さて、「2018年のセキュリティ事件ランキング」は終了しまして、この記事はそれらの事件を踏まえ、2019年のサイバーセキュリティ界隈で何が起きそうで、何をしていかなければいけないのか、そんな話をしようと思います。要するに昨年もやりました「来年のサイバーセキュリティ予測」です。本日が最終回です。

前記事はこちら。
差し込み1位：PayPayはクレジットカードのセキュリティコード問合せシステムだった
https://newspicks.com/news/3539004
1位改め2位：HUAWEIが「安全保障上の脅威」だと言うけれども
https://newspicks.com/news/3534364
2位改め3位：統制不能な外部委託先リスク
https://newspicks.com/news/3535521
3位改め4位：仮想通貨じゃなくてブロックチェーンが危ない
https://newspicks.com/news/3537064
5位：大規模ネットワーク障害（ソフトバンク、ANA）
https://newspicks.com/news/3541821
6位：洗脳されるAI
https://newspicks.com/news/3544886

予測１：ザッカーバーグ辞任
まぁこの類の予測記事で、普通にありそうなことを書いても面白くないというのもありますが、とはいえFacebookのセキュリティについてはいよいよ大問題となっています。おそらくEUはGDPR制裁をFacebookに対して実施するでしょう。ザックも明らかにカリスマ性を失っています。かつては”いずれは米大統領”なんて言われていましたが、もう無理でしょう。Facebookの地位すら危うい状況。

サイバーセキュリティはここ数年、欧米の経営者の重要戦略トップ５に入り続けていますし、調査によっては1位になることもあります。それを怠っているという意味。トップ戦略をやらない経営者は経営者失格です。

そして、もし本当にこれが起きたら世界の企業がさらにサイバーセキュリティの重要性に気づき、結果として経営におけるサイバーセキュリティの優先度は上がると思います。こんな大物の首が飛べばそりゃね。

予測２：サイバーインテリジェンスが日本に本格上陸
サイバーインテリジェンスとは、簡単に言うとハッカーの活動を諜報する活動です。PayPayの件で「ダークネット」という言葉がちょいちょい出てきましたが、ダークネットというのはハッカー達の集まる、ネットでの情報交換の場。Google等で検索しても出てきません。過去に流出したクレジットカードの番号等も、こうしたところで売買されています。また、大規模なサイバー攻撃を仕掛ける時にはこうしたところで仲間探しをします。マルウェアや、マルウェアの作成キットも販売されていて、中にはMaaS(Malware-as-a-service)として、24/365のサポートを謳っている連中もいます。”歳末大売り出し”なんてのもあります。この世界にも経済圏が存在しているわけです。

これらの動向を調査し、新たな漏えいの事実や、攻撃が行われる兆候を察知して伝達するのがインテリジェンスサービス。こうしたサービスは、サイバーに強い軍隊がある国が圧倒的に強いです。退役軍人がこうしたサービスを起業するんですね。アメリカやイスラエルが有名です。あとオランダは軍隊が強いイメージはあまりないですが、サイバーセキュリティの最先端国の１つであるせいか、ここにもこうした企業はありますね。

しかし、どの企業も日本語対応が出来ない。ここがネックでなかなか日本には展開できない状況でした。このサービスはセキュリティ機器やソフトウェアと違って、日本語でレポートしてくれないと採用しにくいのです。

が、大手の日本企業が提携を組み始めています。大手Sierも、2020年以降の需要減を見越してこのようなサービスを開発していくようになるでしょう。

予測３：日本の銀行から預金が無くなる
実のところ、世界では銀行預金を奪うサイバー攻撃が起きています。ただ、日本ではまだ聞かれません。しかし、世界で起きている以上は日本で起きても当然です。

特に日本は、地銀等の体力が大変弱っていて、サイバーセキュリティ対策を十分に取っているとは到底言えない状況です。ただしその代わり、インターネットから遮断したり、メールアドレスも持たせなかったりと、ITをあまり使わないことによってサイバー攻撃を防いでいる銀行もあるようです。

しかしMUFGがクラウドを採用することを決めるような時代になりました。クラウドによってシステムインフラを自前で維持する必要が無くなります。日本の企業が巨大なメインフレームによってシステム化を最初に行ったのは、主に1980年代。そこから3～40年が経ち、そろそろメインフレームは引退時期を迎えます。そうなると多くの銀行はクラウド化を選択するでしょう。

クラウドのセキュリティ自体は、自分たちでシステムインフラを運用するよりも遥かに態勢がしっかりしていて、最先端のセキュリティソリューションを惜しみなく使い、かつ自らも開発していますので間違いなく強固です。しかし、どこまでいってもインターネットを経由する仕組みに替わること自体は変わりませんので、新しいアーキテクチャを正しく理解し、これまでとは違うセキュリティ対策を取らなければいけないのは確かです。この理解が出来ていない”ミス”が起因になっての情報漏洩は今年もよくありました。

銀行もいよいよこの世界に入っていくと思います。メガバンクよりも地銀や信金等の方が態勢を考えれば危険。金融庁も相当ハッパをかけてはいるようですが、体力が落ちているだけに簡単には解決できないでしょう。

ところでこの件は、メインフレームの入れ替えだけでも数年かかるのでちょっと長期スパンです。3年くらいかけてウォッチですかね。

予測４：EUがアメリカ製品を除外する
予測１と被る部分でもありますが、アメリカこそ個人情報の勝手な収集や横流しをやっていて、個人情報保護に関してもっとも厳重な考えを持つEUが、いよいよ米国企業を排除しに行くことになると思います。既に、EUでは米国企業に頼らざるを得なかった分野のサービス開発が積極的に行われるようになってきています。既に、出来ることなら米国を除外したいのです。

そして、中国もHUAWEI/ZTEに対する除外措置の報復を行うでしょうから、むしろ米国が世界から孤立していく可能性もあります。いよいよIT分野は、米中の新たな冷戦にいち早く突入していくでしょう。

予測５：年末年始は一番危ない時期
最後はこれ。

・・・オチです。

年末年始、長い期間PCを利用しないので、年始は一番セキュリティ的に危険な時期です。サポートもつながらず、自力で何とかしようとしてさらに問題を大きくしてしまうかもしれません。これについてはIPAから注意喚起が出ていますので、ぜひ目を通しておいてください。
https://www.ipa.go.jp/security/measures/vacation.html

というわけでシリーズは終了！

もうデカい事故が起きないことを祈ります。