2022 年は、デジタルセキュリティにとって多忙な年でした。このコネクテッドの世界では胁威が増加しており、ユーザーがデジタルインタラクションについて安心できるように、デジタルトラストがかつてないほど重要なものとなっています。
この記事では、今年 2022 年にデジタルトラスト分野で起こったことを振り返ります。2023 年のセキュリティ予測も、どうぞお见逃しなく。
デジサートニュース
- デジサートは、Dr. Amit Sinha を CEO および取締役会のメンバーとして迎えました。Sinha は、Engim、AirDefense、Motorola、Zscaler を経て当社に入社しており、テクノロジー、戦略、運用の分野で 20 年以上の経験を持っています。Sinha のリーダーシップのもと、実世界に根ざしたデジタルトラストを定義するようフォーカスと戦略が設定され、デジサートのデジタルトラスト分野における優位性が引き続き強化されていきます。
- デジサートは、?IoT サイバーセキュリティプロバイダである Mocana を買収しました。エンドツーエンドの?IoT セキュリティが実現し、IoT デバイスメーカーや事業者にとっても市場投入までの時間が短縮されています。デジサートと Mocana という組み合わせは、IoT デバイスのライフサイクル全体にわたってセキュリティを管理できる包括的なプラットフォームを顧客に提供します。
- 今年はじめ、デジサートは?DNS Made Easy?を買収しました。企業向けのDNS(Domain Name System)マネージドサービスを提供する企業です。その結果、デジサートのデジタルトラストのポートフォリオが拡大し、デジサートは証明书ライフサイクル管理に対するシームレスなアプローチを提供できるようになります。
- デジサートは现在、カリフォルニア大学サンディエゴ校およびスタンフォード大学の研究者と协力して DNS ハイジャックに関する理解を深め、悪意をもって取得された証明書を特定して対策を講じることで将来の攻撃を防止するための取り組みを行っています。
- デジサートの Secure Software Manager が、GPG キーリングに対応しました。Linux 上のコードや git commit に対して署名が必要な方や、Redhat ツールで OCI 準拠のコンテナ署名を必要とする方にとって、これは大きなマイルストーンです。
- デジサートは、EONTI とともに、カナダ西部で次世代 911 システムのセキュリティを保護する NG9-1-1 ネットワーク事業者に選定されました。
IoT
- 10 月 4 日、CSA(Connectivity Standards Alliance)が ?をリリースし、デジサートのルート認証局(CA)は、Matter のデバイス認証に向けて ?となりました。スマートホームメーカーは市场投入を迅速化でき、顾客にとってはセキュリティが自动的に実装されることになります。Matter?は数年間にわたるプロジェクトであり、Matter は、Apple、Google、Samsung など、スマートホームの製造に関わるトップ公司がすべて结集し、异なるメーカーのデバイスを相互运用する信頼性と安全性の高い方法を作り出しています。デジサートはこの Matter に深く関わってきたため、メーカーがデバイス认証で準拠を达成するための支援を提供することができます。
- し、顧客や業界の専門家を驚愕させました。移行まで 1 年間と猶予がありそうに思えますが、なぜ今この時期に変更するのか、そしてこの動きは正しいのでしょうか。詳しくは、こちらのブログ记事をご覧ください。また、Google IoT Core をお使いで、移行先をお探しなら、逗阴馆 for Connected Devices もご検讨ください。
- 先日、米国では 。医疗机器メーカーが机器にパッチを适用するのを容易にし、医疗机器の设计、开発、メンテナンスに関して、セキュリティ上のベストプラクティスに従うことをメーカーに义务付けるという法律です。
贰メール
ブラウザ
- 6 月 15 日、Microsoft がしました。Internet Explorer は約?使用されてきましたが、新しい Microsoft Edge に移行するための措置でした。まだ Internet Explorer を使っているユーザーに対して、Microsoft は一時的に Microsoft Edge にリダイレクトする予定です。
