タレスによる2025年のセキュリティトレンド予測
- 生成AIや大規模言語モデル(LLM)の脆弱性を狙った攻撃がみられるようになり、AIへの信頼性に疑義が生じかねない状況に
- 一方、AIツールは脅威検知や行動分析に有用で、セキュリティ業務の支援に有効
- APIの普及・高度化や、クラウド移行に伴い、セキュリティ組織体制の変更が増加
- データプライバシー規制が国際的に主流となり、企業は厳格なコンプライアンス対応だけでなくリスクを重視したアプローチへ移行
テクノロジーとセキュリティのプロバイダーであるタレスは、この度、2025年度のセキュリティトレンド予測を発表した。生成AIやLLM、APIの加速度的な普及と技術発展により、サイバーセキュリティを取り巻く環境は2025年も継続的に変化し、中には従来の考えを置き換えるものも存在する。また、データ保護においては国際的に規制準拠の動きが加速し、企業はそれに対応しながら、これまでにないデータ保護に取り組むことが求められると予測される。
以下は、タレス、およびタレスグループImpervaによる、主なセキュリティトレンド予測を取りまとめたもの。アプリケーションセキュリティ、データセキュリティそれぞれにおけるトレンド予測を順にまとめている。
アプリケーションセキュリティ
・プロンプトインジェクションによるデータ漏洩がAIに対する疑義を生じさせる: 生成AIは、自然言語インターフェースによるデータアクセスを可能にする一方で、「プロンプトインジェクション」という新たなサイバー脅威を生み出しており、現時点で効果的な対策はほとんど存在しない。2025年、プロンプトインジェクションにより大手グローバル企業が重大なデータ漏洩を被る可能性があり、AIが『幻滅期』に突入し、企業の信頼を揺るがし、AI利用に対する利便性や信頼を覆す恐れがある。
・生成AIが「スクリプトキディ*」の概念を再定義する: 生成AIによって、これまで技術スキルや知識が必要とされた攻撃が、未経験者でも容易に実行できるようになり始めている。2025年、生成AIによって、企業のターゲット名を入力するだけで一連の悪意ある活動を引き起こすようなサイバー攻撃ツールが実現する可能性がある。脅威アクターは自動的にフィッシングメールを生成・送信し、ネットワーク内に侵入後はさらに高度なアクセス権を獲得するためにこの技術が活用される。使いやすく、高い効果をもたらすツールにより、サイバー攻撃の増加と高度化が進むことが予想される。
*スクリプトギティ:他社が作成したプログラムやスクリプトを利用して、不正アクセスやサイバー攻撃を試みる人
・大規模なオープンソースサプライチェーン攻撃の発生: ソフトウェアのサプライチェーンが複雑化し相互接続されるようになったことで、攻撃者にとって魅力的な標的となっている。2025年には、XZ Utilsに対するSSH攻撃に類似した、より成功しやすい大規模なオープンソースサプライチェーン攻撃が発生すると予測される。このリスクを低減するために、組織は多層的なセキュリティアプローチを導入する必要がある。
・LLMベースアプリケーションのAPIに関連した重大なデータ漏洩リスク: 組織が大規模言語モデル(LLM)ベースのアプリケーションを採用し続ける中で、APIの脆弱性が標的となることが予想される。2025年には、LLMアプリケーションのAPI接続の脆弱性を狙った不正アクセスがみられるものと想定している。APIセキュリティの重要性が見直されるきっかけになるほか、Extended Berkeley Packet Filter(eBPF)はLLMを活用するシステムの保護において重要な枠割を担うようになる。
・APIの増加と組織のセキュリティ体制の変化: APIの普及に伴い、多くのセキュリティ課題が山積みしている。インフラやデータベースへのアクセス経路として脅威アクターにAPIが狙われることが増える中、組織はAPIの継続的な監視とデータフローの可視化を実現する必要がある。他方、増加するAPIの保護に対応するため、組織体制を拡充する動きも見られる。多くの企業でAPIの自動修復機能を含むセキュリティ対策を導入する計画を立てているほか、セキュリティを開発ライフサイクルの初期段階から組み込む「シフトレフト」や「DevSecOps」の導入が広がっている。
データセキュリティ
・データプライバシー規制が国際的な主流に: 国際連合貿易開発会議(UNCTAD)によると、現在、世界にある国家の80%がデータ保護およびプライバシーに関する法整備を進めている、もしくはすでに実施している。国際法執行に伴うリスクへの対策として、データを特定の管轄内で保存・処理することが規制で求められるようになっている。クラウドプロバイダーや企業は、各国のデータ主権法に準拠する必要がある。さらに、組織はシステムやアプリケーションを開発する段階から「プライバシー・バイ・デザイン」原則を採用し、データ保護とプライバシーを組み込むようになるであろう。暗号化および暗号技術に基づくプライバシー強化技術が、これらのリスクを軽減する主要な技術手段として導入されている。
