アイディルートコンサルティング(IDR)は、「サイバーセキュリティの現在と未来:2024年の総括と2025年の展望」を発表した。
主なハイライトは、以下のとおり。
AIを用いたサイバー攻撃で高まる人的情報セキュリティ対策の重要性
2024年の調査では、昨年に続き新たな犯罪用生成AIツールの販売が確認されており、誰でもサイバー攻撃が可能な環境が整いつつあるという。また、生成AIを用いることで、公用語が英語ではない国に対する英語圏からのビジネスメール詐欺が増え、言語の壁を越えたサイバー攻撃が活性化しているとのことだ。
2025年以降もディープフェイクやビジネスメール詐欺といったソーシャルエンジニアリングの攻撃件数の増加、精度の向上が予想され、物理的な情報セキュリティ対策のほか、教育などの人的な情報セキュリティ対策が重要だとした。
製造業に対するサイバー攻撃増加とOTセキュリティに関する投資拡大
2024年は日本の製造業企業がサイバー攻撃を受け、生産関連システムが停止するインシデントが確認されたことから、国内製造業のOT/IoTセキュリティにおける上位サービスやMSS(Managed Security Service)サービスへの投資額も伸びているという。
2025年以降は、OTとAIの統合によるスマート製造の進化や、デジタルツイン技術の活用が予想されることから、業務の持続性や安全性を確保するために、OTセキュリティ対策の一層の強化が求められるとしている。
サプライチェーン攻撃の増加と自組織内の対策強化
近年、サプライチェーン攻撃はIPAの情報セキュリティ10大脅威組織の上位にランクインしており、2024年は第2位に。また、サプライチェーン攻撃の件数は、2022年と2023年を比較して1.5倍に増加しており、2024年から2025年にかけてさらに増加することが予想されるという。
この増加にともない、2025年以降は、自組織内での情報管理の徹底や委託先との契約内容の確認、SBOMなどを活用した納品物の検証といった対策が重要になると同社は述べる。
諸外国におけるサイバーセキュリティ法規制の改訂
現在、世界各国でサイバーセキュリティの強化を目的に法規制改訂の検討が進んでいるという。たとえば、米国ではサイバーセキュリティ情報共有法の改訂として、AIを用いた脅威情報検出の枠組みが2025年以降に定められる見込み。EUでは、量子コンピューターにも耐性のある暗号化技術や自動運転などの自立システムに関する基準を設けることを検討しているとのことだ。
新技術の進展にともない、各国のサイバーセキュリティに関する法規制も時代に即した形で改訂が進んでいることから、今後も諸外国におけるサイバーセキュリティ法規制動向を注視することが重要だとしている。
【関連記事】
・2025年はディープフェイクを用いた詐欺に注意 AI搭載のマルウェア攻撃も増加か──マカフィー予測
・AIは「幻滅期」に突入か──タレス、2025年のセキュリティトレンド予測を発表
・2025年のセキュリティ予測10選を発表、AIを用いたフィッシング攻撃が急増か──デジサート
