RSAカンファレンス2019アジア太平洋・日本に先立ち、業界専門家がIoTや基幹インフラなどについて見解を共有
シンガポール--(BUSINESS WIRE)--(ビジネスワイヤ) -- 情報セキュリティーに関する世界有数のカンファレンスおよび展示会であるRSAカンファレンスは本日、新たに登場している脅威とセキュリティー技術を取り巻く重要な課題について、専門家の洞察を明らかにしました。
シンガポールのマリーナベイ・サンズ・コンベンションセンターで7月16日(火)〜7月18日(木)に開催されるRSAC 2019 APJに先立ち、RSAC 2019 APJの講演者とプログラム委員を含む業界専門家が、進化する脅威を取り上げ、何が宣伝文句で何が現実かを見極め、それがアジア太平洋地域の最高情報セキュリティー責任者(CISO)にとって何を意味するかを検討しました。
RSAカンファレンスのシニアディレクター兼ゼネラルマネジャーのリンダ・グレイ・マーティンは、次のように述べています。「RSAカンファレンスは適切な議論を促進しつつ、企業がサイバーセキュリティーに関するあらゆることについて、どのように実用的な意思決定を行えばよいのか、情報を提供するプラットフォームとしての役割を果たしています。新技術が次々と生まれているため、企業にとっては、サイバー脅威を戦略的に管理する上で必ずしも役立つとは限らないセキュリティー製品がますます増加している状況です。私たちは、RSAC 2019 APJに参加する業界専門家を一堂に集め、どのようなリスクが過小に、あるいは過剰に取り上げられているのか共有していただくことで、CISOが宣伝文句と現実を区別して、何が真の優先事項かを判断できるようにしました。」
専門家は、業界についての所見や、当地域のパートナーや顧客とのやりとりに基づいて、2019年に激しく議論されている、地域の企業に影響を及ぼす4つの主張について、考えを共有しました。
1.サイバーセキュリティーのソリューションを完全にハッキング不可能にすることはできるのか?
アジアでは、多要素認証ソリューションや生体認証ソリューションなど、詐欺検出・防御ソリューションの導入が増加しています。グランド・ビュー・リサーチによると、個人データのセキュリティーと厳格な規制への準拠が以前に増して重視され、接続機器とクラウド技術への投資が増えるに伴い、アジア太平洋市場は2018〜2025年に急成長する見通しです。そうしたソリューションは攻撃を緩和できますが、企業は技術が配備されているかを確認するだけでは不十分であると、専門家は注意を呼び掛けています。
ユニット42の脅威インテリジェンス、アジア太平洋地域担当主任研究者のビッキー・レイ氏は、次のように説明しています。「生体認証には、いくつかの注意事項や新たなリスクがあるというのが現実です。例えば、個人識別情報はサイバー犯罪者の標的となる可能性があるため、そうした情報をどのように収集、共有し、セキュリティーを確保するかなど、プライバシーに関する懸念があります。生体認証技術は確率や信頼性スコアに依存しているため、システムが、例えば写真などによって騙されるリスクも存在します。このため、生体認証を常にほかのセキュリティー手段と併用することが最良の策です。」
フォーチュン1000企業のエグゼクティブ・アドバイザーで、RSACプログラム委員会のメンバーである1人も、同様の感想を明らかにしました。同氏は次のように説明しています。「これまでに、“特効薬”的なセキュリティー・ソリューションが登場しては消えていくのを見ています。ごく最近までは生体認証がそうでしたが、現在ベンダーは究極のサイバー防御としてAIをもてはやしています。残念ながら、ハッカーは最も弱いリンク、つまり人を標的にするというのが不変の事実です。生体認証はもう一重のセキュリティーとしては妥当ですが、セキュリティーを強化するに過ぎません。ハッカーが、本来ならばしてはならないことをするようにユーザーを説得してしまうと、どんな技術も役に立ちません。」
2. IoT機器にセキュリティーの脆弱性が内在すると、ユーザーをリスクにさらす
モノのインターネットの現象は、ユビキタスな接続機器が重要な物理データを提供し、クラウドを介してさらなるビジネス上の洞察を引き出すことができるため、あらゆる企業や産業にほぼ前例がないレベルの機会をもたらしています。しかし、分散型サービス拒否攻撃の登場や、サーバーを狙ったインターネット・セキュリティーの侵害が増加するなど、セキュリティー上の懸念も生まれています。
専門家は、これが正当な懸念であるとし、エンドユーザーを守るための対策を強化すべきだと警告しています。シマンテックの最高技術責任者(CTO)で中東・アフリカ・東欧担当セキュリティー・ストラテジストのSunil Varkey氏は、次のように述べています。「IoT導入が急速に進み、間もなく日常生活のあらゆる面に影響を及ぼすようになるため、セキュリティー上のニーズを把握する必要があります。この点は、現時点では開発ライフサイクルでの重要な検討事項とはなっていません。このためセキュリティー実務者の大半は、IoTのセキュリティー・プロトコルに馴染みがない状況であり、これは変わる必要があります。さもなければ、脆弱性の悪用や誤った構成が、安全性に大きな影響を及ぼすかもしれません。」
