2024年12月25日、タレスは、2025年度のセキュリティトレンド予測を発表した。
トレンド予測の詳細は以下のとおり。
アプリケーションセキュリティ
プロンプトインジェクションによるデータ漏洩がAIに対する疑義を生じさせる
生成AIは、自然言語インターフェースによるデータアクセスを可能にする一方で、「プロンプトインジェクション」という新たなサイバー脅威を生み出しており、現時点で効果的な対策はほとんど存在しないという。2025年、プロンプトインジェクションにより大手グローバル企業が重大なデータ漏洩を被る可能性があり、AIが「幻滅期」に突入する恐れがあるとのことだ。
生成AIが「スクリプトキディ」の概念を再定義する
スクリプトギティとは、他社が作成したプログラムやスクリプトを利用し、不正アクセスやサイバー攻撃を試みる人のこと。生成AIによって、これまで技術スキルや知識が必要とされた攻撃が、未経験者でも容易に実行できるようになり始めているという。
2025年はその動きが加速し、企業のターゲット名を入力するだけで一連の悪意ある活動を引き起こすようなサイバー攻撃ツールが実現する可能性があると同社は述べる。脅威アクターは自動的にフィッシングメールを生成・送信し、ネットワーク内に侵入後はさらに高度なアクセス権を獲得するために、この技術が活用されるという。使いやすく、高い効果をもたらすツールにより、サイバー攻撃の増加と高度化が進むことが予想されるとのことだ。
大規模なオープンソースサプライチェーン攻撃の発生
ソフトウェアのサプライチェーンが複雑化し、相互接続されるようになったことで、攻撃者の標的となっているという。2025年には、XZ Utilsに対するSSH攻撃に類似した、より成功しやすい大規模なオープンソースサプライチェーン攻撃が発生すると同社は予測。このリスクを低減するために、組織は多層的なセキュリティアプローチを導入する必要があるとのことだ。
LLMベースアプリケーションのAPIに関連した重大なデータ漏洩リスク
組織が大規模言語モデル(LLM)ベースのアプリケーションを採用し続ける中、APIの脆弱性が標的となることが予想されるという。2025年には、LLMアプリケーションのAPI接続の脆弱性を狙った不正アクセスがみられると同社は想定。APIセキュリティの重要性が見直されるきっかけになるほか、Extended Berkeley Packet Filter(eBPF)はLLMを活用するシステムの保護において重要な役割を担うようになるとしている。
APIの増加と組織のセキュリティ体制の変化
インフラやデータベースへのアクセス経路として、脅威アクターにAPIが狙われることが増えており、組織はAPIの継続的な監視とデータフローの可視化を実現する必要があるという。一方、APIの保護に対応するため、組織体制を拡充する動きも見られると同社は説明。多くの企業で、APIの自動修復機能を含むセキュリティ対策を導入する計画を立てているほか、セキュリティを開発ライフサイクルの初期段階から組み込む「シフトレフト」や「DevSecOps」の導入が広がっているとのことだ。
データセキュリティ
データプライバシー規制が国際的な主流に
国際連合貿易開発会議(UNCTAD)によると、現在、世界にある国家の80%がデータ保護およびプライバシーに関する法整備を進めている、もしくは既に実施しているという。国際法執行にともなうリスクへの対策として、データを特定の管轄内で保存・処理することが規制で求められるようになっているとのことだ。クラウドプロバイダーや企業は、各国のデータ主権法に準拠する必要があるとしている。
加えて、組織はシステムやアプリケーションを開発する段階から「プライバシー・バイ・デザイン」の原則を採用し、データ保護とプライバシーを組み込むようになるという。暗号化および暗号技術に基づくプライバシー強化技術が、これらのリスクを軽減する主要な技術手段として導入されるとのことだ。
企業による積極的なコンプライアンス準拠
