···

日常のテクノロジーに潜む隠れた危機:なぜ私たちのデジタル防御は依然として失敗しているのか

27 5月 2025
by
The Hidden Crisis Lurking Inside Everyday Tech: Why Our Digital Defenses Are Still Failing
  • サイバー攻撃とランサムウェアが増加しているのは、デバイスが古い、簡単に悪用されるセキュリティの欠陥を抱えたまま出荷され続けているからです。
  • 「設計におけるセキュリティ」とは、サイバーセキュリティは技術に組み込まれるべきものであり、ユーザーに任せるべきではないという意味です。しかし、多くの企業は市場のインセンティブが弱いため、このアプローチを採用できていません。
  • 支持を集めている主要な解決策には、怠慢な企業への法的制裁、明確な政府のガイダンス、製品の透明性の向上、セキュリティ重視のサプライチェーン要件、およびサイバー保険基準の引き上げが含まれます。
  • 規制と消費者の需要による責任の所在は、安全な製品と技術業界における真の変化を促進できます。
  • 持続可能なデジタルの安全性には、責任のシフトが必要です。セキュリティは後付けの機能ではなく、デフォルトの機能であるべきです。社会が接続された技術に依存するにつれて、その重要性は増しています。
Inside a Hacker’s Mind : One Minute Attack Breakdown

光る画面の背後—あなたのデスク、車の中、ポケットの中で—見えない戦いが繰り広げられています。サイバー犯罪者は私たちのデバイスの隙間を探り、欠陥を探しています。しかし、攻撃が急増し、ランサムウェアの見出しが増える中、頑固な真実が残ります:私たちの技術は依然として破られやすすぎるのです。大規模な約束や大胆な政府のイニシアチブにもかかわらず、デジタル世界は数十年前の脆弱性にしがみついており、クリックするたびに何百万もの人々が危険にさらされています。

なぜテクノロジー企業は最初から安全な製品を構築できないのか? 知識が不足しているわけではありません。世界中で、米国サイバーセキュリティおよびインフラストラクチャー安全保障局や英国の国家サイバーセキュリティセンターのような機関が「設計におけるセキュリティ」について叫んでいます—デジタルの安全性はすべてのユーザーの肩にかかるべきではなく、私たちが依存するデバイスやソフトウェアに組み込まれるべきだという考えです。それでも、世界最大の組織が使用する製品には知られているセキュリティのギャップが残っています。その結果、開発者が(そしてすべきだった)閉じることができた脆弱性を悪用する攻撃の波が業界全体を襲います。

最近の英国のサイバーセキュリティサミットでは、主要な専門家の間で驚くべき合意が生まれました:障害は技術ではなく、市場の力です。今日のソフトウェアエコシステムは才能と技術的専門知識であふれていますが、経済的インセンティブは遅れています。堅牢なセキュリティにリソースを注ぎ込む企業は、キャッシュレジスターで即座にリターンを得ることはありません。手を抜く企業は、しばしば軽いお咎めしか受けず、侵害が発生したときに顧客がその代償を払うことになります。

では、どのようにして状況を変えることができるのでしょうか? 5つの戦略が支持を集めています:

