この記事は、Senior Director, Technology Policy Global Government Affairs であるEric Wenger によるブログ「 Moving from Risk to Resilience: Securing Critical Infrastructure by Tackling Technical Debt 」(2025/11/20)の抄訳です。
政策立案者が、人工知能(AI)や量子コンピューティングといった新興テクノロジーに起因する新たなサイバーセキュリティの課題に直面する中、緊急性の高い脅威が、気づかれないまま目の前に潜んでいます。サポート期間が過ぎた EoL(End of Life)テクノロジーです。新種の脅威や革新的な防御策が紙面をにぎわす一方、重要なインフラにおけるネットワーク機器やソフトウェアの老朽化は、すでに明確に差し迫った危機をもたらしています。これは、Volt Typhoon のような、パッチが適用できないテクノロジーを標的とした国家支援型の有名なサイバー攻撃によって実証されています。この脅威に対処するには、問題の規模と範囲に関する共通認識を基盤とした、緊急かつ集中的な対応が求められます。
ベンダーは予定された EoL を過ぎると、対象のテクノロジーについて、セキュリティパッチの提供やサポートを終了します。サポート対象外のテクノロジーを利用し続ければ、悪用されるリスクも高くなります。
現在分かっている推定では、2020 年代前半において、世界的にはビジネス ネットワーク インフラ資産のほぼ半数が老朽化、あるいはすでに陳腐化していたとされています。しかし、これまで、このようにリスク化したインフラが重要な部門や各国市場のどのくらい多岐にわたって存在するかや、「技術的負債」を管理できなかったことによるリスクに対してテクノロジーの更新コストの投資額を効率的に評価できるデータはありませんでした。
新たな調査が埋める空白
WPI Strategy のレポート『Update Critical: Counting the Cost of Cybersecurity Risks from End-of-Life Technology on Critical National Infrastructure』では、グローバルで増大するこの種の問題が指摘され、政策立案者や民間企業のリーダーに対して推奨事項が提示されています。シスコが委託して行ったこの調査では、主要な市場(米国、英国、フランス、ドイツ、日本)と重要な業界(医療、エネルギー、水、製造、金融など)における EoL リスクの比較分析について新たなアプローチが提示されています。
調査結果は、驚くべきものでした。米国では、連邦政府の IT 支出の 80% が既存システム(その多くはレガシーシステム)の運用保守に充てられており、重要インフラに対するリスクが高まっています。EU においては、2022 年から 2023 年にかけて発生したサイバー侵害の約 60% は、パッチが存在するにもかかわらず適用されていなかった既知の脆弱性が悪用されており、サイバー攻撃に対する基本的な予防策が根本的な課題であることが浮き彫りになっています。このレポートでは、各国および各業界について調査されていますが、特に医療分野が脆弱であることが一貫して明らかになりました。EoL テクノロジーに先手を打って取り組むことは、重要な業界全体のサイバーレジリエンスを大幅に向上させる明確な戦略的道筋であること、また脆弱性が悪用される前に対処することで、重要なサービスと人々をより効果的に保護できることが明らかになりました。
現実的な推奨事項
政府および民間部門がリソースの最適な配分と AI の安全な導入方法を検討するにあたり、このレポートでは、現実的な推奨事項として次のようなものが示されています。
- 基盤としての資産管理:すべての重要なインフラ事業者は、常に最新のテクノロジー資産台帳を管理し、サポート終了期限が近い、またはすでに終了している機器を特定する必要があります。見えないものは管理できません。
- 明確なライフサイクル管理の評価:事業者は、老朽化したテクノロジーを更新する必要があるのかどうかを継続的に評価し、更新がすぐにできない場合でも、リスク低減計画を決まった期限で文書化すべきです。
- インシデントレポートの強化:インシデントレポートを作成する仕組みがある場合、EoL となるテクノロジーが侵害にかかわったかどうかのデータを確実に取得します。これを明らかにすることで責任追跡性が確保され、体系的なパターンの特定に役立ちます。
- IT 投資モデルの改革:公共部門では、テクノロジーに対する費用は通常、新しいシステムの購入(資本支出)と既存システムの維持(運用コスト)の 2 つの別々の予算に分けられますが、この方法では、予算の大半が現行システムの維持に充てられ、新しいテクノロジーへ投資する余地がほとんど残りません。政府はこの課題に対処するために、サブスクリプションモデルや従量課金モデルがコスト効率とセキュリティ面でメリットをもたらすかどうかを検討する必要があります。
今後の方針
この調査は、重要インフラのセキュリティとレジリエンス啓発月間に関連しているだけでなく、各国が量子耐性暗号化技術や AI インフラに投資すること、そしてサービスをより効率的に市民に提供できるようにすることに関わっています。陳腐化したパッチ未適用のテクノロジーが散在する基盤の上に構築され、老朽化したシステムを改善するのではなく維持することに予算が費やされるのであれば、こうした取り組みは行き詰まるでしょう。サーバールームで静かに稼働する陳腐化した機器は、財務諸表には現れてこないかもしれませんが、セキュリティの観点からは潜在的な負債です。
この調査は、政策立案者や民間部門に対し、この課題に体系的に対処するための客観的な根拠と現実的な枠組みを提供します。テクノロジーライフサイクルの可視性向上、資金調達モデルの改革、明確な管理要件の確立を通じて、事後対応型のインシデント対応から事前対応型のリスク緩和へと移行し、脆弱性が悪用される前に対処できるようにします。
そのため、シスコは、政府や組織が、AI を活用し、進化するサイバー脅威から防御するために必要な、データ活用に備えられる安全でレジリエントなインフラストラクチャを確保できるように注力しています。シスコは、SVP and Chief Security & Trust Officer である Anthony Grieco が本日発表した新たな取り組みを通じて、レジリエントなインフラストラクチャを推進していきます。この取り組みでは、セキュリティ上安全でないと認識された機能を排除し、ネットワークインフラのセキュリティ態勢を強化するだけでなく攻撃者の活動を可視化する新たなセキュリティ機能を導入し、自社製品の規定のセキュリティを強化します。またシスコは、この AI 時代を切り拓くにあたり、技術的負債に対処してインフラストラクチャのレジリエンスを向上させるために、お客様やパートナー様、その他の組織の皆様に対して、高リスクな行動を評価し、老朽化した技術を更新するよう呼びかけています。
Authors
木村 滋
National Cyber Security Advisor / Lead of Cyber Security Center of Excellence
Security & Trust Office
