Ciscoは専門情報の海へ、警告メッセージを入れたボトルを投げ込み、専門家やユーザーに拾い上げられるのを待っている。世界のネットワーク機器の48%は古く、陳腐化している。国家支援型の攻撃者(国家に支援されたアクター)はそれを知っており、すでに私たちのインフラの中に入り込んでいる。ネタバレ:「まだ動く」はもはや戦略ではない
ミラノ、2025年12月15日。Ciscoが主催し、関係者向けに限定して開催された最近の独占ウェビナーにおいて、Red Hot Cyberは参加する機会を得た。Ciscoのサイバーセキュリティの舵取りを担う人物であるAnthony Griecoは、冒頭から中心テーマに切り込んだ。複雑系としてのネットワークインフラである。
ノースカロライナから接続したChief Security and Trust Officerは、物理コンポーネント(ハードウェア)と論理コンポーネント(ソフトウェア/設定)が密接に結びつき、全体の安全性を確保するというホリスティックなビジョンを提示した。100万台を超えるデバイスを対象とした調査を示し、憂慮すべき結果を明らかにした。世界のハードウェアのほぼ半分が、想定されたライフサイクルを大幅に超えて稼働しているのだ。
増え続け、指数関数的に高度化する攻撃の数を踏まえると、より安全で、レジリエントで、現代的なネットワークを持つことが不可欠になる。
誰も見て見ぬふりをする技術的負債
「これは、多くの企業が対処していない静かな脅威です」とGriecoは述べた。しかも、これはITだけの問題ではない。国家経済全体を危険にさらす、システム的な脆弱性である。数字は明白だ。調査対象の42%のデバイスが、製品寿命終了(EOL – End of Life)に達し、さらにそれを超えたソフトウェア上で動作している。
パッチ(セキュリティ更新)はもうない。サポートもない。さらに31%は、サポート終了(EOS – End of Support)すら過ぎたほど古いソフトウェアを使っており、これはメーカーが重大な脆弱性を見つけたとしても修正しないことを意味する。そして、さらに13%は3年以上パッチを受け取っていない。
結局のところ、グローバルなネットワークにある約50%のデバイスが、メーカーに見放されたソフトウェアで動いている。15年、20年前に設計されたシステムの話であり、当時は技術の時代背景がまったく違った。
それは、錆びついた橋に都市の交通をすべて任せ、メンテナンスもせず、ただ持ちこたえることを願うようなものだ。予算が近代化から単なる維持管理へと回されることで、技術的負債が積み上がっていく。
Salt Typhoon:理論が現実のニュースになるとき
Ciscoの公共政策担当であるChrisが発言し、こう強調した。「この問題は抽象的なものではありません」。そして、安全保障のレッドラインを越える話題として、通信事業者に対するSalt Typhoon(中国と関係するハッカー集団)の攻撃を取り上げた。中国国家に支援されたアクターが、ライフサイクル末期のCisco機器を悪用して重要ネットワークを侵害したのだ。「サイバー犯罪者はこの問題を完全に理解しています」とChrisは強調した。「彼らはこれらの弱点を探してネットワークを能動的にスキャンしており、EOLハードウェアは最も狙いやすい標的になります」
AIの話題も欠かせない。Griecoは警告を発した。「敵対者は、人工知能を使って、インフラの脆弱性をはるかに短い時間で悪用する能力を加速させています。これは、もはや無視できない緊急性を生み出しています。」
要するに:AI以前は、システムの穴を見つけるのに何週間もの手作業が必要だった。今は数時間でできる。あるいは数分で。
パラドックス:「動いているなら触らない」という哲学
自治体・医療機関・大学などの公的機関から、中小企業や銀行に至るまで、あらゆるCIO(情報システム責任者)やCISO(セキュリティ責任者)を悩ませる痛点がある。Ciscoのハードウェアは、更新なしでも技術的には何十年も動いてしまうことがあるのだ。ハードウェアが陳腐化していても目に見える問題がないとき、どうやって組織に投資を促すのか。Griecoの答えは的確だった。「最も危険なリスクは、手遅れになるまで見えないものです。私たちは、誰かが存在に気づくまでの数か月、あるいは数年にわたり、攻撃者がレガシー(旧式)機器を悪用してネットワーク内に潜伏していた事例を記録しています。」
今日のデータ侵害(data breach)の平均コストは? 数百万ドルだ。評判の失墜、規制上の制裁、顧客の信頼喪失は言うまでもない。
インフラの計画的な刷新と近代化にはコストがかかるが、そのコストはセキュリティ事故に比べれば桁違いに小さい。Griecoは運用担当者に刺さる比喩で締めくくった。「誰も、空調も電源バックアップもないデータセンターを運用しようとは思わない。同じように、今やサポートされないハードウェア上でネットワークを運用することはできないのです。」
