サプライチェーンの弱点を狙う攻撃や
外部サービスの障害などに注意が必要

――10大脅威全体を見渡して、特に今後注意しなければならない脅威はありますか。

 4位の「サプライチェーンの弱点を悪用した攻撃」は比較的新しい脅威です。大企業では従業員のセキュリティ教育に比較的コストも時間もかけ、対策のためのシステムも組んでいます。直接そういった企業を狙うのは難しいので、攻撃者はこれら企業の取引先や下請け企業、すなわちサプライチェーンを最初に狙うのです。

 セキュリティ対策にコストや人員を割く余裕のないサプライチェーン企業を攻略して足がかりとし、その上で本丸の大企業を狙うという攻撃が最近とみに増えています。

 6位の「予期せぬIT基盤の障害に伴う業務停止」に関しては、今年リモートワークにすぐに対応する必要が出て、元々は内製主義だった企業でも外部サービスに頼ることになったところが増えています。リモートワークで利用が急増したZoomやWebex、Teamsといったウェブ会議システムもIT基盤のひとつですし、システムをオンプレミスからデータセンター、データセンターからクラウドへと移行する流れは、今後も加速するでしょう。

 ただ、本来ならばリスク評価しながら徐々に導入していくところを、コロナの影響で急に取り入れることになった企業も多いため、外部サービスの障害がひとつのリスク要因になっているかもしれません。

 7位の「不注意による情報漏えい(規則は順守)」については、今後もずっとついて回る脅威でしょう。セキュリティはチェーンに似たところがあって、引っ張ると弱いところが切れます。この弱いところのひとつが人間です。セキュリティレベルを上げるために人間を排除するのは効果的ですので、例えば自動運転のようなソリューションは今後のトレンドになっていくでしょう。

 情報セキュリティにおいては、通信の特性からハッカーの攻撃かどうかを見抜くのは人間には難しいという面があります。従来は「やはり最終的には人間が判断しなければならない」と言われてきましたが、最近ではIPS(不正侵入防止システム)などの自動検出装置に任せてしまう方が判断を誤らないという水準に到達しつつあります。

 最初はコスト削減の観点から機械化が進んできた面もありますが、機械が進化したことによって、判断が人間を上回るようになってきました。こうなると中途半端に機械と人間の判断を混ぜるのはよくありません。飛行機でパイロットと自動操縦装置が逆の操作を行って起きた事故がありますが、これは機械と人間の判断が相反したためです。プロセスごとに機械が判断するなら機械が、人間が判断するなら人間が判断するよう、切り分けた方がよいでしょう。

 企業が機械の判断を受容できるかどうか、といった課題も残りますが、Googleなどは創業時から「機械の方が処理が優れている」という企業文化だった故にあれだけの成長を遂げた面もあります。ですから、企業の理念や経営者の考え方次第で受け入れられるのではないでしょうか。

 ただ、一方で「やっぱり人の目の方が安心できる」という気持ちも分かります。何か起きたときの責任を機械は取れませんので、今のところ評価は分かれるでしょう。そういう意味では今は、人間と機械のどちらが良い、悪いとクリアには言い切れない、過渡期にあると言えます。