2020年は変化の年でした。それは、人々の働き方や、人と人との関わり方を変えました。2021年は、情報セキュリティ専門家にとってどのようなものになるのでしょうか？これは、2021年に、情報セキュリティ専門家に何が待ち受けているのかを議論する一連の記事の第1回目です。

　2021/2022年にセキュリティ専門家が直面する課題の中には、プライバシーに関する新しい情景、リモートアクセスの継続的な必要性などが含まれます。5GやAIの登場、そして、これからもランサムウェアに悩まされ続けるのかどうか。私たちは、IoTに関連する新しい法律・規制や、私たちのライフスタイルの改善を目的としたデバイスによる変化を目の当たりにするでしょう。

プライバシー

　毎日のように新しい法律が制定され、そのための仕事が続きます。法律や基準が広まり、絶えず変化しているため、セキュリティの実務者は、すべての変化に注意を払う必要があります（また、時には異なる法域での法律の違いなど、矛盾する可能性のある法律の違いを解決する必要があります）。

　前回の米国大統領選挙では、カリフォルニア州の市民は、既存のカリフォルニア州消費者プライバシー法（CCPA）を強化するカリフォルニア州プライバシー権法（CPRA）の最新版を可決しました。このような変更は、データの保護方法にいくらか影響を与えるため、情報セキュリティの専門家にとっては重要です。 　あなたがグローバルな組織で働いているのであれあば、GDPR、CCPA、CPRAの良い比較を見つけたのでご紹介します: https://wirewheel.io/cpra-ccpa-gdpr-and-the-impact-on-your-data-privacy-operations/

　様々な国や州（省・準州）で開発された多くの新しい個人情報保護法や規制は、情報セキュリティの専門家に混乱をもたらし続けていると考えています。

　2021年、2022年には、多くの国や州がプライバシー基準や指針を改善・強化するために、プライバシーとセキュリティが同じ位置づけに統合されることを想定しています。セキュリティ専門家は、すべての法律の変更に注意する必要があります。これらの変更は、情報セキュリティ担当者だけでなく、情報セキュリティ担当者が働いている組織にも混乱をもたらし続けることになるでしょう。グローバル企業は、ビジネスを行う国や顧客を持つ国の様々な法律を見直し、理解する必要があります。

　私たちが専門家に強く推奨するのは、最も厳しい法律/法律/規制に従ってセキュリティ対策を適用することです。

　2021年には、大学がプライバシーに特化したコースを提供し、プライバシー工学や継続的にセキュリティ・プライバシー・バイ・デザインを適用することの重要性を強調していくだろうと考えています。カーネギーメロン大学は最近、情報プライバシーを専門とする新しいプライバシー工学の認証と修士号を発表しました： https://bit.ly/3lrKWcb

　ISC2コミュニティのメンバーであるCISSPのPaul Guido氏(*1)は、多くの人が考えるのと同様に、「プライバシーは最も重要なものであるべきだが、データをため込むことは良いことだという考えに酔いしれている上級管理職が多すぎます。役に立たなくなったデータを保有することは、将来的に組織を潰す大きな負債となります。」と言いました。

　どの国に個人情報保護法があるのか知りたい人には、このベンダーのサイトが法律のハイレベルな見解を提供してくれるので便利です。https://i-sight.com/resources/a-practical-guide-to-data-privacy-laws-by-country/

　これを読んだ人は、多くの地方の州/準州/州にも独自の規制があることに気づくでしょう。セキュリティプログラムを導入する前に、これらの確認が必要です。 　また、ISC2にはGDPRに関するコースがあります: https://www.isc2.org/Development/Immersive-Courses/GDPR-for-Security-Professionals

リモートアクセス (別名：在宅ワーク・フロム・ホーム(WFH))

　COVID-19の対応を進めていく中で、現在のリモートアクセスや在宅ワークが減少するとは考えられません。各業界の多くの人と議論すると、在宅ワークが今後の波となる中で、多くの人はオフィスビルに戻らないのか、それとも企業側が物理的にスタッフを全員オフィスに戻すのかで悩んでいます。

