SecurityScorecardは、「2024年 サイバーセキュリティに関する予測」を発表した。詳細は以下の通り。
サイバーセキュリティ特化型言語モデルの台頭
2024年、セキュリティチームは小規模言語モデルに移行する可能性があるという。これらのアジャイルで特化したモデルは、カスタマイズされた実用的なインサイトを提供していくとした。リアルタイムデータトレーニングが武器となり、セキュリティチームは刻一刻と変化する脅威の状況に対応可能になると予測している。
攻撃者によるAIのより一層の悪用
生成AIの台頭により、攻撃者側が生成AIの導入で組織を先回ると見られる。このことから、ディープフェイク、フィッシングキャンペーン、エンドポイントセキュリティの防御を回避するステルス型のペイロードなどの攻撃に備えるべきだとしている。
記録的な数の顧客情報漏えい
2024年は、サードパーティによる情報漏えいの懸念が高まることが予測されるという。サイバー犯罪者が価値の高いターゲットに狙いを定める中、大量の顧客基盤を持つ大手ハイテク企業が狙われるとした。サードパーティーリスクの温床となるリスクを測定・管理するための明確なKPIを設定し、実施するための対策を取るべきだとしている。
組織がサイバーセキュリティを重視
証券取引委員会のサイバー規制により、取締役会はサイバーセキュリティに注目すると見られる。米国証券取引委員会(SEC)の情報開示要件により、最高情報セキュリティ責任者(CISO)は取締役会のメンバーと議論を行い、サイバーセキュリティのリテラシーを高めるように注力していくと予測。今後は、取締役会がサイバーリテラシーを受け入れることにより、サイバーレジリエンスは現実のものとなるとしている。
攻撃者はAIを使ってゼロデイを半分の時間で悪用
攻撃者はAIを活用して迅速に行動するようになってきており、2024年はゼロデイ脆弱性が増加すると予測されている。攻撃者はLLMを悪用してエクスプロイトを作成し、既知のエクスプロイトが判明するまでの平均時間を半減するという。
国家の支援を受ける攻撃者は、ディープフェイクやAIによる音声なりすましを利用
国家の支援を受ける攻撃者は、2024年の米国大統領選挙に向けて、ディープフェイクやAIの音声偽装などの最先端技術を導入。偽情報によるキャンペーンを強化する可能性があるとしている。このような取り組みにより、事実と虚構の境界線が曖昧になるような誤情報が生み出されると予想されている。
【関連記事】
・日経225の製造業と重要インフラに最低評価──SecurityScorecard サイバーリスク調査
・マクニカネットワークス、SecurityScorecardによるセキュリティリスク管理支援へ
・ISID、リスクを可視化しサプライチェーン攻撃対策を支援する「SecurityScorecard」を提供開始
