Vision

情報セキュリティの主要トレンド:2019年のRSAカンファレンスの主要4テーマを予測

情報セキュリティの主要トレンド:2019年のRSAカンファレンスの主要4テーマを予測
(BigStock Image / アンドレイ・サスロフ)

来週、世界最大級のセキュリティカンファレンスの一つであるRSAが、サンフランシスコのモスコーニ・コンベンションセンターで開幕します。毎年、数万人の情報セキュリティ(Infosec)専門家がRSAに集まり、サイバーセキュリティに関する研究成果を共有し、同業者とのネットワークを構築し、研究者やセキュリティベンダーから最新の防御技術について学びます。個人的には、Black HatやDEF CONといったセキュリティカンファレンスで得られる詳細な研究とトレーニングを好みますが、最新かつ最高の防御技術についてより深く学びたいのであれば、RSAは注目すべき重要なカンファレンスです。

このようなカンファレンスにご参加いただいたことがある方は、毎年特定のトピックやテーマが主要な焦点となる傾向があることをご存知でしょう。2014年のランサムウェアのような新たな脅威や、数年前のクラウドのように業界を変革する技術革新など、特定のトピックが自然発生的に浮上し、最終的に多くの議論と注目を集めます。では、今年のRSAを席巻するテクノロジー、トレンド、トピックは何でしょうか?水晶玉を振りかざして、いくつか推測をさせてください。

まず、2019年のカンファレンスの公式テーマ「 Better(より良い)」から始めましょう。RSAカンファレンスの主催者は毎年、様々な参加者や関係者の意見を参考にして公式テーマを選定しています。「Better」とは、高度なサイバー脅威から世界を守るために、業界が技術ツールの改善を必要としていることを意味しますが、同時に、セキュリティ専門家からCEOまで、私たち全員がデジタル攻撃やインターネット攻撃から身を守るために、より一層の努力をする必要があることも意味しています。これには、最新の脅威に関する知識を習得し、セキュリティ意識と教育を熱心に高めることから、適切なセキュリティ対策を実施するために必要な予算を管理者に確保することまで、あらゆることが含まれます。

業界全体が団結してより良い成果を上げる必要があるという考え方には確かに一理ありますが、個人的には、このテーマはやや曖昧で抽象的、そして具体的な行動に移せないものだと感じています。むしろ、カンファレンス中に研究者や業界全体が議論するであろう主要な課題やトピックに焦点を当てたいと思います。この点を踏まえ、今年のRSAで議論されるであろう4つの主要なトピックについて、私の予想を述べたいと思います。   

モノのインターネットは依然として最も弱いリンクであり、最大の標的です。

これは一部の人にとっては当然の予測のように思えるかもしれませんが、それでも、モノのインターネット (IoT) 製品のセキュリティの低さは、RSA 2019 のみならず今後何年も主要な議論のトピックであり続けると私は考えています。多くの IoT デバイスのセキュリティの欠如は、ここ最近のあらゆる情報セキュリティ ショーで話題になっていますが、それには十分な理由があります。当初誰も予想していなかったほどの速さで、数え切れないほど多くの新しい IoT デバイスが市場に投入されています。その一方で、多くのセキュリティ研究者は、これらのデバイスのほとんどがセキュリティを考慮して設計されておらず、2000 年頃の最も基本的なセキュリティ上の欠陥の影響を受ける可能性があることを発見しました。これは何を意味するのでしょうか。新しい IoT 製品の大部分は、デフォルトのパスワード、あるいはさらに悪いことにハードコードされたパスワードで出荷されています。これらの製品は暗号化されていない通信とネットワーク サービスを使用し、従来のソフトウェア メーカーが 10 年前に修正した基本的なコーディングとセキュリティの脆弱性を抱えています。

それでもなお、一般の人々はこれらの製品のセキュリティ上の欠陥を顧みず購入し、使い続けています。これは、ベンダーにとって、セキュリティ対策が不十分なままでも事業を継続できるということを証明しているのです。今年のRSAでは、多くの研究者がIoTデバイスの新たな欠陥を明らかにし、問題をさらに深く調査して、業界全体にわたる新たな解決策を提案することになるだろうと予想しています。

機械学習と人工知能は、引き続きトップの流行語となるでしょう。

人工知能(AI)と機械学習(ML)はどちらも以前から存在していましたが、ここ数年で飛躍的な成長と改良を遂げています。企業はようやくこの新しい技術を斬新かつ具体的な形で製品化し始めており、セキュリティ業界も例外ではありません。RSAでは、ML/AIを活用して効果を高め、新たな脅威を検知・ブロックし、特定のセキュリティタスクの拡張・自動化を支援する、新旧両方の防御製品が見られるでしょう。しかし、攻撃者も現状維持ではありません。ハッカー自身がML/AIをどのように活用し、脅威がセキュリティ対策を回避しているかを示す新たな調査結果も出てくるでしょう。IoTと同様に、今年のRSAをはじめとする主要なセキュリティショーでは、ML/AIが大きなテーマとなることが予想されます。

セキュリティの自動化とオーケストレーションがより普及します。

ビッグデータと人工知能が台頭するこのテクノロジー時代において、業界全体の時間、リソース、専門知識の不足が相まって、自動化がITの重要なトピックとなっている理由は明らかです。これは情報セキュリティ業界にも当てはまります。現在、セキュリティ専門家は高額で、確保が困難です。ITインフラは拡大を続け、データは世界中のクラウドリソースに分散しています。加えて、従業員は常にモバイル化しています。多くのITセキュリティ専門家は、最新のパッチを適用する時間さえほとんどなく、ましてやログをスキャンして攻撃の痕跡を探す時間などありません。だからこそ、セキュリティの自動化とオーケストレーションがますます議論の的となっています。ほとんどの専門家は、セキュリティチームを自動化ソリューションで完全に置き換えることは(今のところは)不可能だと考えていますが、より基本的なセキュリティタスクを迅速に処理する方法を見つけたいと考えています。そうすれば、高額で貴重なセキュリティ専門家は、より困難な問題により多くの時間と労力を費やすことができるからです。来週のカンファレンスでは、ベンダーや講演者が、セキュリティ専門家が日々対処しなければならない基本的なタスクの一部を自動化できる製品や技術について、議論やデモンストレーションを行う予定です。

認証とアイデンティティ管理に新たな焦点が当てられることになります。

セキュリティ専門家の多くは、認証がセキュリティの要であることにおそらく同意するでしょう。セキュリティ制御は、一部のユーザーを許可し、他のユーザーをブロックするように設計されていますが、ユーザーが誰であるかを確実に識別できなければ、その制御は無意味になります。多要素認証(MFA)、シングルサインオン(SSO)、生体認証、特権アクセス管理(PAM)といった強力な認証製品は長年存在してきましたが、データ侵害やパスワードデータベースの漏洩が相次いだことで、多くの認証パラダイムの弱点が改めて浮き彫りになりました。その結果、業界では認証へのアプローチ方法を再考し、これまで複雑で高価だった認証技術を一般ユーザー向けに簡素化する取り組みを進めています。多くの専門家が、MFA、コンテキストアウェア認証、ユーザーおよびエンティティの行動分析といった認証の進化を推進し、ユーザーの正確な身元確認能力を向上させ、ログインをより容易かつ安全にする技術が今後ますます発展していくと予想されます。