ベストプラクティス 11-09-2022

デジサート 2023 セキュリティ予測

デジサート
DigiCert 2023 Security Predictions

ホリデーシーズンが近づき、今年も残り数か月となる中、現状を調べて、セキュリティ、テクノロジー、デジタルトラストの将来を予測する良い時期がやってきました。

2022 年にはサイバー攻撃が激しさを増しました。その中で、ソフトウェアサプライチェーンがサイバー犯罪者の格好のターゲットとなりました。実際、1,000 人の CIO を対象とした最近の調査では、対象者の 82 パーセントが、ソフトウェアサプライチェーンへのサイバー攻撃に対する組織の備えは十分ではないと回答しました。要約すると、セキュリティ担当者にはまだまだ活躍の場があるということです。2023 年にはどんな展開があるでしょうか。デジサートのサイバーセキュリティ担当チームのメンバー、Avesta HojjatiDean CoclinMike NelsonSrinivas KumarStephen Davidson、Steve Job、Tim Hollebeek が、来年の予想される展開について意見を述べます。

量子コンピューティングにより暗号化の俊敏性の実現が不可欠になる

現在のテクノロジーで 2048 ビット暗号を解読するには計り知れない時間がかかります。しかし、ある程度高い性能の量子コンピューターを使えば、わずか数か月で解読できてしまう恐れがあります。昨年は、米国商務省標準化技術研究所(NIST)が、従来の方法と量子コンピューターによる解読攻撃に耐えうる暗号アルゴリズムをレビューしたことを踏まえ、耐量子コンピューターの世界に大きな進展があることを予測しました。

NIST は、将来の量子コンピューター攻撃にも耐えうる暗号化ツールの最初のグループを選定し終えました。選ばれた 4 つの暗号化アルゴリズムは、NIST の耐量子コンピューター暗号標準を構成する部分になります。この標準の策定が進むにつれ、暗号化の俊敏性の必要がさらに強調されていくものと思われます。量子コンピューターにより、安全なオンライン取引への脅威が今後増していくことを踏まえて特にそう言えます。NIST が選定したアルゴリズムを各種標準に取り込んでいくには何年もかかる場合がありますが、今からその準備を始めるべきです。この耐量子コンピューター時代において後追いの対策は効果がありません。

業界は、暗号化の俊敏性を向上させることで耐量子コンピューター暗号時代に備える必要があります。暗号化の俊敏性とは、セキュリティシステムが暗号化メカニズムを素早く切り替える能力のことを言い、組織の暗号資産の可視化と動的な移動に焦点を当てます。量子時代と聞くと、かなり遠い将来のように思えるかもしれませんが、実際には将来だけでなく、現在のやり取りも危険にさらされています。暗号化の俊敏性を備えた組織は、暗号がどのように使用されているか熟知しており、問題を特定して修復するためのツールを用意しています。また、暗号ベストプラクティスに関する明確なポリシーも確立しています。さらに、新しい暗号化アルゴリズムをテストする能力を有しています。近い将来、暗号化の俊敏性は、競争上の優位性につながるものと予測されます。

Matter が家庭用電気器具の規格になる

Matter はスマートホームの規格で、 スマートホームデバイスの通信用の共通言語です。これは、コネクテッドデバイス業界を結ぶグローバル規格です。Matter の目標は、市場を簡素化し、各スマートホームデバイスがプラットフォームを越えて連携できるようにすることです。Google、Apple、Amazon、Samsung など、スマートホームテクノロジーの名だたる企業が Matter の採用に意欲を示しており、業界の消費者と製造業者にとって一番有望な規格になっています。

Matter ロゴは、スマートホームテクノロジーにおいて消費者が求めるブランドになると思われます。スマートホームデバイスを探す消費者は、このブランドがないかどうか調べることでしょう。2023 年の間に、Matter に準拠したデバイスがスマートホームに設置されます。Matter は、Bluetooth のように知られた規格になります。いち早く導入された例として、Apple iOS 16 で Matter がサポートされるようになりました。

このような早期の導入があることから、コネクテッドデバイスの製造業者はなるべく早く Matter 準拠に認定されたいと思うことでしょう。Matter に準拠したデバイスの製造業者は、デバイスに Matter ロゴを付けることができます。消費者は、このロゴがあるデバイスが、これまでのお気に入りの製品と安全かつシームレスに連携することを安心して信頼できます。消費者がコネクテッドホームデバイスを購入する際には、当然ながらこの規格が付いたものを選ぶようになることでしょう。ですから、デバイス製品の準拠を今から目指すのは重要です。