Resilient Infrastructure:secure-by-design 2.0のアプローチ
Ciscoは、この危機に対処するための戦略を3つの柱で提示している。
1. 産業全体の意識向上
これはCiscoだけの問題ではない。技術業界全体が連携したアプローチを必要とする課題だ。なぜなら、ある組織が倒れれば、相互接続されたエコシステム全体が揺らぐからである。
2. 標準の引き上げ
Ciscoは攻めのアプローチを掲げる。今日もはや安全と見なせないレガシー機能を、先回りして取り除くことだ。実装は段階的に進められる:
- 第1段階:安全でない機能の利用停止を推奨する、強いセキュリティ告知
- 第2段階:機能をデフォルトで無効化、または有効化に追加手順を要求
- 最終段階:安全でないオプションを完全に削除し、再有効化の余地を残さない
3. プロアクティブな関与
Ciscoが顧客ネットワーク内の安全でない運用を特定した場合、直接介入する。顧客からの連絡を待たない。
GriecoはQ&A(質疑)で出た疑問を、断固としてこう締めた。「当社製品の基本的なセキュリティに対して、別途ライセンスを課すことは決してありません。以上。secure-by-designは追加料金で買うものではなく、私たちが作る製品に組み込まれています。」
リアルタイム防御:ダウンタイムなしのパッチ
Resilient Infrastructureの取り組みの鍵となる要素は、発見されたばかりの脆弱性に対するリアルタイム保護機能だ。目的は、緊急パッチや停止時間を伴うメンテナンスを計画することなく、セキュリティチームが直ちにリスクを緩和できるようにすること。「防御する側に、ネットワークの内部で直接脅威へ対応する力を与えたい」とGriecoは説明した。
より速い対応、運用上の問題の減少、脅威環境が進化し続けても重要サービスをオンラインに保つ。簡単だ。理論上は。
量子コンピューティング:迫り来る完璧な嵐
ウェビナーで議論されたもう一つのテーマは、quantum computing(量子コンピューティング)だった。「暗号は更新されなければならず、セキュリティ機構は強化されなければなりません」とGriecoは確認した。「これはレジリエント・インフラの取り組みの一部です。」ただし重要な点がある。量子計算は、現在の暗号アルゴリズムを根底から変える運命にある。ネットワークは、耐量子暗号(PQC – Post-Quantum Cryptography)を支えるために、今進化しなければならない。
「これは、次の10年でスイッチを入れるような話ではありません」とGriecoは警告した。「AIが当たり前になり、量子計算が主流採用へ近づくにつれて、今行動しない者は自らの代償を払うことになります。」業界は足並みをそろえて動かなければならない。量子の嵐が来てから傘を探しても遅いのだから。
政策決定者は目を覚ますべきだ
Chrisが述べたもう一つの論点は、制度側の関与の重要性だ。「政策決定者はリスクを認識し、この脅威を重要インフラ保護の問題として扱い始めなければなりません。医療、通信、銀行です。資産管理、ライフサイクル計画、最低限のセキュリティ・ベースラインに関する明確な要件が必要です。」メッセージは率直だ。これはIT部門に丸投げできる責任ではない。C-suite(経営層)レベルのコミットメントと、近代化を促し怠慢を罰する規制フレームワークが求められる。
「自分の問題ではない」は、もはや許されない。なぜなら、それは皆の問題だからだ。
最後の警告(夜も眠れなくなるはずの)
「これは集団的な責任です」とGriecoは結んだ。「ある組織が自社ネットワークにEOLハードウェアを抱えているとき、危険にさらすのは自分たちだけではなく、相互接続されたエコシステム全体です。魔法の解決策はありません。努力とエネルギー、集中が必要です。しかし、今行動しなければなりません。」レガシー・インフラの問題は新しいものではない。Grieco自身、2017年の時点ですでに警鐘を鳴らし始めていた。8年後、状況は悪化する一方だ。
今日の違いは? AIが脆弱性悪用の時間を劇的に短縮したことだ。攻撃側も防御側も同じである。いまだ旧式ハードウェアで運用している組織に対し、Ciscoのメッセージは明確だ。行動する時は「そのうち」ではない。今だ。なぜなら、次のSalt Typhoonは、すでに進行中かもしれないからだ。見えないまま。「完璧に動いている」ネットワークの中で。
- 出典:Ciscoウェビナー「Resilient Infrastructure」
- (2025年12月)— Red Hot CyberがCarlo Denzaとともに直接参加
- 出典:Cisco Security Report 2025 — 100万台超のデバイス分析
翻訳元: https://www.redhotcyber.com/post/collasso-delle-infrastrutture-globali-hardware-obsoleto-cisco/