サイバーセキュリティ強化へ、社会全体での取り組みが急務に

Last Updated on 2024-04-03 23:37 by 荒木 啓介

サイバーセキュリティは社会全体の問題である。ジェン・イースタリー、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関（CISA）のディレクターは、中国のサイバー作戦に関する最近の議会聴聞会で、サイバー脆弱性の市場に対する脅威と需要が増大していると述べた。イースタリーは、攻撃者にとって簡単になっている原因の一つとして、ソフトウェア設計の不備を挙げた。2023年のサイバーセキュリティ統計によると、ChromeとEdgeを動かすエンジンであるChromiumでは、8つの未知の脆弱性（ゼロデイ）が特定された。CISAは2024年に、連邦ネットワークへの従業員接続を保護するためのVPNソフトウェアの脆弱性を修正する緊急指令を出した。

CISAの「セキュア・バイ・デザイン」イニシアチブは、セキュリティと使いやすさの両方を備えた技術の市場を形成するための第一歩として、ベンダーの役割を強調している。製品開発の初日からセキュリティを考慮することで、セキュアな技術スタックの構築と、セキュリティとパフォーマンスのバランスを実現する製品の確保が可能になる。しかし、市場からの支援なしには、セキュア・バイ・デザインを規制の枠組みとして実現するためのCISAの野心は、AIによって強化された攻撃者に対抗するために必要な変革をもたらすには不十分である。

イースタリーは、「サイバーリスクはビジネスリスクである」と述べ、企業がビジネスプラクティスにサイバーセキュリティを組み込むことの重要性を強調した。CISOの地位を高め、全ビジネスにわたる包括的なサイバーセキュリティの監督を行うことで、サイバーセキュリティをビジネスプロセスの有機的な一部として取り入れることができる。また、サイバーセキュリティとIT専門家は、ユーザーにとって安全かつ機能的なネットワークを構築するために協力する必要がある。

市民が日常生活にサイバーセキュリティを統合することは、社会全体のアプローチの最も困難でありながら最も重要な部分である。市民は、サイバーセキュリティのリスクが個人のクレジットカードや銀行口座を超えることを認識し、サイバーリテラシーとコンプライアンスを高めることが必要である。

【ニュース解説】

サイバーセキュリティが社会全体の問題であるという認識が高まっています。この背景には、サイバー攻撃の脅威が増大している現状があります。特に、中国のサイバー作戦に関する最近の議会聴聞会や、中国のハッカー集団からの情報漏洩が、サイバー脆弱性の市場に対する脅威と需要が増大していることを示しています。さらに、ソフトウェア設計の不備が攻撃者にとっての「簡単なターゲット」になっているという指摘もあります。

CISA（サイバーセキュリティ・インフラストラクチャー・セキュリティ機関）は、「セキュア・バイ・デザイン」イニシアチブを通じて、セキュリティと使いやすさを兼ね備えた技術の市場を形成することを目指しています。これは、製品開発の初期段階からセキュリティを考慮に入れることで、セキュアな技術スタックの構築と、セキュリティとパフォーマンスのバランスを実現する製品を確保することを意味します。しかし、市場からの支援がなければ、このイニシアチブを規制の枠組みとして実現することは困難です。

企業においては、「サイバーリスクはビジネスリスクである」という認識が必要です。CISO（最高情報セキュリティ責任者）の地位を高め、ビジネスプロセスにサイバーセキュリティを組み込むことで、ビジネスの効果性を損なうことなく、成功かつ安全な技術エコシステムと運用モデルを構築することができます。

市民レベルでは、サイバーセキュリティを日常生活に統合することが求められます。サイバーセキュリティのリスクが個人の財産を超え、社会全体に影響を及ぼす可能性があることを理解し、サイバーリテラシーとコンプライアンスを高めることが重要です。例えば、多要素認証のような小さなセキュリティ対策を受け入れ、実行することが、大規模なサイバー攻撃のリスクを減少させる一歩となります。

このように、サイバーセキュリティは個々の企業や個人だけの問題ではなく、社会全体で取り組むべき課題です。技術の発展と共に、サイバー攻撃の手法も進化しています。そのため、セキュリティ対策も進化し続ける必要があります。社会全体でセキュリティ意識を高め、連携して対策を講じることが、サイバー脅威に対抗する鍵となります。

from Why Cybersecurity Is a Whole-of-Society Issue.