- 9 月のブログで、しました。これまで Chrome は、Chrome が実行されているプラットフォームのルートストアに依存していました。今回の新たな移行により、Chrome 独自のルートプログラムにより、最低条件を満たすすべてのプラットフォームで、一貫したより安全なルートが、信頼できるすべての CA に提供されることになります。Chrome Root Program とその要件の詳細については、CA/B フォーラムの 6 月のまとめ(?/jp/blog/ca-browser-forum-recap-june-2022)で详しく解説しています。
欧州规格
- E.U. は、全域を対象とする初の IoT サイバーセキュリティ法に向けた動きを発表しました。メーカー各社にサイバーセキュリティの規則を課し、遵守しなかった場合にはメーカーや開発者に巨額の罰金と罰則を適用します。E.U. の消費者にとっては、購買力の強化とデバイスへの信頼を得るための大きな前進です。この欧州サイバーレジリエンス法は現在、欧州議会で審議中ですが、可決されれば、コンプライアンスの徹底までにメーカー各社が与えられる猶予は最大 2 年間となります。
- 欧州議会と E.U. 加盟各国は、5 月上旬、しました。従来の規則は、サイバーセキュリティに関する最初の E.U. 全域の法律でしたが、デジタルトラストを強化する更新が必要でした。
- 欧州の eID および電子取引に関する法律の改定(eIDAS2 として知られる)に向けた法制化プロセスは、、2023 年に投票に入ると予想されています。その重要な目標のひとつは、欧州全体で eID 制度を育成することで、eID 各国が提供する相互運用可能なデジタルウォレットの導入を目指しています。2030 年までに EU 市民の 80% が eID を定期的に利用することが目標です。
- しました。データ保護法(DSG)は、国境を越えたデータ転送を追加の要件なしに継続するため、スイスが E.U. の規制と互換性のある高水準のデータプライバシーを維持できるようにすることを目的としたものです。
米国基準
- ホワイトハウスは、IoT デバイスに関するセキュリティラベルの新しい標準を制定するために、10 月にテクノロジー業界の大手と会議を開催しました。2023 年春の施行を予定している制度です。セキュリティ業界における「栄養表示」ともいえる制度であり、消費者がスマートデバイスの脆弱性や他の製品との相互運用性などの情報を確認しやすくするものです。を参照してください。
- 米国商务省标準化技术研究所(狈滨厂罢)は、がどのようなものになるか、その概要を説明しました。栄養表示と同じように、セキュリティラベルは、购入の際に、特にデバイスやソフトウェアのプライバシーとセキュリティに関して、消費者が詳しい情報を確認できます。
- 8 月上旬、しました。この法律は、半导体メーカーに数十亿ドルのインセンティブを提供して米国の竞争力を高め、サプライチェーン问题の解消に向けた公的研究に资金を提供するものです。米国で事业を展开する际、半导体メーカーはシリコンに信頼を注入し、製品ライフサイクルのあらゆる段阶で信頼を管理できるデジタルトラストのリーダーと提携しなければなりません。
- しました。この発表は、FBI がニューヨーク在住の夫婦を 45 億ドル以上のビットコインのロンダリングで起訴し、史上最高額の仮想資産差し押さえを行ったことを受けたものです。
量子コンピュータ
- NIST は、最初の耐量子暗号化アルゴリズムを选定しました。つまり、今こそ组织の暗号化の俊敏性を準备し、新しい暗号アルゴリズムのテストを開始するときだということです。しかし、最終的に選定されたアルゴリズムのひとつである SIKE(Supersingular Isogeny Key Encapsulation)は、従来の PC でも されてしまいました。この脆弱性を修正できない場合、NIST はこのアルゴリズムを。古典的アルゴリズムにしても耐量子アルゴリズムにしても、脆弱性が発见された场合にアルゴリズムを简単に変更できるように、暗号化の俊敏性が重要であるという事実を再认识させる経纬でした。