コードサイニングがクラウド化への流れを加速する

コードサイニング証明書は、ソフトウェア開発者がアプリケーション、ドライバ、実行ファイル、ソフトウェアプログラムなどに電子署名を行うときに使用されます。受け取ったコードが第三者によって改ざんされたり、危殆化されたりしていないことをエンドユーザーが確認する手立てとなります。コードサイニング証明書には、お客様の署名、会社名、そしてタイムスタンプが含まれています。正当性を証明するために、OV(Organization Validation: 組織認証)コードサイニング証明書が必要になります。

OV コードサイニング証明書に関して変更があります。EV(Extended Validation: 拡張認証)コードサイニング証明書の発行と同様に、物理的なセキュリティハードウェアで発行されるようになります。SSL 規制当局 CA/B フォーラムによると、2023 年 6 月には、OV コードサイニング証明書の秘密鍵を、FIPS 140 レベル 2、コモンクライテリア EAL 4+ または同等のセキュリティ標準を満たすデバイスに保管することが要件になります。これは、証明書が USB デバイスに格納された形で消費者のもとに送付されることを意味し、それをハードウェアセキュリティモジュールに適用することになります。

このような変更により、大勢の消費者がクラウド署名に移行するものと思われます。ハードウェアトークンの交換の手間を省くためです。また、ハードウェア鍵を管理するよりもクラウドに移行することを望む消費者は多いと思われることから、将来のコードサイニングはすべてクラウドベースになると予測されます。

ソフトウェアサプライチェーン攻撃を踏まえて 2023 年に SBOM が広く導入される

世間を騒がせた SolarWinds や Kaseya のインシデントなど、ソフトウェアサプライチェーン攻撃によって、ソフトウェア内の依存関係を理解する重要性が浮き彫りになりました。2021 年に、ジョー・バイデン米国大統領は、国家のサイバーセキュリティを改善するための大統領令を発令し、その中でソフトウェア販売元は、連邦調達機関に対して各ソフトウェアアプリケーションのソフトウェア構成表(SBOM)を提供しなければならないと定めました。SBOM は、アプリケーションを構成するあらゆるソフトウェアコンポーネントの一覧で、アプリケーションコードのすべてのライブラリに加え、サービス、依存関係、構成要素、および拡張機能を含んだものです。

民間企業も SBOM の提供を求められることが多くなっています。たとえば、多くの大企業は、ソフトウェアプロバイダと締結したマスターサービス契約(MSA)の一環として SBOM の提供を要求しています。セキュリティ業界のアナリストは、調達プロセスの一環としての SBOM の作成が一般的な慣習になると見ています。

行政管理予算局(OMB)が公表したより最近の覚え書きでは、さらに踏み込んだ対応が取られており、ソフトウェアサプライチェーンセキュリティに関して連邦機関が遵守する必要があるセキュリティ要件が新たに設定されています。これによると、ソフトウェア制作者は、NIST ガイダンスへのコンプライアンスを証明しなければならず、ソフトウェアを行政機関に販売する企業は、NIST ガイダンスに照らしてそのソフトウェアを評価したうえ、NIST ガイダンスへのコンプライアンスを認定する必要があります。

これは、製品のセキュリティを確保するプロセスに、ソフトウェア制作者の関与がより求められていることを意味し、その鍵となるのがソフトウェアサプライチェーンの可視性です。ソフトウェアサプライチェーンに情報と可視性をもたらすため、2023 年には SBOM が広く普及するものと思われます。現在、ほとんどの要件の設定は国家レベルで進展しているものの、商業市場にもほどなくして SBOM が波及することを期待できます。

物理的な SIM が eSIM と iSIM テクノロジーに取って代わられる

多くの人は、加入者識別モジュール(SIM)についてよく知っています。これは、携帯電話に差し込まれたリムーバブルカードで、ホストデバイスのネットワークが変わる際に物理的に交換する必要があります。より最近では、eSIM (Embedded eSIM)が登場しました。これは、従来の SIM テクノロジーに代わるテクノロジーとして導入されました。eSIM も物理的なカードではありますが、デバイスから取り外せない方法で取り付けられています。eSIM 内のデータ更新は、RSP(Remote SIM Provisioning)ソリューションを通じて実行可能です。