ノキアのアジア太平洋・日本ソリューションおよびサービス担当上席取締役のSrinivas Bhattiprolu氏は、セキュリティーの境界線内を水平移動して資産を脅かす事例が増加していると述べ、こうした脅威がIoT機器を悪用できる可能性について説明しました。「エンドツーエンドのIoTシステムのセキュリティーを確保するには、特定要素のほか、システム全体に関連した脆弱性について明確に理解する必要があります。」(同氏)
3. 基幹インフラの所有者は分離されたネットワークを構築し、インターネットから必須業務を切り離すべきである
最近、アジア太平洋・日本(APJ)の政府や組織は、分離されたネットワークの導入を進めており、電子メールや共有文書からの情報漏洩を防ぐために、職員や従業員が使用する機器のインターネット接続さえも遮断しています。シンガポール政府が2017年5月にこの取り組みを実施したこともその一例であり、攻撃者がインターネットを介して職場のデバイスにマルウエアを埋め込むことを防いでいます。こうした対策が不可欠であるかについては、専門家の間で見解が異なります。
リスポンシブル・サイバーのマネジングディレクターのマグダ・リリア・シェリー氏は、次のように説明しています。「セキュリティーの専門家が従来システムで直面している課題は、その複雑性と、設計によってセキュリティーが確保されていない点です。このためオフネットワークで業務を行うことを余儀なくされています。ネットワークを切り離すことで、サイバー攻撃の可能性を制限し、基幹システムのエクスポージャーを減らして、被害を軽減できる管理能力をもたらすため、今だに一般的な手法です。」
しかしVarkey氏は、この手法がますます困難になっていることを指摘しています。「ネットワーク・セグメントの隔離と分離は、システムと情報が明確な境界線と企業ネットワークの範囲内にあった時は積極的な防御戦略でしたが、もはや問題解決には不十分かもしれません。これはユーザーが異種のマルチクラウド環境で、複数のIT上の役割を持っているためです。」
Varkey氏はさらに、次のように述べています。「基幹インフラの所有者や運用者は、ネットワークの分離だけでなく、システムのセキュリティー確保、パッチ適用、更新、監視が適切に行われていることを確認すべきです。ユーザーがいくつもある検索エンジンの1つを利用して、基幹システムの構成ミスやパッチ未適用を見つけることなどは、本当に簡単です。」
4. AIを活用したシステムは、自己維持とセキュリティー確保が行えるように設計されている
市場調査会社Reportlinker1によれば、アジア太平洋地域はIoT、ビッグデータ、クラウド・コンピューティングなどの先進技術が広く導入されているため、最大のAIサイバーセキュリティー市場になる見通しです。攻撃を防御するAIの能力について専門家は、AIはサイバーセキュリティー・ソリューションを進歩させた反面、サイバー犯罪の脅威を深刻化したと警告しています。
シェリー氏は、次のように説明しています。「最近、あらゆるサイバーセキュリティー・ソリューションにAIが導入されており、企業はこの技術によって攻撃をより迅速に検出できると主張しています。学術研究は、成功率が85%〜 99%であることを証明していますが、これはすべて実装、アルゴリズム、データ次第です。」
「AIが首尾よく機能するには、適切なデータ入力が必要です。入力されるデータが操作されていたり、偏っていると、セキュリティー上の新たな懸念がすぐに生まれるでしょう。入力データと、その完全性や入手性が、AI技術の非常に重要な要素となります。」(同氏)
RSAカンファレンスについて:
セキュリティーがテーマの世界的な一流イベントとオンデマンドプログラムのRSAカンファレンスは、世界のリーダーが集まり、前進し、新たなリーダーが登場する場となっています。RSAカンファレンスは、米国、EMEA地域、アジア太平洋地域、オンラインのいずれのイベントも、セキュリティー業界が参集して現在および未来の課題について話し合う場です。来場者は、個人と企業が成功・成長し、ベストを尽くす上で役立つ人々、コンテンツ、アイデアと出会うことができます。サイバーセキュリティー業界のすべての関係者が集い、サイバーセキュリティー業界に属する“私たち”が共同で、世界中のサイバー脅威に立ち向うための力を得ることができる場所です。RSAカンファレンスは、最新技術と実践的な教育機会の究極のマーケットプレイスであり、業界のプロフェッショナルが自社のセキュリティーを向上させる方法を発見できるように支援しつつ、現代のセキュリティー分野で最も進取果敢な影響力のある、示唆に富んだ思想家やリーダーを紹介しています。イベントに関する情報、オンライン・プログラム、サイバーセキュリティー業界に関する最新のニュースについては、www.rsaconference.comをご覧ください。
RSA Conferenceのロゴ、RSA、Dell、EMC、Dell EMCおよびその他の商標は、Dell Inc.またはその子会社の商標です。その他の商標は、それぞれの所有者の商標である可能性があります。
本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。
Contacts
Amanda Sng / Cheryl Ng
Edelman Singapore
RSACAPJ@edelman.com
+65 6347 2326 / +65 6347 2326