2023年7月、東南アジア諸国連合(ASEAN)は、地域共通のサイバー脅威防御を強化するために、共同サイバーセキュリティ情報共有・研究センター(サイバーセキュリティ・情報センター・オブ・エクセレンス)を正式に開設した。
このセンターは、変化する脅威情勢への対応として設立されました。ACICEの開設に際し、シンガポール国防省は、シンガポールだけで2021年から2022年にかけてフィッシング攻撃が174%増加し、東南アジアのサイバー犯罪は82%増加したと述べました。
Recorded Futureの最高情報セキュリティ責任者(CISO)ジェイソン・スティア氏はTechRepublicに対し、同地域の一部の顧客は、デジタル化によってサイバーリスクのせいでデータが金からウランに変わると感じていると語った。同氏は、ASEANのCISOにとって重要なリスク考慮事項として、デジタルサプライチェーンとAIを挙げた。
ASEANにおけるデジタル化の傾向がリスク意識の高まりを引き起こす
ASEAN地域は、他の新興市場と同様に、急速なデジタル化の加速を経験しています。MicrosoftやAWSといったクラウドプロバイダーの成長に伴い、企業や政府はこれらのサービスを活用して、請求書発行や給与計算といった業務のデジタル化や、リモートワークの増加への対応強化など、業務の拡張性を高めています。
このデジタル化のトレンドにはリスクが伴います。脅威インテリジェンス企業Recorded FutureがASEANで開催した現地カンファレンスで、スティア氏は、ASEANのCISO(最高情報セキュリティ責任者)は、顧客に関する大量のデータを求める一方で、ビジネスに価値をもたらすデータへの欲求がリスクも伴うという認識がこれまで以上に高まっていると述べました。
参照: オーストラリアのサイバーシールド戦略にはデータサイエンスの考慮が必要です。
「ゲストCISOの一人が、歴史的にデータは金のように扱われてきたと指摘しました」とステア氏は述べた。「しかし、過去12~18ヶ月の間に組織が経験したことを考えると、データは今やウランのように扱われています。データが増えれば増えるほどリスクは高まり、データの保護とセキュリティ確保のためにより多くのことを行う必要があるのです。現在、こうしたリスクをどのように適切に管理しているのでしょうか?」
サイバー犯罪活動の増加にASEAN諸国が危機感
ASEANのCISOが懸念するのは当然です。IBMのレポートによると、2022年にはアジア太平洋地域全体が世界で最も攻撃を受けた地域でした(図A)。
さらに、Cloudflareが2023年7月にこの地域のサイバーセキュリティ管理者4,000人を対象に実施した調査では、回答者の78%が過去12ヶ月間に少なくとも1件のサイバーセキュリティインシデントを経験していることが明らかになりました。攻撃を受けた人のうち、80%が4件以上のインシデントを経験し、50%が10件以上のインシデントを経験していると報告しています。
ASEAN諸国は、こうした活動の増加を痛感しています。Cloudflareのレポートによると、マレーシア、インドネシア、フィリピンでは、サイバーセキュリティ責任者にとって最大の課題は、フィッシング、ウェブ攻撃、ビジネスメール詐欺といったサイバー攻撃からの防御でした(図B)。シンガポールとタイのCISOにとって、このリスクは、クラウド主導の作業環境においてますます高まるリモートワークフォースのセキュリティ確保の必要性に大きく依存していました。
サプライチェーンリスクは、デジタル世界がつながる上で重要な要素
デジタル化のリスクは、現在デジタルサプライチェーンに依存している組織によって増幅されます。例えば、Cloudflareの調査でサイバーセキュリティアーキテクチャの最大の課題を評価したシンガポール拠点の回答者のうち、48%がITサプライチェーンの監視不足を課題として挙げており、これはアプリケーションとデータがパブリッククラウドに保存されていること(50%)に次いで高い割合でした。
ステア氏は、ASEAN、そして世界中のすべての組織が製品ベンダーからデジタルソリューションを購入しているものの、この拡張されたエコシステムのサイバーセキュリティ体制を必ずしも把握しているわけではないと述べた。サプライチェーンにおける重要なツールの1つがダウンすれば、ビジネスプロセスの歯車が停止するため、ビジネスに大きな影響が及ぶことになる。
