アジアの公共部門がサイバーレジリエンスを見直している理由

• アジアの公共部門は、デジタルトランスフォーメーションを加速させ、クラウドサービス、API、相互接続されたデジタルインフラへの依存を拡大しています。

• この変化により、サイバーリスクが大幅に増加しています。この地域では近年、Web アプリケーション攻撃と API 攻撃が数百億件、レイヤー 7 分散型サービス妨害（DDoS）攻撃が数兆件発生しています。

• AI を活用した攻撃、ソフトウェアサプライチェーンの依存関係、地政学的なサイバー活動が集約され、従来の境界防御では封じ込められなくなった持続的で体系的な脅威が生まれています。

• その結果、サイバーセキュリティ戦略は、絶対的な防御から、アクティブな攻撃を受けた際のレジリエンス、継続性、封じ込め、運用の安定性へと移行しています。

• アジアの公共部門は、最新のアーキテクチャ、コラボレーション、適応型セキュリティモデルを通じてサイバーレジリエンスを強化できます。

アジア全体で、公共部門の組織はデジタルトランスフォーメーションを加速させ、市民サービスの最新化、重要インフラの強化、経済成長のサポートを行っています。政府機関は、アイデンティティサービスやヘルスケアシステムから、輸送ネットワークや金融プラットフォームまで、あらゆるものをデジタル化しています。

この変化により、効率性と規模が向上しましたが、新たな形態のサイバーリスクも生まれました。システムの相互接続が進むにつれ、攻撃者は孤立したエントリーポイントに限定されなくなりました。API の侵害、サプライヤーの侵害、フィッシングキャンペーンの成功により、政府のエコシステム全体で連鎖的な混乱が発生する可能性があります。 

同時に、攻撃者も進化しています。AI を活用した攻撃、大規模な DDoS アクティビティ、サプライチェーンの侵害は、頻度が増し、封じ込めがますます困難になっています。

新しいホワイトペーパー「グローバルな脅威、地域に適したソリューション：Akamai を活用してアジアの公共部門のセキュリティを確保」では、Akamai が、これらの勢力が地域全体のサイバーセキュリティリスクをどのように再形成しているか、そして、防御だけでなくレジリエンスが現代の政府のセキュリティ戦略の定義要件となっている理由を検証しています。このブログ記事では、そのホワイトペーパーの重要ポイントをまとめています。

アジアの公共部門は、世界でも有数の活発なサイバー脅威環境で活動しています。Akamai がホワイトペーパーで取り上げたデータによると、この地域では 2024 年に 800 億件以上の Web アプリケーション攻撃が発生しており、そのうち 110 億件は、政府の多くのデジタルサービスを支えている API を標的とした攻撃です。

DDoS アクティビティの状況はさらに明確です。2023 年から 2024 年にかけて、アジア太平洋地域（APAC）地域は 7.4 兆件を超えるレイヤー 7 DDoS 攻撃を記録し、世界で二番目に多くの標的となっています。これらの攻撃は、システムを過負荷状態にする、セキュリティチームの注意をそらす、または重要なサービスを担当する公共機関を脅迫するために、他の手法と併用されることが増えています。

このリスクは、次のような要因によって悪化しています。

• 偵察を自動化し、説得力のあるフィッシングやなりすましキャンペーンを生成し、ゼロデイ探索を加速する AI を活用した攻撃

• 従来の政府の境界を越えてアタックサーフェスを拡大するソフトウェアサプライチェーンの依存関係

• 政府のネットワークと重要なインフラを標的とした地政学的なサイバー活動で、混乱、スパイ行為、影響力を発揮

その結果、公共部門のシステムに対するサイバー攻撃は、もはやまれなイベントや孤立したイベントではなくなりました。持続的で適応性が高く、より広範な経済リスクや国家安全保障リスクとの結びつきが強まっています。

公共部門のシステムがデジタルで相互接続されるようになると、データとトラフィックが環境間でどのように移動するかを継続して可視化することがますます困難になっています。現在、政府機関は、クラウドプラットフォーム、オンプレミスインフラ、サードパーティサービス、API を組み合わせて、重要なサービスを大規模に提供しています。

このような複雑さが可視性のギャップを生み出します。パートナー、請負業者、市民に公開されている API は、インベントリが不十分であるか、一貫性のない監視が行われている可能性があります。同時に、水平方向（East／West）のトラフィックに関する知見が限られているため、攻撃者がアクセス権を取得した後のラテラルムーブメント（横方向の移動）を検知することが困難になります。このような状況では、脅威は検知されずに存続し、運用の中断、データの漏えい、コンプライアンスの失敗を引き起こす可能性があります。

課題は、攻撃の量だけでなく、相互接続されたシステムをどのように通過するかを把握することの難しさです。アプリケーション、ネットワーク、アイデンティティ全体を包括的に可視化できない場合、セキュリティチームは事後対応を余儀なくされ、損害が発生した後にのみインシデントに対処することになります。

可視性のギャップは、断片化されたセキュリティアプローチによって悪化することがよくあります。多くの公共部門の環境では、セキュリティの責任は複数の機関、部門、外部ベンダーに分散されており、それぞれが異なるツール、ポリシー、優先順位で運用されています。

このような断片化により、従来の境界防御と静的制御の有効性が制限されます。防御が調整されていない場合、攻撃者はシステム間の継ぎ目を悪用し、抵抗をほとんど受けずに環境間を移動できます。相互に依存する政府エコシステムでは、局地的な侵害であっても、より広範なサービス停止やシステム的リスクに拡大する可能性があります。

サイバー脅威が進化し続ける中、こうした構造的な課題により、公共部門の組織が防御だけに依存することがますます困難になっています。攻撃速度と対応能力のギャップが拡大しているため、レジリエンス、封じ込め、継続性を重視するセキュリティモデルへの移行が加速しています。