ここで、iSIM(Integrated SIM)が登場します。これは、物理的な SIM より小さく、安全性もより優れています。iSIM には別個のプロセッサは必要なく、かなり小型化されているため、ハードウェア内の場所をあまり取りません。iSIM は、デバイスのシステムオンチップ(SOC)アーキテクチャ内のセキュアで信頼される領域に内蔵されています。これは、SIM 機能をデバイスのメインプロセッサに埋め込みます。

Qualcomm、Vodafone といった業界リーダーは、iSIM の概念実証を行って、SIM スロットをなくせることを示しました。次世代のスマートフォンでは従来の SIM ハードウェア機能が取り外され、信頼の基点として eSIM と iSIM が採用されるものと思われます。

EU デジタル ID ウォレットおよび欧州デジタルウォレットが世界的なモデルになる

EU デジタル ID ウォレットは、eIDAS 規制のもとで欧州委員会が進めるイニシアティブで、ヨーロッパ全土における統合されたデジタル ID システムの構築を目指します。EU デジタル ID ウォレットでは、欧州市民は政府発行の公的身分証明書の eID バージョンを安全なモバイルウォレットアプリケーションで携帯し、オンライン認証や電子署名で使用できるようになります。さらに、これらのウォレットには「電子属性証明」も付属します。これは、専門資格のような ID の補足的な側面で、個人 ID と一緒に、あるいは別個に提示することができます。EU は、金融サービス、教育、ヘルスケアの分野において数多くの越境プロジェクトを抱えています。

Apple Pay と Google Pay が電子決済の手段として広く普及したのと同様に、EU デジタル ID ウォレットもデジタル ID の手本として、世界の他の地域が参考にしていくものと思われます。ヨーロッパ大陸において、デジタル ID ウォレットの導入に向けた法的フレームワークとポリシーが整備されたため、ユーザーは、デジタルウォレットでの必要に応じたクレデンシャルの格納、公開をより気軽に行えるようになることでしょう。もちろん、ID ウォレットの普及の流れには、デジタルトラストの環境の拡大も伴っている必要があります。

DNS の重大性が増す

DevOps オートメーションと IaC (Infrastructure as Code)の成長が続くのに伴い、DNS もますます重要になってきます。

開発チームがよりリモートでグローバルになるにつれ、生産性目標を達成するのに継続的インテグレーション、継続的開発への依存度を高めることがこれまでになく重要になっています。開発者が、全世界に広がる実装環境とシステムに接続する中で、DNS 変更を自動化する能力はかつてないほど重要性を帯びています。

IaC は、あらゆる規模の組織が採用できるベストプラクティスとして成長を続けることでしょう。大規模なサーバー環境は、実装して自動化されることで、オートメーションと予測可能性が実現されます。

DNS サービスの稼働時間は長く、高速です。また、高速な DNS 伝播は、組織にとって不可欠なツールセットです。生産性と信頼性の向上を目指す取り組みが成功するには、明確に定義された API、SDK、インテグレーションの存在がきわめて重要です。

犯罪者がゼロトラストの弱点を突いてくる

ゼロトラストが IT システムの標準セキュリティアプローチとしての地位を確立するにつれ、攻撃者も攻撃アプローチを変えて、ゼロトラストフレームワークを攻略しようとするものと思われます。

攻撃者は新たなテクノロジーを実装するとともに、将来の攻撃の成功率を上げようとします。技術に精通する攻撃者は、人工知能、敵対的機械学習といったテクノロジーを実装して、不適切に展開されたゼロトラストフレームワークの弱点を探ろうとするかもしれません。これは、新しいフレームワークを実装するだけでは十分ではないことを示すもうひとつの事例です。新しい障壁の設計/配置に伴って、敵対的なアプローチも変化していくことを考えれば、セキュリティフレームワークの継続的な進化は必須条件です。

攻撃者が人工知能(AI)と機械学習(ML)を使用して既製のセキュリティソリューションを無効化したり、AI ベースのファジー攻撃を展開したりする事例はすでに確認されています。技術に精通した攻撃者に対して、動的なゼロトラストアプローチの保護がどの程度有効かは、今後明らかになってきます。

UP NEXT
セキュリティ

OpenSSL、バージョン3.0以上の重大な脆弱性に対するパッチをリリース

5 Min