　あるCOOとの話し合いの中で、在宅勤務になったことで組織が以前と同じように機能していることや、出社時にオフィス・デスクスペースを共有するようにオフィススペースを縮小する話がすでに出ていることを指摘されました。彼は、この動きはオーバーヘッドを大幅に節約できると考えていました。

　しかし、他の経営者は、従業員の忠誠心を失っているのではないかと感じています。

　多くの組織が所有・賃貸したままになってしまう空のオフィススペースの管理など、在宅ワークやリモートアクセスのデメリットもあると考えています。

　別の議論では、リモートアクセス（WFH）がインサイダーの脅威、データ漏洩、メンタルヘルスの問題、人間工学的な問題などの増加につながる可能性が指摘されました。

　この継続的なリモートアクセス（WFH）モデルからは多くの疑問が生じます。Richard Nealon氏が指摘するように、最近のパンデミックにより、企業は事業継続としての目的、計画、プロセスの利用を余儀なくされています。ほとんどの従業員が、以前は「コールドサイト」であった多様な遠隔地（つまり自宅）からの作業を、多くの従業員が行うことになり、今では「事業継続モード」で実行されています。(スケーラブルな)クラウドとセキュアなリモートアクセスのソリューションが成熟し、利用できるようになったことで、これらは5年前よりも容易に実現可能でした。Nealon氏の予測によると、企業はこのWFHモデルを新常態として採用し、大規模なオフィス環境の運営に伴う不動産、設備管理、物理的な管理などのコストを大幅に削減することになるといいます。

　リモートアクセスでは、地域の自然災害（停電、吹雪、洪水など）が発生し、オフィスに人が必要な場合や、災害の影響を受ける可能性がある場合にどうするかという問題が出てきます。2021年は多くの組織の計画の年となり、WFHはほとんど、もしくは完全に年間を通してほとんどの事務員に効果があると予測しています。

　残るであろうもう一つの疑問は、「空のスペースや空のオフィスタワーなどをどうするのか？」です。幸いなことに、情報セキュリティ担当者が解決する必要はありません。 この問題に関しては、物理的なセキュリティの仕事をしていないこと、オフィスの大家ではないことを嬉しく思います! インサイダーの脅威

　Diana-Lynn Contesti氏(*2)とRichard Nealon氏のディスカッションでは、「インサイダー」（つまり従業員＆請負業者）からの脅威が増大すると予測されました。インサイダー問題は、インサイダーのモチベーション、機会、能力があると発生します。 (https://www.academia.edu/9727365/The_Ability_Motivation_Opportunity_Framework_for_Behavior_Research_in_IS).
　モチベーションは、金銭的な利益を伴うことが多いですが、最近のパンデミックの影響で、企業から放置されている感覚からモチベーションが上がることもあります。能力は、インターネット/ダークウェブ上で自由に利用できる豊富なマニュアルや動画によって増加することもしばしばあります。Covid19 以前は、ほとんどの従業員が組織の敷地内で働いていたため、勤務監督者は従業員が自分の時間を何に使っているか、メンタルヘルスの問題があるかどうか、仲間の労働者とうまく交流しているかどうかについて、より大きな監督権を持っていました。また、予想外のことが起きたときに、簡単に従業員に質問することができました。今はそうではありません。労働者は、物理的にアクセスできなくても、認可されたアクセスを使用して無許可の活動を行う機会が存在します。

データ漏洩

　データ流出は避けられません。データ漏洩とは、組織内のデータを外部の宛先や受信者に不正に送信することと定義されています。この用語は、電子的または物理的に転送されるデータを指すことができます。

　Nealon氏は、制御された物理環境の外で定期的にデータにアクセスすることが普及したことにより、データ漏洩が増加することを示唆しています。どんなに洗練されたリモートアクセスコントロールでも、個人宅の快適な空間では画面が簡単に撮影され、その流出を検知することができないままデータが流出してしまうことがあります。同様に、機密性の高い会話は、どちらかの当事者が簡単に録音することができ、それらの会話から生じる極めて機密性の高い資料は、検出されることなく開示されてしまいます。言うまでもなく、従業員が仕事のために自宅の共有コンピュータを使用している場合には、それに関する更なるリスクがあります。いずれの場合も、eDiscovery（企業データのすべてのコピーが組織の情報環境内に保持されること）は、もはや適用されません。