アジアの公共部門の組織にとって、サイバーセキュリティの目標は変化しています。永続的な攻撃、相互依存関係の拡大、急速に進化する攻撃戦術によって定義される環境では、絶対的な防御はもはや現実的ではありません。境界ベースの防御の時代は終わりました。これからはレジリエンスをベースラインとする必要があります。

レジリエンスは問題の見方を変えるものです。システムが侵害から完全に保護されていると想定するのではなく、レジリエンスのベースラインでは、攻撃が発生した場合の継続性を優先します。これには、ブラスト半径の制限、ラテラルムーブメントの防止、持続的な圧力下でも重要なサービスを利用可能な状態に維持することが含まれます。

この変化は、市民サービス、国家インフラ、経済の安定に責任を負う組織にとって特に重要です。一度の停止で、ヘルスケア配信、輸送システム、公益事業、財務業務が中断する可能性があります。このような環境では、ダウンタイムは IT の問題だけでなく、公共の信頼に直接影響します。

規制や地政学的な圧力がこの現実をさらに強めています。この地域の政府は、データ主権、インシデントの開示、運用継続性に対する期待を高めています。コンプライアンスは強力なベースラインを確立しますが、必ずしもレジリエンスを確保するわけではありません。セキュリティ戦略は、チェックリストを越えて、適応型防御、継続的な検証、障害に耐えるように設計されたアーキテクチャを組み込む必要があります。

レジリエンスを構築するためには、コードからランタイムまでアプリケーションを保護し、クラウド、エッジ、オンプレミス環境全体で一貫した制御を適用する必要があります。また、セキュリティ侵害を想定してネットワークを設計することも意味します。これにより、防御は脅威を封じ込め、攻撃が成功しても重要な運用を維持できます。これらの原則は、公共部門の組織が最新のセキュリティ戦略を評価する際に中心的な役割を果たしています。

世界中で、持続的なサイバー圧力に直面している政府機関は、現実世界の状況でレジリエンスの原則を適用し始めています。Akamai は、重大なインシデントで公共部門の組織をサポートしてきた経験から、命運を分ける効果的なサイバーレジリエンスがどのようなものかについての知見を提供することができます。

ロシアがウクライナに侵攻している間、Akamai はウクライナ政府の Web サイト、アプリケーション、API、インフラを持続的なサイバー戦争から守るためのサイバーセキュリティサポートを提供しました。継続的な DDoS キャンペーン、悪性ボット活動、アプリケーションレイヤー攻撃にもかかわらず、重要なデジタルサービスは長期の中断にわたって運用され続けました。

米国では、Akamai は連邦政府機関や国防総省と緊密に連携して、ゼロトラストのアイデンティティ、認証情報、アクセス管理（ICAM）機能を展開してきました。これらの実装により、最小権限アクセスと継続的な検証を実施しながら、請負業者やパートナーとの安全なコラボレーションが可能になりました。Web アプリケーションセキュリティ、DNS 保護、マイクロセグメンテーションにより、複雑なハイブリッド環境での露出がさらに減少しました。

同様のアプローチはグローバルに拡大しています。英国では、Akamai が P3M Works と協力して、政府および防衛サプライチェーン全体にゼロトラスト ICAM 機能を拡張しました。オーストラリアでは、パートナーシップによりマイクロセグメンテーションが導入され、機密性の高いシステムを分離し、潜在的な侵害が拡散する前に封じ込めることで、重要なインフラを保護しています。

これらの例では、共通のスレッドは単一のツールではなく、アーキテクチャの変化です。セキュリティ戦略は、境界での攻撃のブロックのみに依存するのではなく、侵害を想定し、影響を制限し、継続性を維持するように設計されています。

アジアの公共部門が大規模にデジタル化を進めている中、レジリエンスは個々の機関を超えた連携にますます依存するようになっています。組織的なサイバーリスクは、政府、重要な業界、民間セクターのパートナーにまたがっており、コラボレーションは政策目標ではなく現実的に必要なものとなっています。

地域全体のレジリエンスを強化するためには、次のようなアプローチが役立ちます。

• セクターベースの情報共有および分析センター（ISAC）や国内のサイバー取引所を通じて情報共有と早期警告を行うことで、新たな脅威の迅速な検知と対応を可能にします

• エネルギー、製造、通信、金融など、国の経済を支える業界全体でゼロトラストの原則を幅広く採用

• 公共部門と民間部門の共同シミュレーション、トレーニングイニシアチブ、研究パートナーシップによって支援される人材と能力の開発

これらの取り組みは、既存の制御を置き換えることではありません。これらのアプローチは、可視性を向上させ、ブラスト範囲を縮小し、高度に相互接続された環境でより協調的な対応を可能にすることで、既存の制御を強化します。これらの改善により、公共部門の組織はインシデント発生時により効果的に対応できるようになり、完全に防止できない攻撃の影響を制限できます。

アジアの公共部門が直面しているサイバー脅威のペースは減速していません。AI を活用した攻撃、ソフトウェアサプライチェーンの脆弱性、地政学的なサイバー活動、金融詐欺は、従来のセキュリティの前提に反する形で集約されています。この環境では、レジリエンスの確保はもはや任意ではありません。

Akamai のホワイトペーパー全文では、アジアの公共部門の組織がこの現実にどのように適応できるかについて、実際の攻撃データ、世界各国の政府機関の経験、重要なシステムのセキュリティを確保するための実践的なアプローチを活用して説明しています。事業継続性の維持、公共の信頼の保護、システム上のリスクの軽減には、最初からレジリエンスを備えたセキュリティ戦略を構築する必要がある理由を概説しています。