タレスは12月25日、2025年度のセキュリティトレンド予測を発表した。その概要は以下のとおり。
●アプリケーションセキュリティ
・生成AIは、自然言語インターフェースによるデータアクセスを可能にする一方で、「プロンプトインジェクション」という新たなサイバー脅威を生み出しており、現時点で効果的な対策はほとんど存在しない。2025年、プロンプトインジェクションにより大手グローバル企業が重大なデータ漏洩を被る可能性があり、AIが『幻滅期』に突入し、企業の信頼を揺るがし、AI利用に対する利便性や信頼を覆す恐れがある。
・生成AIによって、企業のターゲット名を入力するだけで一連の悪意ある活動を引き起こすようなサイバー攻撃ツールが実現する可能性がある。脅威アクターは自動的にフィッシングメールを生成・送信し、ネットワーク内に侵入後はさらに高度なアクセス権を獲得するためにこの技術が活用される。使いやすく、高い効果をもたらすツールにより、サイバー攻撃の増加と高度化が進む。
・ソフトウェアのサプライチェーンが複雑化し相互接続されるようになったことで、攻撃者にとって魅力的な標的となっている。2025年には、XZ Utilsに対するSSH攻撃に類似した、より成功しやすい大規模なオープンソースサプライチェーン攻撃が発生する。
・組織が大規模言語モデル(LLM)ベースのアプリケーションを採用し続ける中で、APIの脆弱性が標的となる。2025年には、LLMアプリケーションのAPI接続の脆弱性を狙った不正アクセスがみられるものと想定される。APIセキュリティの重要性が見直されるきっかけになるほか、Extended Berkeley Packet Filter(eBPF)はLLMを活用するシステムの保護において重要な枠割を担うようになる。
●データセキュリティ
・国際連合貿易開発会議(UNCTAD)によると、現在、世界にある国家の80%がデータ保護およびプライバシーに関する法整備を進めている、もしくはすでに実施している。国際法執行に伴うリスクへの対策として、データを特定の管轄内で保存・処理することが規制で求められるようになっている。組織はシステムやアプリケーションを開発する段階から「プライバシー・バイ・デザイン」原則を採用し、データ保護とプライバシーを組み込むようになる。
・サイバーセキュリティの現場は、従来の受動的な対応から積極的に阻止する対応へと変化する。データ管理をオンプレミスへ移行する場合も、クラウド環境と同等の厳格なセキュリティ体制が求められるようになる。
・サイバー攻撃の増加・大規模化を受け、企業はリソース上の制約に直面する。そこで、組織は単なるコンプライアンス対応からリスク重視のアプローチへ移行する必要がある。また、組織はリスクの可視化を優先し、ビジネスへの潜在的な影響を基にリスクを評価・管理するようになる。データ資産全体から得られるリスク指標を活用することで、実行可能なリスク評価が形成され、データセキュリティを強化するための効果的な意思決定が可能になる。
・2025年にはゼロトラストアーキテクチャが、ほとんどの企業にとって不可欠になる。国際的な紛争の増加や、防衛メカニズム強化の必要性が、このシフトを後押しする。民間防衛分野でも、従来のIT防御を超えた包括的なセキュリティ対策や従業員向けトレーニングが求められる。
・AIおよび機械学習はサイバーセキュリティにおいてますます中心的な役割を果たすようになる。今後の焦点は、セキュリティチームがAIツールの能力をどのように活用するかに移る。俊敏性を維持しようとする組織は、AIを活用して脅威調査の能力を次のレベルに引き上げることになる。
関連リンク