「Recorded Futureでは、AWSが20分間ダウンした場合、次のリージョンに移行するまでプラットフォーム全体がダウンしてしまいます」とSteer氏は述べています。「サプライチェーンの問題はある程度軽減できますが、組織にとって重要なのは、業務の復旧・回復に向けた計画と、顧客へのサービス提供能力に影響が出ないまでのダウンタイムについて検討することです。」
大規模組織のサプライチェーンはますます長くなり、規模も大きくなっています。それは単なる第三者ではなく、そのサプライヤーにまで及びます。特にサプライヤーのサプライヤーと契約を結んでいない場合、これは考えにくいことです。できることは限られているかもしれませんが、少なくともサプライチェーンのあり方を考え、リスクをより適切に管理するにはどうすればよいかを考え始める必要があります。
地政学的紛争はデジタルサプライチェーンへの新たなリスク
ASEANは貿易に依存する地域であるため、紛争や地政学的緊張の影響は懸念事項です。ステア氏は、重要な航路である南シナ海における中国とフィリピン間の緊張など、組織のCISO(最高情報セキュリティ責任者)が懸念を抱いていると述べました。この紛争は、デジタルサプライチェーンに影響を及ぼすだけでなく、組織、政府、インフラが直面するサイバー脅威に関する不確実性を高める可能性があります。
人工知能は組織やCISOにも影響を与える可能性がある
ASEANのCISOは、人工知能ツールの爆発的な増加が、同地域におけるサイバー防御と攻撃動向に及ぼす可能性のあるプラスとマイナスの影響について検討している。ステア氏によると、重要な議論の一つは組織データのガバナンスである。
プレミアム: このデータ ガバナンス チェックリストに従ってコンプライアンスを維持します。
CISO は、組織のデータが漏洩から保護されることを保証するために ChatGPT のような AI ツールを全面的に禁止するか、AI に全面的に投資して潜在的なビジネス上の利点を実現するか、その境界線を歩んでいます。
AIはASEANの地方選挙に影響を与える可能性がある
スティアー氏は、この地域におけるAIをめぐる議論の焦点は、特に国家主体による選挙操作にあると述べた。近年の選挙で世界各地で様々な前例が見られることを踏まえ、AIツールを用いたコンテンツ作成の容易さによって脅威アクターが力を得たことで、より説得力のある偽情報キャンペーンを展開できるようになったとスティアー氏は指摘する。これは、2024年2月に予定されているインドネシアの総選挙などにも影響を与え、ビジネスと政治に影響を及ぼす可能性がある。
AIは地域のデータをより効果的に保護するのに役立つ可能性がある
AIによって、不正行為対策とセキュリティ強化の機会が向上する可能性があります。ステア氏によると、銀行アプリケーションへのユーザー認証は通常、ユーザー名、パスワード、そして強力な多要素認証を使用します。AIの世界では、ログイン場所、ログイン時間の目安、ログイン元のIPアドレスなど、より多くのデータによってアカウントのセキュリティを一層強化できる可能性があります。
「データポイントが多ければ、ユーザーエクスペリエンスが向上するだけでなく、詐欺やアカウント乗っ取りもより効果的に防ぐことができる」とステア氏は語った。
ASEAN諸国、サイバーセキュリティに共同で取り組む
ACICEの発足は、ASEAN諸国がサイバーセキュリティにおいてより緊密に連携し続けていることを示しています。また、ASEAN地域は共同サイバーセキュリティ戦略とデータ保護フレームワークを策定し、統一されたASEANセキュリティ緊急対応チームの設立に取り組んでいます。ASEANの人材のスキルアップも課題となっており、マレーシアはサイバーセキュリティ戦略の一環として、2025年までに2万人のサイバーセキュリティ専門家の育成と認定を実施することを約束しています。
参照: Microsoft はオーストラリアのサイバー セキュリティとテクノロジ スキルの優先事項に投資します。
スティアー氏は、シンガポールとマレーシアは、サイバーセキュリティの実践においてこの地域で際立っていると述べた。多くのグローバル企業が拠点としてシンガポールを利用していることで、地元の人材プールとインフラが強化されている。フィリピンなどの他の国々も、地域のサイバーセキュリティ基準の上昇に伴い、基準を引き上げている。これは、地域の競合他社に追いつくために、サプライチェーンのガバナンスとリスク管理の枠組みに従うことを余儀なくされていることが一因である。
