海の向こうの“セキュリティ”

2030年に向けたサイバーセキュリティの脅威と、各分野の専門家との分析結果を含む報告書をENISAが公開

ENISA、2030年に向けたサイバーセキュリティの新たな脅威とその特定方法を公開

 欧州ネットワーク情報セキュリティ機関(ENISA:The European Union Agency for Cybersecurity)は、2023年3月末に「Identifying Emerging Cyber Security Threats And Challenges For 2030(2030年に向けたサイバーセキュリティの新たな脅威と課題の特定)」を公開しました。これは、欧州連合のインフラやサービス、そして欧州社会と市民のデジタルセキュリティを維持する能力に影響を及ぼす可能性のある将来のサイバーセキュリティの脅威を特定し、かつそれらに関する情報を収集することを目的とした研究の成果です。主な想定読者は、国のサイバーセキュリティ当局、国やEUの意思決定者、専門家、実務家など、サイバーセキュリティ領域の関係者であり、特にサイバーセキュリティの実務者や対応チームに対しては、特定された脅威とシナリオを使ってレジリエンス(回復力)と対応体制を構築することを期待しているようです。

 まず注目すべきは、いわゆる「サイバーセキュリティ」の観点だけでなく、PESTLE(政治:Political、経済:Economic、社会:Social、技術:Technological、法律:Legal、環境:Environmental)の面からも分析している点です。

 分析の結果として特定された脅威の上位10項目は以下の通り。

1. ソフトウェアの依存関係におけるサプライチェーンのセキュリティ侵害

2. 高度な偽情報キャンペーン

3. デジタル監視権威主義の台頭/プライバシーの喪失

4. サイバーフィジカルエコシステムにおけるヒューマンエラーと悪用されたレガシーシステム

5. スマートデバイスのデータで強化される標的型攻撃

6. 宇宙基盤のインフラやオブジェクトの解析・制御の欠如

7. 高度なハイブリッド型脅威の台頭

8. スキル不足

9. 単一障害点としての国境を越えたICTサービスプロバイダー

10. 人工知能の悪用

 上記で挙げられた脅威はいずれも至極もっともなもので意外なところはないですが、今回公開された文書では、これらの脅威の特定方法が詳細に説明されており、今後、同様の分析を行う際に参考となる内容となっています。

 一般的にこのような脅威予測はサイバーセキュリティの専門家だけで決められることが多いですが、ENISAによる今回の分析はPESTLEの各分野の専門家と2022年3月から8月にかけて行なったワークショップやインタビューに基づいており、全体としては以下の4つのフェーズで進められました。

1. 共同探究(collaborative exploration)

 専門家の知識、フィードバック、検証を統合したトレンド調査と情報収集。

2. グループ予測ワークショップ(group forecast workshops)

 PESTLEのいずれかの分野で経験を積んだ専門家のグループを集め、特定されたトレンドについてさらなる議論、探究、評価を行ない、優先順位を付ける。

3. 脅威特定ワークショップ(threat identification workshop)

 サイバーセキュリティの専門家の小グループに、優先順位を付けたトレンドを組み合わせたシナリオを提供する。そのシナリオは脅威に関する内容を伝える媒体としての役目を果たすだけである。グループはシナリオを探究するにあたり、登場人物を作成し、想像力豊かな短いSFエッセイを書く。次に、専門家は敵対的な視点を仮定し、描かれた未来における潜在的な脅威アクターや脆弱性を探究する。このように視点を変えることで、グループは敵対者の動機を確立し、起こりうる脅威を定義することができる。

4. 脅威優先順位付けワークショップ(threat prioritization workshop)

 専門家らによって特定された脅威は、可能性、影響、新規性、およびその脅威がENISAによって過去に公表されたものかどうかの点数で評価された。今回のプロジェクトでは、あまり知られていない脅威を優先するために新規性が考慮されている。

 最終的な点数の付け方など、さらなる詳細については原文を参照してください。

 次に、上記のフェーズ2「グループ予測ワークショップ」の結果として、PESTLEの各観点で優先順位付けされたトレンド(脅威そのものとは限らない)を以下に紹介します。サイバーセキュリティとは直接関係しないように見える項目もありますが、サイバーセキュリティ以外の専門家たちが何に関心を持ち、何を脅威と考えているかが分かる内容となっており、広い視野で「EUへの脅威」を俯瞰できます。なお、ここでは各項目の見出しだけを紹介していますので、詳細な説明については原文をご覧ください。