2025年、サイバーセキュリティの現場は、従来の受動的な対応から、積極的に阻止する対応へ変化すると同社は予測している。データ管理をオンプレミスへ移行する場合も、クラウド環境と同等の厳格なセキュリティ体制が求められるようになるという。
リスクを重視したセキュリティアプローチへの移行
サイバー攻撃の増加・大規模化を受け、企業はリソース上の制約に直面するだろうと同社は述べる。そのような中、データ保護にあたり、単なる反応的な対策に頼ることは不十分だという。そこで、組織はコンプライアンス対応から、リスク重視のアプローチへ移行する必要があるとしている。
また、組織はリスクの可視化を優先し、ビジネスへの潜在的な影響を基にリスクを評価・管理するようになるとのことだ。データ資産全体から得られるリスク指標を活用することで、実行可能なリスク評価が形成され、データセキュリティを強化するための効果的な意思決定が可能になるという。
セキュリティモデルの主流は2025年も「ゼロトラスト」
2025年には、ゼロトラストアーキテクチャが、ほとんどの企業にとって不可欠になるとしている。国際的な紛争の増加や、防衛メカニズム強化の必要性などが、このシフトを後押しするとのことだ。民間防衛分野でも、従来のIT防御を超えた包括的なセキュリティ対策や、従業員向けトレーニングが求められるという。
AIツールはセキュリティ業務の支援に
AIおよび機械学習は、サイバーセキュリティにおいて中心的な役割を果たすようになると同社は予測する。これらの技術は、脅威の検出と対応、脆弱性の事前特定、およびセキュリティ体制管理と行動分析を組み合わせて、大規模なデータセットをリアルタイムで監視・保護するのに役立つという。これにより、データの不正流出や異常なデータアクセスといったリスクの検出が可能になるとのことだ。
今後の焦点は、これらのツールを導入することではなく、セキュリティチームがAIツールの能力をどのように活用するかに移ると同社は指摘。俊敏性を維持しようとする組織は、AIを活用して脅威調査の能力を次のレベルに引き上げることになるとしている。
重要インフラ攻撃が急増
近年、重要インフラを標的とする攻撃が急速に増加。これらの攻撃の大部分は、IT環境を起点として、運用技術(OT)および重要インフラに波及しているという。しかし、製造業や自動車業界など多くの運用分野では、ITとOTの関連性が認識されておらず、データセキュリティの問題とは別物と考えられがちとのことだ。このような製品開発への偏重が、セキュリティ対策の遅れを招き、依然として古く安全性に欠けるレガシーシステムに依存している業界も少なくないと同社は指摘する。
ポスト量子暗号が「クリプトアジリティ」の重要性を浮き彫りに
2024年、NIST(米国国立標準技術研究所)はポスト量子暗号(PQC)で初となる暗号アルゴリズムを発表。これにより、量子技術の進展による脅威への対応が急務になったという。
現在、TLSやSSHプロトコルは新たなNIST基準に合わせて更新されているが、NISTは既に次のアルゴリズムの策定を推進。現在実装されているアルゴリズムが、量子コンピューティングの脅威が現実化する時には異なるものになっていることが濃厚だという。したがって、進化するセキュリティ推奨事項に適応する「クリプトアジリティ(暗号の俊敏性)」の重要性が顕著になるとのことだ。
2025年に、企業がクリプトアジリティを採用する必要性が高まると同社は予測。最大の課題は、企業が自らのリスク(露出)を特定し、資産の棚卸しを行い、暗号の発見と管理を行うための時間とリソースを確保することだという。これにともない、大企業を中心に暗号のCoE(Centers of Excellence)が増加するとのことだ。
【関連記事】
・タレス、ダウンタイムなしでデータ暗号化を実装する新機能を提供開始
・Imperva、CEO来日でタレスによる買収に言及──日本法人ではパートナーへの投資継続へ
・タレス、約36億ドルでImperva買収へ セキュリティ製品ポートフォリオを拡充
