米国本部ブログ:10 Cybersecurity Predictions for 2024
人工知能(AI)がもたらす脅威や機会、新しい規制や法律にいたるまで、サイバーセキュリティは2024年も大きなテーマとなります。CompTIAは、さまざまな地域コミュニティや執行役員会、業界の諮問委員会のリーダーに、MSPや他のIT企業が今年知っておくべきこと、について尋ねました。彼らの答えは次の通りです。
保険会社はセキュリティスタックの整備を要求する
「サイバー保険会社は、顧客のセキュリティスタック要件について、さらにはMSPが何を提供すべきかについて、影響力を強めるようになるでしょう。またMSPは、多要素認証(MFA)、セキュリティ意識向上トレーニング、メールセキュリティ、脆弱性管理などのサイバーハイジーンを出発点として、マネージドサイバーセキュリティサービスへの注力を強化するでしょう。」-- Frank Raimondi, vice president channel alliances and partnerships, IGI Cybersecurity
ぼやけた現実がサイバー状況を混乱させる
「明らかなサイバーセキュリティ脅威は、AIと悪意ある者の組み合わせです。悪意ある攻撃者は飛躍的な能力を得ることで、攻撃時間(TTA: time to attack)が増加します。つまり、以前よりも早く脆弱性を検出しエクスプロイトできてしまうのです。AIの使用には、現実を曖昧にする能力も含まれ、何が本物で何が偽物かを判断するのに問題が生じます。AIの使用により、フェイクニュースや動画、偽装品などの作成や流通がこれまでより簡単になるでしょう。」-- Bill Campbell, CEO, Balancelogic
法整備の強化、規制の到来
「サイバーセキュリティのガバナンスとコンプライアンスは、規模を問わずどのビジネスオーナーの目にも明らかなものです。ビジネスオーナーや経営層は、組織のデータを効果的に保護するため実装しなければならないポリシー、プロシージャ、プロセスの必要性をより認識するようになるでしょう。サイバーセキュリティ攻撃が増大し公になるにつれ、より多くの法令や規制が施行されることになると感じています。経験を通じて自ら学んでいかなければ、プレッシャーは高まり続けるでしょう。」-- Bill Campbell, CEO, Balancelogic
コンプライアンスフレームワークはMSPにとって非常に重要になる、急速に
「MSP業界では法整備が進んでいて、防衛産業基盤(DIB: defense industry base)はコンプライアンスフレームワーク(CMMC)認証データベース上の「適性」によってサービスプロバイダーを特定する第一陣の顧客となるでしょう。NIST 800-171の適用可能性は、これまで基準に従って資産インベントリと範囲を分類していなかったほとんどのサービスプロバイダーにとって目を見張るものです。自社の人材、プロセス、テクノロジーにセキュリティ管理を適用せず、どうなるか待っているだけの企業は、2023年に導入を開始した企業にDIB顧客ベースを奪われてしまいます。2024年はMSPが生き残るための手段として1つ以上のフレームワークを大々的に採用する年になるでしょう。セキュリティフレームワークに準拠しないMSPは、最終的に最も規模も小さく難しい顧客を引き受けることになるでしょう。」-- Joy Beland, vice president of partner strategy and cybersecurity education, Summit7
悪者はAIを利用して利益を得る
「生成AIは詐欺師や悪質な集団に悪用され、そうした技術には磨きがかかります。フィッシング攻撃を再び活性化させ、Microsoft 365の侵入、ソーシャルメディア、固定、モバイル、クラウドのデータソースにまたがる追跡技術からデータをマイニングする、より効果的な混合攻撃を生み出すでしょう。」-- Josh Liberman, president and founder, Net Sciences
ガバナンスの圧力は、MSPにとって機会でもあり義務でもある
「NIST CSF 2.0ドラフトではガバナンスを追加しています。サイバーセキュリティに関する法律、規制、契約上の要件の増加は、企業により大きな責任を課し、こうした圧力はさらに強まるでしょう。MSPも避け続けることはできません。イギリスのMSPは新たな報告法に直面しており、米国ではサイバーガバナンスは経営陣や執行役員の受託者責任(fiduciary responsibility)と結びつく動きがあります。2024年のガバナンスは、MSPが顧客を支援するための義務であると同時に機会であると見なされるようになるでしょう。」--Tim Golden, founder and CEO, Compliancerisk.io
FTCのセーフガード規制はさらなる進展の兆し
「2023年6月に成文化された米連邦取引委員会(FTC:Federal Trade Commission)のセーフガードルールは、サイバーセキュリティガバナンスに対する連邦政府の監視強化を示しています。MSPは、クライアントがFTCガイドラインを厳守できるよう、包括的でドキュメント化されたサイバーセキュリティプログラムの開発に積極的な役割を果たすことになるでしょう。」--Tim Golden, founder and CEO, Compliancerisk.io
ディフェンシビリティがドキュメント化を推進する
「サイバーセキュリティインシデント後のディフェンシビリティ(防御可能性)を理由に、サイバーセキュリティのポリシーと手順に関する確実かつ詳細なドキュメンテーションの必要性が高まっています。2024年には、企業のドキュメンテーションへの投資が予測されており、関連して、MSPは自社サービスにガバナンスを取り組むことで対応するでしょう。」--Tim Golden, founder and CEO, Compliancerisk.io
MSPは依然としてサイバー犯罪の標的に
「MSPは、知的財産を持つ企業の次善策と見なされています。これは、実際のエンドユーザーとの信頼された関係性と、多くのMSPのセキュリティが未だ不十分であるという事実によるものです。ましてや、規制がまだ整備されていないため、彼らは2024年のヒットリストに載っている/今後載ることが予測されます。」-- Pierre Kleine Schaars, co-owner, Quality ICT
MSPの惰性が中小企業に脅威をもたらす
「多くの中小企業は、長年にわたってビジネスをしてきたことから自社のICT会社を信頼しています。問題は、業界は変化しているのに多くのICT企業は変化していないことです。信頼があるゆえにエンドユーザーは脆弱になり、すべてが相互リンクされているため、サプライチェーンの中で最も脆弱な部分となり、組織犯罪の標的となってしまうでしょう。」-- Pierre Kleine Schaars, co-owner, Quality ICT