政治的トレンド

P1 ICTプロバイダーの地政学的影響力の増大
P2 非国家アクターの政治的パワーの増大
P3 選挙における(サイバー)セキュリティの関連性の増大
P4 サイバーセキュリティの被害者のメンタルヘルスの問題から生じる公衆衛生上の問題
P5 産業用制御システムおよび運用技術ネットワークが脅威アクターに狙われることが増大中
P6 民間セクターのテクノロジー企業への政府の技術的依存度の増大
P7 COVIDが公共分野のデジタル化を加速
P8 人々のデジタル依存度とサイバー脆弱性の増大
P9 削減されたサイバーセキュリティ要員に対するプレッシャーの高まり

経済的トレンド

EC1 スマートシティの台頭
EC2 分散型台帳技術(Distributed Ledger Technology:DLT)の利用が拡大中
EC3 フリーランスのような非伝統的な仕事の仕組みに対する人気が高まっている(ギグ・エコノミー)
EC4 ユーザーの行動を評価するためのデータ収集および分析が特に民間セクターで増大中
EC5 持続可能なエネルギー生産の自動化と接続性への依存度の増大
EC6 アウトソースされたITサービスへの依存度の増大
EC7 EUにおける戦略的技術およびセクターにとって重要な原材料の資源ボトルネックの危険性の増大 ※EUの産業が多くの原材料を輸入に依存している問題
EC8 Web3の台頭によってブロックチェーンを含むさまざまな新技術が活用されている
EC9 世界中のアクセスの増大に伴ってインターネットトラフィックは3倍になるだろう

社会的トレンド

S1 ディープフェイク技術の高度化
S2 データの自動分析に基づいた意思決定が増大中
S3 ブレイン・コンピューター・インターフェースの台頭 ※ブレイン・コンピュータ・インタフェース(Brain-computer Interface:BCI)とは脳の電気的活動とコンピュータなどの外部デバイスを繋ぐインターフェース
S4 デジタル権威主義の台頭 ※インターネットの自由度の低下
S5 日常生活におけるデジタル技術の指数関数的増大
S6 EUにおけるオンライン教育が拡大
S7 AIプログラミングとアプリケーションに対する民主化とアクセスの増大

技術的トレンド

T1 XaaS(Everything as a Service)の需要と供給への支持が増大中
T2 衛星管制インフラの重要性が増大中
T3 AIベースのシステムが、包括性、安全性、倫理性、プライバシー、信頼性、説明可能性に影響を与えるバイアスまたは問題を抱えたまま導入されることが増大中
T4 エクステンデッド・リアリティが主流になりつつある
T5 自動車が相互に接続し、かつ外界と接続することが増え、人間の操作への依存度が低下中
T6 デジタルツインの使用が主流に入りつつある

法律的トレンド

L1 違法ビジネスへの接続性の増大と改善
L2 法執行機関が(暗号化された)ネットワーク上に保存されたデータにアクセスしたり、収集されたデータを使用したりすることの困難さの増大
L3 自分自身(個人、企業、国家)に関するデータをコントロールする能力は、より望ましく、技術的にはより難しくなってきている
L4 ヨーロッパにおける(技術的)法律の導入の増大
L5 技術的な主要プレーヤーのほとんどは引き続きEU域外に居住している
L6 EUの戦略的自治に向けた動きの高まり

環境的トレンド

EN1 リモートメンテナンスにおける新技術使用の増大
EN2 真水の利用可能性の低下
EN3 定期的にパッチを当てていない(当てられない)デバイスの数が増加中
EN4 農業技術と労働力の自動化
EN5 気候変動による異常気象の脅威の増大
EN6 大量絶滅と生物多様性の喪失が継続
EN7 分散型エネルギー資源および代替エネルギー資源の利用の始まり
EN8 デジタルインフラのエネルギー消費量の増大
EN9 化石燃料から水素または電力(需要)への産業転換

 上記項目間の関わりを示したのが以下の図です。

 サイバーセキュリティ以外の観点からも分析された結果ではありますが、最終的に特定された脅威自体は、比較的オーソドックスなもので意外性はありません。それでも、特定方法を明らかにしたことで信頼性を高めただけでなく、今後の同様の分析を行う際の参考となる情報を提供してくれているのは大いに歓迎すべきでしょう。中でも、さまざまな分野の専門家を集めてのワークショップの開催や、脅威シナリオの探究に際して「SFエッセイを書く」のは興味深く、これは企業や組織におけるセキュリティポリシーやインシデント対応マニュアルの妥当性の検証をさまざまな部門の視点から行うなど、セキュリティ対応体制の整備・見直しにも(そのままというわけにはいかないでしょうがアイデアとして)応用できるのではないかと思います。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。