ゼロトラストアーキテクチャ(ZTA)

　ゼロトラストは決して新しい概念ではなく、組織のペリメターを守ることの課題が初めて認識された2003年（de-perimiterisation）の造語です。

　ゼロ・トラスト（ZT）とゼロ・トラスト・アーキテクチャ（ZTA）が完全に解決されるのは2022年か2023年になると予想しています。多くのベンダーがさまざまなソリューションを提供していますが、ほとんどのベンダーがNIST SP800-207などの原則に従っていません。ZTAは技術ベースのものですが、実際のところ企業のビジネスのために非常に大きなバイアスがかけられています。実際には、ZTAは旅であり、トップダウンで推進されなければならず、伝統的なセキュリティをアウトサイドインからインサイドアウトに逆転させる必要があります。 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf .

　組織はZTを適用しようと考えて混乱していますが、実際には完全なゼロ・トラスト・アーキテクチャを実装できているのはごく少数です。実際には、現代の攻撃に対応するためには、ZTAのごく一部を適用すれば良いのです。従来のセキュリティは失敗しようとしている、もしくは、失敗でした。更に、これからも失敗し続けるでしょう。サイバー犯罪者が、基本的なことが十分にできていない組織から金銭的な利益を得ることを防ぐためには、サイバー犯罪者の能力を低下させたり、減速させたりしなければなりません。

セキュリティアーキテクチャ

　Richard Nealon氏は、2021年には、セキュリティ・アーキテクチャは、その価値を証明するための深刻な事態に陥ると考えています。すでに彼は、ビジネスではアーキテクチャと「配管」（情報に焦点を当てずにシステムを相互に接続すること）を混同していると感じています。今後も、セキュリティの属性、サービス、プロセス、メカニズム、コンポーネント、運用管理（ビッグピクチャー）を通じて、情報の信頼性を追跡できるようになることに焦点が移っていくでしょう。これは、近年のセキュリティ戦略と計画のレベル低下、すなわち、多くの組織でアーキテクトのスキルが、ベンダーやソリューションプロバイダのマーケティングの誇大広告に取って代わられていることと一致しています。

　セキュリティ専門家が縦割りで行動し、「私のシステムはちゃんと動いています」と情報に与える悪影響を正当化することで、セキュリティは亀裂を通り抜けてしまうでしょう。

リスクを低減する効果の無いソリューションが購入され、導入されるでしょう。それには無駄なお金と時間と労力がかかり、重要な脅威や脆弱性、影響は適切に対処されません。技術的なソリューションは、ビジネスリスクに影響を与えないものが調達され、実装され、管理されます。

　しかし、John Martin氏(*3)は、経験豊富なセキュリティ・アーキテクトとして反論します。デジタルトランスフォーメーションによってすべての人がクラウドに誘導されたにもかかわらず、データは広く流通し、コントロールは断片的になってしまいました。特に、データがどこにあっても、誰がアクセスを許可されていても、本質的にそのデータを保護する責任は組織にあることから、クラウド・プロバイダーが重視されることになります。どんなに複雑なシステムやコンテナ化されたシステムであったとしても、完全な説明責任を実現するための強固なアーキテクチャ原則と関連プロセスが必要です。どのような方法論を使おうとも、人間は本質的に怠け者です。例えば、アジャイルは、DevSecOpsと同様に、規律を持って使用する必要があります。

　2021年は、セキュリティアーキテクチャにとって極めて重要な年になるでしょう。一部の組織は標準化された方法から離れ、他の組織は既存のインフラストラクチャを採用して拡張するでしょう。

　次回の連載では、5G、IoMT/IoT、AI、ランサムウェア、デジタルトランスフォーメーションについて、それらが情報にどのような影響を与えるのかを解説します。　　
*1: https://community.isc2.org/.../viewpro.../user-id/1296288365
*2: https://community.isc2.org/.../viewprofi.../user-id/60686577
*3: https://community.isc2.org/.../viewprof.../user-id/809125741
原文記事: https://blog.isc2.org/isc2_blog/2020/12/security-predictions-for-2021-pt1.html