  1. 怠慢に対する実際の結果。 一部のリーダーは、悪名高いSQLインジェクションのような無謀でよく知られた欠陥を持つ製品を出荷している企業は、公の恥をかく以上のことに値すると主張しています。彼らは法的制裁や多額の罰金に直面するべきであり、これは英国の製品セキュリティおよび電気通信インフラ法に見られる規則を反映しています。怠慢なデフォルトパスワードは、製造業者にとって高い代償を伴う可能性があります。しかし、すべての人が同意しているわけではありません。反対派は「弁護士によるセキュリティ」を懸念し、それが実際の結果を改善することなく、無限の訴訟を引き起こす可能性があると警告しています。
  2. 政府からの明確で実行可能なガイダンス。 セキュリティ基準には厳格さが必要ですが、同時に透明性とシンプルさも必要です。英国のNCSCやカナダのサイバーセキュリティセンターなどの機関は、最新の脅威情報を実用的な実践基準に凝縮することを目指しており、取締役会や経営陣がセキュリティ投資を行う自信を持つことを助けています。これは、サイバーリスクが進化するにつれて継続的な更新が必要なプレイブックです。
  3. ブラックボックスを明るくする。 透明性は過小評価されている武器です。もし購入者がどのブランドがセキュリティに投資しているか、どのブランドが手を抜いているかを簡単に比較できるなら、市場は傾き始めるでしょう。2024年、米国はソフトウェアメーカー向けに設計におけるセキュリティの誓約を開始し、ベストプラクティスへの公的なコミットメントを促しています。英国は、ベンダーの主張を検証するための独立したラボを設立し、顧客に情報に基づいた選択肢を提供しています。買い物客がより良いセキュリティを要求すると、市場は応じます。
  4. サプライチェーンの圧力。 米国防衛のような一部の業界は、ベンダーに対して高いセキュリティ基準を設定し、サプライチェーンを整えています。他の業界、例えば電気通信は遅れています。グローバル貿易がかつてないほど相互接続されているため、強力なバイヤーは期待を設定でき、サプライヤーに適応を強いることができます。
  5. サイバー保険の影の増大。 攻撃が急増する中、保険は多くの企業にとって必須となっています。保険会社は基準を引き上げ、多要素認証などの基本を要求しています。これらの要件は静かに最低基準を設定し、組織をより良い習慣に促します。保険会社はさらに進んで、最悪の違反者や最も一般的な失敗についての報告を公開し、一般市民に知識を与えることができます。

リスクはこれ以上ないほど高いです。 私たちの病院、電力網、都市、さらには子供のおもちゃは、落とし穴に満ちたコードのネットワークに依存しています。無視の結果は社会に波及します:壊滅的なハッキング、ハイジャックされたシステム、そして壊れた信頼。

企業、政府、個人はすべて、昨日の欠陥のある技術に妥協することを拒否しなければなりません。ベンダーに対してより多くを要求し、安全性を設計に組み込む企業を報い、怠慢な行為者を責任追及するための大胆な政策を支持してください。

偉大なデジタル変革は、セキュリティが電源ボタンと同じくらい基本的なものにならない限り、成功しません。 次の章は、優れたエンジニアリングだけでなく、すべての利害関係者—製造者、購入者、規制者—がサイバーセキュリティをデフォルトの機能とし、贅沢な追加機能ではないと主張する意欲に依存しています。

世界中の機関がデジタル脅威にどのように取り組んでいるかについての詳細は、CISAおよびNCSCを訪れてください。

重要なポイント: 設計における安全技術の夢は未完成です—スキルが不足しているわけではなく、集団的な意志が不足しているのです。もっと多くを要求すれば、市場は応じるでしょう。しかし、時間は刻一刻と迫っています。

あなたの技術がまだ安全でない9つの衝撃的な理由(そして今日自分を守る方法)

# なぜ私たちの技術はまだそんなに脆弱なのか? 驚くべき洞察、修正、そしてあなたができること

サイバー攻撃に関する常に報道される見出しや「設計におけるセキュリティ」製品を求める声が高まる中、私たちのデバイスのほとんど—スマートフォンから重要なインフラまで—は依然として驚くほど簡単にハッキングされます。会話は高プロファイルのランサムウェア攻撃に集中しがちですが、根本的な問題は市場のダイナミクス、時代遅れのプロセス、混在したインセンティブによって引き起こされています。

元の記事が見落とした点を深く掘り下げ、現実の解決策、業界のトレンドを拡張し、あなた自身とあなたの組織を保護するための即時の実行可能な推奨事項を提供しましょう。

隠れた事実:知っておくべきこと

1. 技術的解決策は存在する—では、なぜ使用されないのか?
入力検証、デフォルト拒否ファイアウォール、セキュアな更新メカニズムなど、多くの基礎的なセキュリティのベストプラクティスは広く知られ、利用可能です。問題は知識の不足ではなく、企業が迅速に製品を出荷しようとするコストとスピードのプレッシャーが、知られている脆弱性を無視させることが多いのです([Microsoft Security Blog](https://www.microsoft.com/))。

