これからのサイバーセキュリティについて

#はじめに
仰々しいタイトルを付けてしまいましたが、ゆるゆると書いていきます。誰かの役に立つ情報を届けるものというよりは、ただの雑談となります。ご了承下さい。

私は学生の頃から社会人2年目の今まで約5年ほどセキュリティに関わる研究や業務を行ってきました。
本日28回目のクリスマスイブを迎え、そういえばこれからのセキュリティエンジニアってどうなって行くんだろうと素朴な疑問が湧いてきたので、この問題について少し考えてみることにしました。が、前段が長すぎてイブが終わりそうなので適当なところで切り上げさせていただきます。

#情報セキュリティとサイバーセキュリティ
ITの世界でセキュリティと言うと、サイバーセキュリティや情報セキュリティを指していることが多いです。言葉遊び感は否めませんが、前者は包括的な概念で、情報セキュリティだけでなく、アプリケーションセキュリティ、ネットワークセキュリティなど多くの項目を含んでいます。後者は情報資産にのみ着目した考え方で、CIAと呼ばれる、情報の機密性（confidentiality）、完全性（integrity）、可用性（availability）を維持することを指します。違う意味の言葉であることだけご留意下さい。

https://www.iso.org/obp/ui/#iso:std:iso-iec:27032:ed-1:v1:en
https://kikakurui.com/q/Q27002-2014-01.html

#企業におけるサイバーセキュリティの必要性
今はサイバーセキュリティという単語の方がよく使われている感じがするので、「サイバーセキュリティ 必要性」でググってみると、PwC第21回世界CEO意識調査というものの結果に関する記事が出てきます。2018年頃の調査のようです。

・本調査では回答者の40％がサイバー攻撃による最大の影響として、業務の混乱を挙げ、39％が機密データの漏えい、32％が商品の質の低下、29％が物的損害、22％が人命への危害を挙げました。
・しかし、こうした認識にもかかわらず、サイバー攻撃のリスクを抱えている企業は（現実的には、私たちの誰もがリスクを抱えているのですが）、依然としてその対応に無防備です。本調査では、経営幹部の44％が全般的な情報セキュリティ戦略を持っていないと回答しており、48％が認知向上のための研修を行っておらず、54％が事故報告プロセスを持っていないと答えています。

サイバー攻撃によって想定される影響とその対策についてのアンケート結果ですね。何やらサイバーセキュリティに取り組まないと人命にまで影響が及ぶようです。怖いですね。自動運転車、医療機器などを想像するとインシデントが人間の死に直結しそうなイメージが持ちやすいかと思います。

最新の2021年の方の調査では、covid-19を受けてのデータが載っていて興味深いです。詳細は下記のリンクを見ていただければと思いますが、ビジネスの成長を妨げる要因として、コロナ感染の被害が比較的大きい北米やヨーロッパではサイバー脅威が1位となっており、それとは対照的に、アジア太平洋地域ではパンデミックが1位で58%、サイバー脅威は2位で40%にとどまっています。

また、全世界で向こう3年の投資対象として1位DX、2位コスト効率の実現、3位サイバーセキュリティとデータプライバシーが挙げられています。

大雑把にまとめると、おそらくアメリカを中心とした比較的規模の大きい企業に対しての調査において、サイバーセキュリティは必要そうで、しかもなかなか重要視されているらしいということになりそうです。

#機密データの漏洩による影響
企業のような組織では、サイバーセキュリティは現在または向こう数年単位では重要視されているようです。業務や品質に悪影響が出る、顧客へ迷惑をかける、これらによって損害が発生する、といった理由ですね。

機密データの漏洩というのはこれらの問題に密接に関わっています。アクセス情報を窃取されて自社や提携先などのシステムへの不正な侵入が行われれば、業務や品質に悪影響が出る可能性がありますし、顧客の情報を漏らせば、それに対する損害賠償や信用の失墜といった形で被害を受けます。

顧客へ迷惑をかける、信用が落ちる、という観点についてはtoBなのかtoCなのかによっても違いそうですが、イメージしやすい後者について具体的にどんな影響があるのか見てみます。

