったY2K問題のような状況が再び発生する可能性があることから、「暗号化されたデータリポジトリのインベントリを管理し、暗号化アルゴリズムを拡張できないアプリケーションのアップグレードパスを定義するべきだ」(ラブジョイ氏)とした。
ドローンについては、幅広い分野で活用が進む一方で、「スパイ活動や兵器としての悪用、さらにはAIとの組み合わせによる新たな脅威の出現も懸念される」とラブジョイ氏は指摘。既存の防衛システムでは対応が困難なことから、ドローンの運用を保護するためにもファームウェアの定期更新や強固なパスワードを用いるなど、厳格なサイバーセキュリティ対策を実施するよう促している。
経営陣に求められることとは
こうした中、ラブジョイ氏は経営陣に求められるサイバーセキュリティの重要事項として、「説明責任」「セキュリティ&レジリエンス バイ デザイン」「基本的なサイバーコントロール」「インシデントレスポンス」「インシデントリカバリの強化」の5点を挙げた。
「まず、トップダウンで組織全体が説明責任を果たせるようなシステムを導入すること。また、システムやサービスの開発段階からセキュリティとレジリエンスを考慮し、サードパーティーを含む複数の関係者との依存関係を理解して適切に管理すること。サイバー脅威を特定、防御、対応、復旧するための合理的な制御を実現すること。さまざまな情報に基づき迅速なインシデントレスポンスを実施すること。そして、定期的な予行演習に加え、サイバーインシデント発生時の速やかな復旧プロセスを確立することが重要だ」(ラブジョイ氏)
こうした対策を講じることで、「80%のサイバーリスクに効果的に対応できるだろう」とラブジョイ氏は述べている。