・企業による積極的なコンプライアンス準拠: デジタルトランスフォーメーションやクラウド、AI技術の急速な普及に伴い、国家はデジタル空間を規制するための措置を講じている。組織のデジタル資産やビジネスレジリエンスに対する責任が法的に明確化され、企業のコンプライアンス対応は強化されている。2025年、サイバーセキュリティの現場は、従来の受動的な対応から積極的に阻止する対応へと変化するであろう。データ管理をオンプレミスへ移行する場合も、クラウド環境と同等の厳格なセキュリティ体制が求められるようになる。
・リスクを重視したセキュリティアプローチへの移行: サイバー攻撃の増加・大規模化を受け、企業はリソース上の制約に直面するであろう。そのような中、データ保護にあたり、単なる反応的な対策に頼ることは不十分となる。そこで、組織は単なるコンプライアンス対応からリスク重視のアプローチへ移行する必要がある。また、組織はリスクの可視化を優先し、ビジネスへの潜在的な影響を基にリスクを評価・管理するようになるであろう。データ資産全体から得られるリスク指標を活用することで、実行可能なリスク評価が形成され、データセキュリティを強化するための効果的な意思決定が可能になる。
・セキュリティモデルの主流は2025年も「ゼロトラスト」: 2025年にはゼロトラストアーキテクチャが、ほとんどの企業にとって不可欠になるであろう。国際的な紛争の増加や、防衛メカニズム強化の必要性が、このシフトを後押しする。民間防衛分野でも、従来のIT防御を超えた包括的なセキュリティ対策や従業員向けトレーニングが求められるであろう。
・AIツールはセキュリティ業務の支援に: AIおよび機械学習はサイバーセキュリティにおいてますます中心的な役割を果たすようになる。これらの技術は、脅威の検出と対応、脆弱性の事前特定、およびセキュリティ体制管理と行動分析を組み合わせて、大規模なデータセットをリアルタイムで監視・保護するのに役立つ。これにより、データの不正流出や異常なデータアクセスといったリスクを検出することが可能になる。今後の焦点は、これらのツールを導入することではなく、セキュリティチームがAIツールの能力をどのように活用するかに移るであろう。俊敏性を維持しようとする組織は、AIを活用して脅威調査の能力を次のレベルに引き上げることになると考えられる。
・重要インフラ攻撃が急増: 近年、重要インフラを標的とする攻撃は急速に増加している。これらの攻撃の大部分は、IT環境を起点として、運用技術(OT)および重要インフラに波及している。しかし、製造業や自動車業界など多くの運用分野では、ITとOTの関連性が認識されておらず、データセキュリティの問題とは別物と考えられがちである。このような製品開発への偏重が、セキュリティ対策の遅れを招き、依然として古く安全性に欠けるレガシーシステムに依存している業界も少なくない。
・ポスト量子暗号が「クリプトアジリティ」の重要性を浮き彫りに: 2024年、NIST(米国国立標準技術研究所)はポスト量子暗号(PQC)で初となる暗号アルゴリズムを発表した。それ以前は、企業がPQCの必要性を理解するのに苦労していたが、NISTの基準によって量子技術の進展による脅威への対応が急務となった。現在、TLSやSSHプロトコルは新たなNIST基準に合わせて更新されている。しかし、NISTはすでに次のアルゴリズムの策定を進めており、今日実装されているアルゴリズムが、量子コンピューティングの脅威が現実化する時には異なるものとなっていることが濃厚である。したがって、進化するセキュリティ推奨事項に適応する「クリプトアジリティ(暗号の俊敏性)」の重要性が顕著になる。
TLSやSSHプロトコルがNISTの基準に準拠する形で更新される中、2025年には企業がこのクリプトアジリティという考え方を採用する必要性が高まる。最大の課題は、企業が自らのリスク(露出)を特定し、資産の棚卸しを行い、暗号の発見と管理を行うための時間とリソースを確保することである。これに伴い、大企業を中心に暗号のCoE(Centers of Excellence)が増加すると予測される。企業は耐量子暗号の進化に対応できるよう、クリプト・アジリティなソリューションを活用しながら、量子コンピューティング時代に対応していく必要がある。
出典:PRTimes タレス、2025年のセキュリティトレンド予測を発表