例えば、2014年にベネッセから顧客の個人情報が大量流出した事件は非常に有名ですが、これによって会員数がどう変化したのかを確認してみました。

2014年の会員数は3,650(千人)であり、最も会員数の少なかった2016年には約67%にまで会員数が減少しています。下のグラフからは個人的な直感とも一致した傾向が読み取れて、一旦解約者が増加するものの、しばらくすると、むしろ会員数は緩やかに増加しています。こどもちゃれんじは0~6歳、進研ゼミは小中高生向けであることと、子供の人口が減少していること（15歳未満は2015年で1,595万人、2020年で1,512万人）を踏まえると、緩やかな増加と言えど印象的なデータだと思えます。

https://www.benesse.co.jp/customer/bcinfo/01.html
https://pdf.irpocket.com/C9783/ng2K/HdMf/oVAS.pdf
https://www.stat.go.jp/data/jinsui/topics/topi1251.html

ベネッセの件はあくまで一例でしかありませんが、日本ではブランドイメージが確立されている企業は多少のインシデントを起こしてしまっても、消費者から見向きもされなくなるようなことはあまりない気がします。毛色は違いますが、過去に異物混入で話題になり、一時的に売上が落ちていたマクドナルドもコロナ禍の今では非常に景気が良さそうですね。他の業界でも同様の傾向があるように感じます。

この理由については、熱しやすく冷めやすい国民性によるとでも予想しておきます。

#個人情報の漏洩による被害
企業が個人情報（＝個人を特定できる情報）を漏らしてしまった際の影響について簡単に言及しましたが、個人が受ける被害にはどのようなことが考えられるでしょうか。

おそらく以下のようなことが予想されます。
・迷惑メール、電話（勧誘、架空請求、詐欺など）
・脅迫
・ストーキング
・標的型攻撃の対象となる（さらなる情報漏洩につながる）
・SNS、Webサービス、クレジットカードの乗っ取りや不正利用

こういったことをどう捉えるかには個人差があるように感じます。ある人はこの程度ならどうとでも対処できるじゃんと思うかもしれないですし、またある人は心底恐ろしいことだと思うかもしれません。

恐ろしいと感じる人はSNS、Webサービス、クレジットカードを利用しないことで対策しようとするかもしれません。車を運転して事故を起こすのが怖い人や、電車に乗って痴漢や冤罪に巻き込まれるのが怖い人がこれらを使わずに生活するのと同じようなことでしょう。

#これからの社会 2025年の崖
経済産業省が出している「2025年の崖」という言葉はそれなりに浸透している印象ですが、内容を公式のレポートから引用しておきます。

あらゆる産業において、新たなデジタル技術を活用して新しいビジネス・モデルを創出し、
柔軟に改変できる状態を実現することが求められている。しかし、何を如何になすべきかの
見極めに苦労するとともに、複雑化・老朽化・ブラックボックス化した既存システムも足か
せとなっている。
複雑化・老朽化・ブラックボックス化した既存システムが残存した場合、2025 年までに
予想される IT 人材の引退やサポート終了等によるリスクの高まり等に伴う経済損失は、
2025 年以降、最大１２兆円／年（現在の約３倍）にのぼる可能性がある※１。

（注）経済損失の算出根拠
※１：EMC ジャパン株式会社の調査をもとにした独立行政法人情報処理推進機構のまと
め（2016 年 2 月公開、2018 年 3 月更新）によると、データ損失やシステムダウン等の
システム障害により生じた 2014 年 1 年間の損失額は国内全体で約 4.96 兆円。また、
日経 BP 社「日経コンピュータ 2017.8.3」によると、2010 年代のシステムダウンの原
因別割合として、①セキュリティ 29.1%、②ソフトの不具合 23.1%、③性能・容量不足
7.7%、④人的ミス 18.8%、⑤ハードの故障・不慮の事故 19.7%。レガシーシステムに起
因して起こる可能性があるのは、仮に、このうち①・②・③・⑤とすると、合計 79.6%。
これらを踏まえ、レガシーシステムに起因したシステム障害による経済損失は、現段階
で、最大で 4.96 兆円×79.6%＝約 4 兆円／年にのぼると推定。
また、日本情報システム・ユーザー協会「企業 IT 動向調査報告書 2016」によると、
企業が保有する「最も大きなシステム」（≒基幹系システム）が、21 年以上前から稼働
している企業の割合は 20％、11 年～20 年稼働している企業の割合は 40％。仮に、こ
の状態のまま 10 年後の 2025 年を迎えると、21 年以上稼働している企業の割合は 60％
になる。
これらを踏まえ、レガシーシステムに起因するトラブルリスクも３倍になると推定
すると、レガシーシステムによる経済損失は最大で約 12 兆円／年にのぼると推定。

古いシステムによる障害だけで、経済損失は2025年以降、最大12兆円／年（現在の約3倍）にのぼる可能性がある、と書かれています。これを2025年の崖と呼び、こうならないためにDXが必要というようなことが書かれているわけですね。そこでDXの定義についても引用します。