- が論文を発表し、量子コンピュータが実用化されるまで待つのではなく今すぐ量子コンピュータのリスクに備えるよう各界リーダーに促しました。「量子コンピュータが敵に使われるまで行動を控えてはいてはならない」と CISA は警告しています。
脆弱性
- Proofpoint 社のサイバーセキュリティ研究者によると、フィッシングキットの使用など、。フィッシングキットは攻撃者が認証情報を入手して使用できるようにするもので、通常、安価に入手できます。新しいキットでは、ユーザー名やパスワードだけでなく、MFA トークンなども盗むことができます。
- GitHub は、オープンソースのレジストリを保護するために、npm ソフトウェアパッケージのしました。Log4Shell などの脆弱性によって、npm 上のオープンソースパッケージが、公開されているのと同じソースコードからビルドされている保証がないという懸念が高まったことを受けた動きです。コード署名によるビルドは、ソフトウェアの出自を认証し、デジタルトラストの层をもうひとつ追加します。
- Meta Platforms は、同社の約百万人の?すると発表しました。これは、ログイン情報を公開するようスキャミングする 400 個以上の有害な Android および iOS アプリが発見されたことを受けての対応です。Apple および Google はこれらのアプリをすでに削除していますが、Meta は、問題のあるアプリにクレデンシャルを明かさないように「潜在的な被害者」にアドバイスを与えていく予定です。
データ侵害
- によれば、過去 2 年間に 10 数か国の企業のうち約半数がデータ侵害を経験していることが分かりました。この調査によると、データ侵害件数は増加しており、脅威の増加とともに修復に費やすコストとリソースも増加しています。
- フィッシングと見られる攻撃で、わずか 3 時間で?が盗まれました。この攻撃は、OpenSea のユーザーを標的とし、ほとんどの NFT スマートコントラクトの基盤となっているオープンソース規格の脆弱性を利用したものです。攻撃者は不完全なコントラクトで有効な電子署名を使用し、コントラクトを自分のウォレットに転送できました。
マルウェア
- 専门家が「并行するサイバー戦争」と呼ぶように、ロシアはを仕掛けています。ロシアが初めてウクライナに地上攻撃を行った日、ウクライナの银行および政府机関のコンピュータに影响を与えるマルウェアをしました。
- また米国の?CISA(サイバーセキュリティー?インフラセキュリティー庁)および FBI?は公的組織および民間組織がマルウェアを含むしています。
- 1 月、ハクティビストの集団が、ロシア軍の進軍を阻止するためにと宣言しました。ベラルーシのアレクサンドル?ルカシェンコ大統領がロシア軍への支援を取りやめ、医療支援を必要とする政治犯を釈放することに同意すれば復号鍵を引き渡すと Twitter で発表しました。この種の攻撃がこのような方法で使用されたのは初めてのことです。
- 攻撃者が、と研究者は警告しています。HavanaCrypt は、Windows 10、Microsoft Exchange、Google Chrome のアップデートを偽装しようとする最新のランサムウェアです。
- 8 月には、しました。開発者の間でオープンソースのプロジェクトをクローンすることは普通ですが、今回の場合、攻撃者は正規のプロジェクトをクローンし、マルウェアを追加して GitHub に再投稿していました。その後 GitHub は、悪意のあるリポジトリのほとんどを削除しています。
TLS/SSL
- 7 月 21 日には、されました。同社の内部ネットワークに第三者が侵入し、企業データが盗み出されています。ただし、顧客やベンダーのデータが盗まれたかどうかは現在もわかっていません。同社は 7 月 6 日、データ漏洩を顧客に知らせるセキュリティ通知を送付し、「この問題が当社の製品およびサービスの運用やセキュリティに影響を与えたという兆候は今のところ見つかっていない」と述べています。
デジタルトラストの最新ニュースに関する全シリーズは、こちらをご覧ください。
IDC のホワイトペーパー「Digital Trust: デジタルフリーダムの基盤」を入手して、デジタルトラストとは何か、どう机能するか、そしてなぜそれをあらゆる组织が戦略的な构想にしなければならないのかをお确かめください。