2022年も続くと予想されるサイバーセキュリティの脅威

今年は、企業と消費者、そして彼らのデータを狙うサイバー犯罪者の間でのいたちごっこの激化が予想されます。最近では、インターネット・ソフトウェアであるLog4jに脆弱性が見つかったことから、全世界で数億台のシステムが危険に晒される可能性があるとの懸念が広がっています。これは、2021年に米国東部で燃料配送事業を展開するColonial Pipelineの操業を一時停止に追い込んだランサムウェア攻撃など、注目を集めた複数の侵害事件に続く脅威です。このようなサイバー攻撃事件は、特に重要インフラやサプライチェーンへの攻撃を中心に、その頻度とコストが増加し続けています。また、グローバル経済のオンライン化が進み、機密データが危険に晒されるようになっていることから、脅威のレベルは今後さらに高まることが予想されます。結果として、サイバーセキュリティに対する意識と支出が高まり、サイバーセキュリティというテーマへの長期的な追い風になると考えられます。

重要なポイント:

  • 2021年には、サイバー攻撃が多発し、コストも上昇しましたが、この傾向は2022年も続くと思われます。データ侵害にかかるコストの平均は、2020年の3.86百万ドルから2021年には4.24百万ドルに上昇し、IBMがこれまで「Cost of a Data Breach Report」を発表した17年間で最も高い総コストを記録しました。 1
  • 企業、政府機関、そして消費者は、サイバーセキュリティへの取り組みを強化しており、消費者も自分自身を守るための手段を講じています。例えば、企業による支出は、2022年に1,720億ドルに達すると予想されています。2
  • サイバーセキュリティの取り組みにおいて、引き続きアイデンティティ、ネットワーク、エンドポイントセキュリティが重要なポイントとなっており、ネットワークセキュリティは2021年から2026年の間で24%と最も急速に成長すると予想されています。3

2021年にデジタル世界の脆弱性が明らかに

現在、世界では1日に2.5クインテリオン(百京)バイトのデータが生成されていると推定されています。4その結果、ハッカーがこれまで以上に機密データへのエントリーポイントを得ることにつながっており、今後世界のデジタル化が進み、データ量が増加するにつれて、さらに多くの機会を彼らが得ることになると予想されます。特に、IoT(モノのインターネット)デバイスは、データプールへの絶好のアクセス経路となるでしょう。2021年末時点で、接続されているデバイスは146億台にも上ります。5この数字は2022年に18%近く増加し、2027年には2倍以上になる可能性があります。6

また、経済が在宅勤務へ移行していることも、サイバー犯罪者にとって大きなチャンスを生み出しています。米国では2021年に新型コロナウイルスのパンデミックによるロックダウンが緩和されましたが、45%ものフルタイム従業員が少なくとも部分的に在宅勤務を続けました。7新たな変異株の出現や従業員自身の選択により、在宅勤務制度は今後も維持される可能性があり、結果として予見可能な将来のデータの脆弱性につながる可能性があります。IBMのレポートによると、2021年に報告されたデータ漏洩の17.5%はリモートワークがその要因でした。8また、これらの侵害の平均コストは、リモートワークが要因ではない侵害に比べて16.6%高くなっています。 9

2021年には、いくつかの有名企業がコストの嵩むサイバー攻撃の犠牲になりました。Colonial Pipelineへのランサムウェア攻撃では、攻撃者に4百万ドルが支払われたとされています。10また、CNA Financialは、ロックアウトされたデジタルインフラの一部を解読してもらうため、ランサムウェアのハッカーに40百万ドルを支払いました。11 さらに、世界最大の食肉メーカーであるJBSは、サイバー攻撃を受けて複数の工場の閉鎖に追い込まれました。12これらの例は、昨年企業が被害を受けた主な攻撃のほんの一部にすぎず、時には数百万ドルの損害を被ることもありました。

最近のサイバー攻撃事例がサイバーセキュリティへの投資を後押ししている

最も洗練されたソリューションであっても、すべての脆弱性を排除することはできないかもしれません。しかし、脅威の多くを阻止し、最悪の結果から守ることは可能です。2021年においては、企業、米国政府、消費者のサイバー脅威に対する認識の高まりと予防策に取り組む姿勢が明らかになりました。

  • 企業:ランサムウェア攻撃の被害者、そのサプライヤー、顧客、そして競合他社は、セキュリティ侵害がもたらす混乱を理解しています。被害によるコストは往々にして、適切なソリューションへの投資のコストを上回ります。大企業は通常、サイバーセキュリティに年間2百万ドルから5百万ドルを費やしていますが、ランサムウェアの侵入1件による被害額は平均4.62百万ドルに上ります。13,143,000人以上の経営者を対象とした最近の調査で、回答者の69%が2022年にサイバーセキュリティへの支出が増えると予想していますが、このコストが理由のひとつとなっています。15ある試算によると、2022年のデータ保護とリスク管理に関する支出は、2021年から11%増加し1,720億ドルに達する可能性があります。16
  • 政府機関:2021年5月、バイデン大統領は、連邦政府のサイバーセキュリティ能力を近代化しサイバー攻撃への対応戦略を標準化するとともに、政府の請負業者の情報共有要件を引き上げることを目指す大統領令に署名しました。そして7月には、バイデン大統領は重要インフラ(特に電力、水、交通)へのサイバー攻撃を防ぐことを目的とした国家安全保障に関する覚書に署名しました。これらの施策は、「インフラ投資と雇用に関する法律」に反映されており、支出先が定められている17億ドルと潜在的な支出向けの約70億ドルの予算が国家のサイバーセキュリティ向上に向けられています。17また昨年、上院はホワイトハウス初のナショナル・サイバー・ディレクター職の設置を全会一致で承認しました。議会は、2021年国防権限法案の一部としてこのポジションを創設し、今後の政権においてサイバーセキュリティをより重視する姿勢を示しています。