＜参考：DX の定義＞
DX に関しては多くの論文や報告書等でも解説されているが、中でも、IT 専門調査会社の
IDC Japan 株式会社は、DX を次のように定義している。※1
企業が外部エコシステム（顧客、市場）の破壊的な変化に対応しつつ、内
部エコシステム（組織、文化、従業員）の変革を牽引しながら、第３のプラ
ットフォーム（クラウド、モビリティ、ビッグデータ／アナリティクス、ソ
ーシャル技術）を利用して、新しい製品やサービス、新しいビジネス・モデ
ルを通して、ネットとリアルの両面での顧客エクスペリエンスの変革を図る
ことで価値を創出し、競争上の優位性を確立すること

これを初めて読んだ時は正直驚きました。自分がイメージしていたのはせいぜい働き方改革くらいのものだったからです。この定義だと、その上に新しい製品、サービスなどを作って競争上の優位を確立するというところまで書かれています。

DXはどうやら2段階に分けられて、まずは古いシステムの刷新、次にビジネスの刷新となりそうです。これがどの業界にも必要という話です。例えば大量のデータを収集して解析することで、より良い製品やサービスを提供しようと試みた際に、古いシステムがボトルネックになるからこのような段階を踏まざるを得ないということです。

このようなことをどれだけの企業が成し遂げられるのか疑問はありますが、これが2025年までの社会で起こる変化の一つの大きな軸になるのでしょう。こういった変化の中でセキュリティがどうなっていくのか考えてみます。

#これからのサイバーセキュリティ
話題が転々とするので、いくつかの節に分けてます。

##現在導入が進んでいるセキュリティの考え方
今はゼロトラスト、SASEといった概念が流行っています。

ゼロトラストというのは、これまでの、会社などの拠点とその外側でネットワーク的な境界を作成してセキュリティを考えるやり方を否定するものです。現在では、拠点以外の場所から拠点内の情報にアクセスしたり、クラウドサービスを利用したり、もしくは拠点内でも内部犯行が行われたりと、情報資産を守るためには、境界を防御するだけでは不十分であるため、全て信用することなくセキュリティをデザインしようという考え方です。

SASEというのは、Secure Access Service Edgeという言葉が表す通り、サービスにアクセスする際の境界を安全にしようという考え方です。ゼロトラストでは旧来型の境界防御を否定しましたが、SASEはこれに矛盾しません。言うなれば新型の境界防御であり、拠点内部・拠点内部以外の両方からのインターネットやクラウドサービスへのアクセスを安全にするものです。もちろんそれだけでゼロトラストを完全に実現できるわけではないので、SASEはゼロトラストを部分的に成立させるものになります。

DXの普及には、こういった考え方をセットで考慮する必要があるとされています。

##データ利用の進行
DXが進んでデータによる分析が進めば、セキュリティもより定量的な評価によって導入が決められるようになるのではないかと期待しています。

もし私が経営者なら、セキュリティ製品やサービスを導入する際には、その導入コストや運用コストとそれによって防ぐことが期待できる損害を比較して判断したいと思うはずです。

現在も以下のようなモデルはあるのですが、他の手法を含め、上でも述べた信用の失墜による損害というのがどうしても定量的に評価できないのではないかと感じます。
https://jpn.nec.com/cybersecurity/blog/200911/index.html

それが人々の感情や行動パターンなどのデータの解析が進むことである程度適当な範囲でその損害額を算出できるようになるのではないかということです。

##さらに長期的な視点で
最後に、今度は「サイバーセキュリティ 未来」でググってみたら「A Glimpse into the Future: Trend Micro's Project 2030」というドラマが出てきました。短いので全部見てみました。（最終話がまだ未公開🥺）

色々な社会の変化が描かれていますが、確実に言えることはデータが増加していることです。日本でのマイナンバーカード普及率は現在40％を越えたそうですが、LINEが普及していったように、利便性と同調圧力によって普及率はこれからも上がっていくでしょう。増加したデータの防御にブロックチェーンの仕組みが応用される様子が作中で描かれていましたが、これも現実味があるのではないかと思います。

ドラマの中ではデジタル人格のようなものが生み出されており、それがハッキングされるというようなシチュエーションもありました。このような、現在では存在していない情報資産も防御対象となるのでしょう。

#おわりに
とりとめのない内容でしたが、ここまで読んでいただいてありがとうございました。
メリークリスマスでした。