2. セキュアコーディングはほとんどインセンティブがない
数十年の警告にもかかわらず、研究によるとソフトウェアチームはコードに存在する脆弱性の少なさで測定されることはほとんどありません([SANS Institute](https://www.sans.org/))。代わりに、メトリクスは依然としてスピードと機能の提供に焦点を当てています。

3. バグバウンティとバグ負債
バグバウンティプログラム(研究者が欠陥を見つけるために報酬を受け取る)は、広く使用されている製品に数千のバグを明らかにしました。しかし、多くの重要な欠陥は数年にわたって残り、すべてのベンダーが開示に迅速に対応するわけではありません。

4. 増大するコンプライアンスの迷路
GDPR、CCPA、今後のNIS2指令などの規制フレームワークは、企業にサイバーリスクをより真剣に受け止めさせていますが、時には実質的な改善よりも形式的な対応に終わることがあります。

5. AIは二重の刃の剣
AIツールは、セキュリティテストを自動化するために使用されるだけでなく、攻撃者が脆弱性をより早く見つけるためにも使用されています。CISAによると、その競争は加速しています。

すぐにできるステップ:あなた(とあなたの組織)がすぐにできることは?

ステップ1:透明性を要求する

ベンダーからの脆弱性開示ポリシーを求める。
– どのセキュリティフレームワークに従っているかを尋ねる(例:ISO 27001、SOC 2)。

ステップ2:基本的な保護を実施する

– 常に多要素認証(MFA)を有効にする。
– ソフトウェア/ファームウェアを最新の状態に保つ。
– すべてのデフォルトパスワードを削除または変更する。
– 定期的にユーザーアクセスを監査し、不必要な権限を取り消す。

ステップ3:サプライチェーンリスク管理を採用する

– ソフトウェアビルオブマテリアル(SBOM)などのツールを使用してコードの出所を追跡する([OpenSSF](https://openssf.org/))。
– 第三者のラボによって監査されたベンダーからのみ購入する。

現実の使用例

医療: 病院に対するランサムウェア攻撃は患者のケアを妨げますが、ほとんどは不十分なパスワードポリシーや古いシステムに起因しています。
重要なインフラ: コロニアルパイプラインのハッキング(2021年)は、多要素認証なしで1つの侵害されたパスワードを悪用しました。
IoTデバイス: スマートトイの脆弱性はデータ漏洩を引き起こしましたが、英国とEUの動きは法律によってより良い基本的な保護を推進しています。

論争、制限、未解決の質問

怠慢に対する罰則: 法的制裁は革新を妨げたり、保護の精神を見逃す「チェックボックス」セキュリティを引き起こしたりする可能性があります。
透明性の逆風: すべてのインシデントを開示させることは、企業の商業秘密を暴露したり、ハッカーを助けたりする可能性があります。
サイバー保険は crutch か? 批評家は、企業が根本的な問題を修正するのではなく、リスクを移転することを可能にする可能性があると主張しています。

特徴、仕様、価格:設計における安全な製品

– 「サイバーエッセンシャルズ」(英国)などの基準の下で認証されたデバイス/ソフトウェアを探すか、NCSCによって検証されたものを選ぶ。
– 定期的なOTA(オーバー・ザ・エア)アップデートや、ハードウェアベースの暗号化などの設定可能なセキュリティ機能を備えた製品は、初期コストが高いかもしれませんが、長期的には侵害コストを削減します。

業界のトレンドと予測

– 2025年までに、ガートナーは60%の組織がサイバーセキュリティリスクを第三者パートナーシップの主要な決定要因として使用すると予測しています。
– ゼロトラストアーキテクチャ—内部/外部トラフィックを自動的に信頼しない—が新しい標準になるでしょう([Gartner](https://www.gartner.com/))。
– 米国とEUは、消費者デバイスに対する「セキュリティラベル」の義務化を検討しています(栄養ラベルに似ています)。