  • 消費者:サイバーセキュリティ関連の支出のうち、消費者によるものは少ないながらも増加傾向にあります。消費者の約53%が少なくとも1件のサイバー犯罪の被害に遭っており、多くの人が個人用VPN、二要素認証、個人情報保護サービスなどの予防策を講じています。18新型コロナウイルスのパンデミックにより、消費者のインターネット利用時間が増加し、これに乗じて詐欺師の活動が活発化して個人に対する脅威が増大しました。2021年10月現在、新型コロナウイルス関連の詐欺で米国人は586百万ドルを失っています。19しかし、消費者は脅威の高まりを認識しています。昨年は、パンデミックの直接的な影響を受けて、約40%の成人がオンライン活動の安全を保護する対策を講じました。20パンデミックの際に学んだデジタル保護の習慣は、今後消費者のサイバーセキュリティサービス導入を加速させる可能性があります。

注目すべきサイバーセキュリティの主要分野

  • アイデンティティセキュリティ:リモートワークの増加に伴い、重要なデータ、リソース、アプリケーションへのアクセスの保護が、企業にとって極めて重要となっています。この分野では、サイバーセキュリティのサブセグメントとして、IAM(アイデンティティおよびアクセス管理)、PAM(特権アクセス管理)、IGA(アイデンティティ・ガバナンスおよび管理)などがあります。これらのサブセグメントは、2021年から2026年にかけて平均CAGR19%で成長すると予測されています。 21
  • ネットワークセキュリティ:この分野の企業は、ネットワークの完全性、機密性、およびアクセス権を誤用や侵害から保護する事業を展開しています。承認が過度に緩いネットワークでは、個人が侵害された後、サイバー攻撃が水平方向(ユーザーからユーザーへ)に移動する可能性があります。例えば、「ゼロトラストネットワーク」は、企業のネットワークに接続したり、ユーザーをインターネットに接続したりすることなく、ユーザーに社内アプリケーションへのアクセスを提供します。この分野では、サイバーセキュリティのサブセグメントとして、ゼロトラストネットワーク・アクセス(ZTNA)、ソフトウェア定義ネットワーク(SDWAN)、ネットワーク検知・応答(NDR)、ファイアウォール/NGFW/統合脅威管理(UTM)、セキュアアクセス・サービスエッジ(SASE)などがあります。これらのサブセグメントは、2021年から2026年にかけて平均CAGR24%で成長すると予測されています。 22
  • エンドポイントセキュリティ:インターネットに接続された多数のデバイスがハッカーの新たな侵入口となり、企業や個人のセキュリティを効果的に管理するうえで新たな課題や複雑さをもたらしています。IoTの導入を成功させるためには、事前に組み込まれたセキュリティ要件から、機械で生成された機密データの継続的な管理と保護まで、多層的なエンドツーエンドセキュリティが必要となります。この分野のサブセグメントには、サイバーセキュリティのサブセグメントとして、EPP(エンドポイント・プロテクション・プラットフォーム)、EDR(エンドポイント検知・応答)、DLP(データ損失防止)などがあります。エンドポイントセキュリティ分野全体では、2021年から2026年の間にCAGR8%で成長すると予測されています。 23

これらの主要な分野を超えて、サイバーセキュリティ企業による統合の動きが加速しています。 一般的に、サイバーセキュリティプロバイダは限られた製品に特化しているため、顧客は複数のプロバイダをパッチワークのように使ってデータを保護しなければなりません。このような状況は、コストの嵩む遅延やその他の潜在的な非効率性につながります。実際、2021年のデータ侵害事例では、それを特定して封じ込めるのに平均で287日かかっています。242021年には、エンドツーエンドで保護能力を向上させるために、複数の有名サイバーセキュリティプロバイダがM&Aを行いました。特筆すべき事例には、CrowdStrike Holdingsによる352百万ドルでのHumio買収や、Rapid7による335百万ドルでのIntSightsの買収が挙げられ、これによりそれぞれの会社は統合された脅威検出および修復製品を提供できるようになりました。25,26 このような統合事例の増加傾向は2022年にも続くと見られ、ウイルス対策およびVPNサービスのプロバイダであるNortonとAvastが80億ドル以上の規模で合併することが見込まれています。 27

結論

2021年には、記憶にある限り最も衝撃的なサイバー攻撃が複数発生しましたが、世界中でデジタルへの移行が進む中、今後も同様の攻撃が発生する可能性が高まっています。しかし、この期間に得られたデジタル保護に関する教訓が、サイバーセキュリティサービスの導入をさらに加速させることになるとGlobal Xは確信しています。サイバー犯罪者を阻止するための財政的なコミットメントは2022年のサイバーセキュリティ企業の追い風となり、サイバーセキュリティというテーマ全体の長期的な投資妙味を高めるとGlobal Xは見ています。