企業が個人データを収集 2018年に注意すべき5つのセキュリティ動向

MD_Photography/shutterstock.com

 米サイバーセキュリティ企業のマカフィーが、2018年に注意すべき5つの重要なセキュリティ動向を解説する「McAfee Labs 2018年の脅威予測」を発表した。以下、5つの脅威を紹介する。 

1. 防御者と攻撃者の間で機械学習を活用したサイバーセキュリティ ツールの“開発競争”が激化
 機械学習により、大容量データの処理や、既知の脆弱性、不審なふるまい、ゼロデイ攻撃を大規模に検知、修正することが可能になる。しかし、攻撃者も機械学習を取り入れることで、攻撃の強化、防御側の対応からの学習、防御側の検知モデルの妨害方法の検討、そして防御側が新たに発見された脆弱性にパッチを適用する前にそれを悪用することが可能になる。 

 この開発競争に勝利するには、人間の知性を活用した戦略で、テクノロジーによる判断や適切な対応を行うスピードを効果的に増強していかなければならない。それによって初めて、未知の攻撃であっても、その戦術パターンを把握し、予測できるようになると、本レポートは指摘している。

2. 従来の脅迫型ランサムウェアの標的、テクノロジー、目的が変化する 
 セキュリティ企業の提供する防御能力の強化、ユーザーの経験則、業界を挙げた対策が進化することで、従来型のランサムウェア攻撃の収益性は低下し続けると予測している。攻撃者は徐々に、富裕層、コネクテッド デバイス、企業など、従来とは異なる収益性の高い標的を狙うようになるとレポートは指摘している。 

 ランサムウェアがPCをロックして身代金を要求するような従来型から進化し、また目的が個人に対する脅迫から企業に対するサイバー上の破壊行為や妨害へと変化すれば、その技術も変化していく。このような、破壊、妨害、そして金銭的影響がより大きい脅威へと進化するに伴い、新たなサイバー犯罪のビジネス モデルが生まれるだけでなく、サイバー保険市場も大きく発展し始めるだろう。

3. サーバーレス アプリで企業は時間とコストを節約できる一方、攻撃の対象が拡大
 サーバーレス アプリにより、速やかなサービス料金の支払いなど、細やかな対応が可能になりますが、権限昇格やアプリケーションの相互依存性を利用した攻撃に対しては脆弱だ。また、ネットワーク内を移動するデータを狙った攻撃にも弱く、ブルートフォース攻撃/DoS攻撃の被害が発生するかもしれない。この場合、サーバーレス アーキテクチャーは十分に拡張性を発揮できず、サービスの中断による大きな損害を被ることになる。

 サーバーレス アプリに使用される機能の開発や導入のプロセスに適切なセキュリティや拡張性を備えるとともに、トラフィックはVPNや暗号化などで適切に保護する必要があると、本レポートは指摘をしている。

4. コネクテッド ホーム機器メーカーやサービス プロバイダーは、ユーザーの同意の有無を問わず、より多くの個人データを収集することで、次なる販売機会を探るようになる
 企業には、ユーザーの挙動を観察して、デバイス所有者の購入ニーズや嗜好を把握したいという強い動機がある。ユーザーはほとんどプライバシー ポリシーを読まないため、企業側は製品やサービスの追加の販売機会を獲得する目的で、デバイスやサービスが導入された後に頻繁にポリシーを変更し、より多くの情報を収集しようとする可能性がある。

 マカフィーは、新たな販売機会を探るために、違法と知りつつより多くの個人データを取得し、その対価としての罰金を支払う企業が横行し、その結果として、そのような企業を規制するための法律が制定されると予測をしている。

5. メッセージやSNS投稿など、子供が作成するデジタル コンテンツを収集している企業の存在が、子供に長期的なレピュテーション リスクをもたらす
 ユーザーにアプリを「使い続けてもらう」ために、企業は積極的に若年層のユーザーにコンテンツを作成させるように仕向け、そのデータを収集するようになる。その結果、保護者は子供が作成したデジタル コンテンツが企業に乱用されていることに気付き、自分の子供がそうした行為を行うことに潜む長期的なリスクを検討するようになるだろう。

 マカフィーは、多くの子供たちは将来、「デジタルのお荷物」 に悩まされることになると予測している。これは、社会的に適切なガイドラインが十分に定義も施行もされていないなか、子供やその保護者が、ユーザー インターフェースが好みだからという理由だけでアプリを利用し、その結果、将来的に企業が利用/悪用する可能性のあるコンテンツを生み出すアプリを使い続けることにより起こるものだ。企業による子供のデジタル コンテンツの利用例として、企業はユーザーの過去のSNS投稿などを就職時の採用判断の材料にする可能性などが挙げられるという。

 さまざまなアプリが続々と登場し、ユーザーがアプリに一度のめり込んだとしても、その後簡単に飽きられてしまうようなことが起こる市場環境では、アプリやサービスを提供する企業は、ユーザーからの人気などの短期的な目標ではなく、将来の発展を見据えたアプリやサービスを開発することで、その企業姿勢が保護者に受け入れられ、最終的には企業のブランド価値を高めることになると認識するとマカフィーは予測している。

 2018年5月に施行される欧州連合(EU)の一般データ保護規則(GDPR)により、この数年の間に一般消費者のデータやユーザーが生成したコンテンツの両方の取り扱いに関するルールの策定に、重要な役割を担う可能性がある。この新しい規制は、EU域内で事業活動を行う企業やEU域内に居住する個人のデータを処理している企業に影響があり、つまり世界中のさまざまな企業が強制的に顧客の個人データを処理、補完、保護するためのルールに準拠しなければならないことを意味する。将来を見据えた企業であれば、家電、コンテンツを生成するアプリ、そしてそれらを支えるオンラインのクラウド サービスを利用する顧客のメリットになるような成功事例を確立するためにGDPRを活用することができるだろう。

Text by 酒田 宗一