アイデンティティ(ID)セキュリティのソリューションをグローバルで展開するCyberArkは、2024年12月18日、本年の振り返りと2025年のサイバーセキュリティトレンド予測を発表した。
CyberArk Software株式会社【左】執行役社長 柿澤光郎氏
【右】ソリューションズ・エンジニアリング本部 本部長 佐野龍也氏
防御側でもAI活用が当たり前に、マシンIDの増加にどう備えるか?
イスラエルで創業してから今年で25周年を迎える同社。日本法人で代表を務める柿澤光郎氏は冒頭、全世界約2,000社(内日本企業は約200社)に対し行ったアンケートの結果を紹介した。
「今回、調査にご協力いただいた日本企業のセキュリティ担当者のうち、96%が『複数回、IDの侵害を受けた』と回答しました。また、ほぼ100%の方がサイバー防御に『AIを活用している』と答えた点も印象的でした」(柿澤氏)
このAIの普及率は、ここ1~2年のテクノロジートレンドを象徴するような数字だといえるだろう。セキュリティベンダーが次々と自社製品にAIを実装しているため、そのユーザーも何らかのAIを自然と活用する形になってきているのである。
加えて柿澤氏は「2025年末までに、日本におけるID数は約3倍に増えるだろうという予測が各社のCIO、CISOなどから寄せられています」と明かした。この急増の背景には、“マシンIDの増加”があるという。当然だがIDが増えれば、その分攻撃のポイント、いわゆるアタックサーフェスも増加することになる。
柿澤氏は、「今年も日本中で多くのID侵害が報告されましたが、被害に遭った会社も、IDはきちんと管理していたんです。ただ、一度システムに入り込まれてしまったことで、様々なデータが盗み出されてしまいました」と話す。こうなると、もはやIDの管理だけでは不十分で、根本的なセキュリティをどう担保していくかを考えなければならないという。
攻撃者側にも変化が起こっている。防御側でAI活用が拡大しているのと同じように、AIを使って生体認証を突破してくるなど、その手口がここ数年で急速に進化してきているとのことだ。
AI機能の実装や大型買収など、CyberArkにも大きな動きが
2024年のCyberArkはこうした情勢を受け、いくつかの大きなアクションを発表した。その代表的な取り組みの一つが、「CORA AI」の提供だ。CyberArkのプラットフォームに組み込まれたAIがセキュリティを取り巻く環境を学習し、獲得した情報や知見を活用して、ユーザーに対し課題解決のための施策・アプローチを提案したり、フィードバックを行ったりするという。自然言語によるチャット型インターフェースで利用できるとのことだ。
そしてもう一つの象徴的な動きが、マシンIDセキュリティ技術に特化したスタートアップ「Venifi」の買収だ。「この買収によって、マシンIDセキュリティの新たなパラダイムの創出を目指します」と柿澤氏は述べた。
国内外での規制やガイドライン策定も加速
セキュリティ規制やガイドラインの発出は、グローバルも、そして日本も整備を急いでいる。グローバルで事業を展開する企業は、既にEUの「サイバーレジリエンス法」や、2025年に施行予定の「重要インフラに係るサイバーインシデント報告法」への対策に追われていることだろう。日本でも、能動的サイバー防御に関する議論が進んでいるほか、「重要インフラのサイバーセキュリティに係る行動計画」が策定されるなど、ここ数年で国が本腰を入れ始めたセキュリティ対策がさらに発展してきている。
2025年のセキュリティトレンド予測
被害に遭った際にもシステムやビジネスを止めない“サイバーレジリエンス”向上へのニーズが高まる昨今。加えて、日本法人のソリューションズ・エンジニアリング本部で本部長を務める佐野龍也氏は、「2025年は多くの組織がマルチクラウド/ハイブリッドクラウドへの移行を完了し、クラウドネイティブ環境が攻撃の標的になる」と予測。これに対し、クラウド採用率の向上やデジタルサービス、ベンダーの透明性による、信頼できるインフラストラクチャの実現がより重要になっていくとの見方を示した。
また、IDの増加による脆弱性の増加は不可避だろうと佐野氏。これをどうカバーしていくか、真剣に考えなければいけないと話す。対策としてまず考えられるのは、防御側でのさらなるAIの活用による、セキュリティの効率化と生産性向上だ。CyberArkのCORA AIも、これに大きく寄与するものだという。
ただし、AIの活用と併せて「AIセキュリティ」の対策も必要になると佐野氏は警鐘を鳴らす。世間のキャッチアップが追いついていない新たなテクノロジーは、常に攻撃者にとって魅力的な標的となるからだ。
2025年に向けたセキュリティ課題、日本のCISOへメッセージ
柿澤氏は、「ID管理に対する理解や需要はかなり高まってきたが、マシンIDセキュリティまでをきちんとカバーできている組織はまだまだ少ないのが現状です」と述べる。CyberArkとしては、ヒューマンIDからマシンIDまでを保護する“トータルIDセキュリティ”を提供していくことで、この課題解決に貢献していく考えだという。
また、GoogleやAppleなど大手プロバイダーでデジタル証明書の有効期間を短縮する動きがある中で、証明書管理の自動化に対するニーズが日本でも高まってくると予測。すでにCyberArkのユーザーである海外の大手金融機関などでは、自動化が普及しているという。ここには、買収したVenifiのソリューションが活用されているとのことだ。
佐野氏は加えて、数年先までを見越した予測として、“耐量子対応”にも言及した。量子コンピューティングの普及により、従来の暗号化セキュリティが効果を発揮しなくなるとの予測が業界全体で懸念されている。
さらに、経営層と現場のセキュリティ担当者との間にある認識のギャップも課題だと佐野氏。前述したようなセキュリティトレンドを、そもそも経営層はキャッチアップできているのか。また、経営層がリスクとして認識し現場に要求した対策の重要性を、現場はきちんと理解し、具体的なアプローチを考えられているのか……。このギャップを埋められなければ、対策が遅れてしまうのは必然だろう。
最後に佐野氏は、日本のCISOへ向けたメッセージを述べた。
「常にガバナンスを以てセキュリティを強化し、レジリエンスを向上するためには、開発を含めた『セキュリティ・バイ・デザイン』の考え方を組織に実装する必要があります。システムやアプリケーションの開発の段階から、『セキュリティをどう担保するか』考えていくことを当たり前にしなければいけません。
また、サイバーセキュリティを“経営の一環”として考えていくことも必要です。中長期の経営計画の中に、サイバーセキュリティの計画も組み入れていく。そして、部門を越えた連携で対策を検討していきましょう。このアプローチが、グローバルやサプライチェーン全体でのガバナンス確保につながります。
サイバーセキュリティ対策は、もはやコストではなく必要な『サイバーハイジ―ン』です。自社のセキュリティの現状と理想を正しく認識し、打つべき施策は何か、デジタル資産をどう守っていくべきかを、常に考え続けていかなければなりません。これは、ユーザーだけでなく我々のようなベンダーも含めて全員で考えていくべき課題です」
【関連記事】
・CyberArk「IMPACT 24 Tokyo」を開催 創業者が来日、ポートフォリオ拡大に自信
・鴻池運輸、CyberArk PAMを導入 セキュリティ運用効率の向上とレジリエンス構築を図る
・CyberArk、日本法人の執行役社長に柿澤光郎氏が就任 アイデンティティセキュリティ事業強化に注力