利点と欠点の概要

設計における安全性の利点

– 攻撃によるビジネスの中断が減少します。
– セキュリティを重視する市場での競争上の差別化要因。
– 保険料の引き下げ。

欠点

– 初期開発コストの増加。
– 市場投入までの時間の延長。
– 継続的なコンプライアンスのオーバーヘッド。

セキュリティと持続可能性

持続可能なサイバーセキュリティは、インシデント対応だけでなく、設計から廃棄までの製品ライフサイクルのセキュリティを考慮します。E-waste(セキュリティアップデートがサポートされなくなったデバイス)は、大きな、しばしば見落とされがちなリスクベクトルです。

レビューと比較

Apple vs. Android: Appleの囲い込まれたエコシステムは特定のリスクを減少させますが、両方のプラットフォームはサプライチェーンセキュリティの問題に直面しています。
Microsoft Windows vs. ChromeOS: ChromeOSは、ウェブ/クラウド操作に焦点を当てた設計により、攻撃面を簡素化しますが、レガシーアプリのサポートは制限されます。

最も緊急の質問に対する回答

Q1: すべてのデバイスに最低限のセキュリティ基準がないのはなぜですか?
グローバルな規制は革新に追いついていませんが、米国、英国、EUの新しい法律が追いついています。

Q2: 購入者は今すぐに賢い選択をすることができますか?
はい! セキュリティベンチマークを公開し、第三者の認証を提供し、透明なパッチポリシーを持つベンダーを選んでください。

Q3: レガシーIT—古いが重要なシステムについては?
古いシステムをセグメント化し、不必要なネットワークアクセスを無効にし、最も脆弱なもののパッチ当てや交換を優先してください。

即時のプロのヒント

– すべてのデフォルトパスワードを変更し、すべてのアカウントでMFAを即座に有効にしてください。
– テクノロジーを購入する前に、ベンダーに最後のセキュリティ評価報告書を求めてください。
– 最新のベストプラクティスについての脅威アラートを受け取るために、CISAおよびNCSCに登録してください。

実行可能な推奨事項

– 購入および調達契約において「設計におけるセキュリティ」を譲れない条件として要求してください。
– 迅速なパッチ適用と責任ある開示プログラムを行っているベンダーを報いる。
– エンドユーザー、経営者、開発者を含むすべてのレベルでのセキュリティ教育を強化するために提唱してください。

あなたには思った以上の力があります。より安全なテクノロジーを要求するたびに—厳しい質問をするたびに—サイバーセキュリティが後付けではない世界に近づいています。さらなるアドバイスや公式ガイダンスについては、今日、CISANCSCを訪れてください。

次の侵害を待つのではなく、今すぐセキュリティをデフォルトの設定にしてください。

Liam Jansen

リーム・ヤンセンは、新しい技術とフィンテックの分野で著名な著者であり思想的リーダーです。名門カザン国立大学で金融技術の修士号を取得したリームは、今日のデジタル経済における革新を促進する金融システムについて深い理解を培ってきました。彼の洞察は、クオンタム・アドバイザーズでの長年の経験に根ざしており、そこでテクノロジーと金融を統合する最先端のソリューションを開発する上で重要な役割を果たしました。複雑な概念を明確に伝える能力が評価されているリームの著作は、業界の専門家と好奇心旺盛な読者の両方を、急速に進化するフィンテックの風景へと導いています。彼の考えを刺激する記事や出版物を通じて、リームは金融とテクノロジーの未来についての対話を引き続き促しています。

Don't Miss

Ethereum’s Perilous Tumble: Could the Crypto Titan Slide to $1,000?

イーサリアムの危険な暴落:クリプトの巨人は1,000ドルまで下落するか?

イーサリアムは27%
XRP’s Potential ETF Boom: Will It Fuel a Crypto Revolution or Fizzle Out?

XRPの潜在的なETFブーム:それは暗号革命を促進するのか、それとも消えてしまうのか?

暗号通貨XRPは、フ