サイバーセキュリティの専門家に 2025 年の主要な予測を聞いた

公開: 2024-12-23

2024 年末に向けて、サイバーセキュリティ業界は多くの課題に直面しています。まず、ある報告書によると、サイバー犯罪による損失は2017 年以来 4 倍に増加し、25 億ドルに達しています

大手企業はランサムウェアによって数百万ドルの損失を被っており、Tモバイルの場合は顧客データを漏洩させたことで3,000万ドルの和解金を支払っている。ある米国のサイバーセキュリティ企業は、誤って北朝鮮のハッカーを雇用したこともあった。

新千年紀に入って丸四半世紀が経ちますが、オンライン セキュリティの状況は私たちの足の下で変化し続けます。最新のトレンドを確実に把握するにはどうすればよいでしょうか?以下のガイドを読んでみてください。私たちは、何十ものサイバーセキュリティ専門家の予測、警告、予想を精査して、最も重要な点を収集しました。

新年を通じてサイバーセキュリティの世界に何が期待されるかをご紹介します。

2025 年のサイバーセキュリティに関する最大の予測:

  • モノのインターネットのセキュリティを強化
  • ゼロトラスト アーキテクチャはデバイスを超えて拡大
  • リスクの定量化が中核的なセキュリティ ツールになる
  • 中レベルのサイバースキルギャップに焦点を当てる
  • AI ツールは企業のセキュリティ プロトコルにさらに統合される
  • 管理が不十分な資産に注意する

モノのインターネットのセキュリティを強化

「モノのインターネット」(IoT)とは、スマート冷蔵庫からサーモスタット、ドアベル、さらにはペースメーカーに至るまで、インターネットに接続され、ソフトウェアのアップデートに依存するあらゆるテクノロジーデバイスを指します。現在、それらはすべてかつてないほどうまく機能しており、多くのサイバーセキュリティ専門家の心に恐怖を抱かせています。なぜなら、これらすべてのデバイスがサイバー攻撃に対して新たに脆弱になっているからです。

KnownHost の CEO、ダニエル ピアソン氏は、IoT はスマート ホームだけを対象としたものではないと述べています。企業の敷地内には、センサー、監視機器、エネルギー管理システム、電球、ドアロック、CCTV システムなどの日常的なオフィス用品など、多くの IoT デバイスが設置されています。

多数の潜在的な脆弱性に対処するため、2025 年の企業は「多要素認証、定期的な暗号化、ファームウェアのアップデートを使用して、スマート デバイスが適切に保護されていることを確認する必要があります」とピアソン氏は言います。

ゼロトラスト アーキテクチャはデバイスを超えて拡大

ゼロトラスト アーキテクチャでは、暗黙的な信頼を最小限に抑えて横方向攻撃のリスクを軽減するために、継続的な検証が必要です。 2025 年には、こうした戦術はデバイスのセキュリティだけを超えて拡大し、すべてのユーザー、デバイス、アプリケーション、およびインタラクションを網羅し始めるでしょう。

Faddom の CTO、Ofer Regev 氏は、ゼロ トラストはデバイスを超えたものになると予測しています。

「ゼロトラストは、デバイスやネットワークを超えて、あらゆるデジタル インタラクションのための身元確認フレームワークを含むように拡張されます。リモートワークと分散型システムの急増により、従来のアイデンティティ モデルでは不十分になります。これには、動的な IT 環境全体でユーザーとシステムの動作を追跡および検証できるツールが必要になります。」 -レゲブ

ゼロトラストの拡張は、サイバーセキュリティの専門家が企業の安全を確保するために追加の対策を講じ続けるため、登場します。

リスクの定量化が中核的なセキュリティ ツールになる

BitsightDiligentのレポートによると、サイバーセキュリティ企業は同業他社の4 倍高い財務パフォーマンスを達成しているにもかかわらず、取締役会にサイバー専門家を擁する企業はわずか 5% にすぎません。

IT プロフェッショナルは取締役会とどのようにコミュニケーションをとることができますか? Diligent 社の CISO である Monica Landen 氏によると、リスクの定量化は「2025 年には取締役会にサイバー リスクを伝達するための最強かつ最も信頼性の高いツール」として台頭するだろうと述べています。 Landen 氏は、セキュリティ分野におけるリスクの定量化を保険業界におけるリスク評価と比較し、継続的に改善しています。

「2025 年は、サイバーリスクを取締役会に適切に伝えるために、組織を超えた取り組みがさらに活発になる年になる可能性があります。セキュリティ チームはこれまでサイロ化されてきましたが、自らの課題と成功を顧客への影響、販売パイプライン、製品開発と結びつけることができれば、それらの障壁は弱まり、セキュリティ不足によるプラスまたはマイナスの影響が取締役会に適切に反映されるでしょう。」 -ランデン

企業は、サイバーセキュリティが新年の全体的なリスク管理戦略の基礎であり続けるために、強力な GRC フレームワークを必要とします。 2025 年には、サイバーセキュリティは組織のあらゆるレベルで優先事項となる必要があります。

中レベルのサイバースキルギャップに焦点を当てる

サイバーセキュリティに携わるホワイトカラー労働者にとって、スキルアップと再スキルアップは常に問題となっています。ソフトウェアのアップデートは常に展開されているため、従業員は常に新しい学位や認定を取得して対応していく必要があります。

Infosec Institute の AI 戦略担当副社長であるキートロン エバンス氏は、2025 年にはスキル ギャップとそのギャップを埋めるために必要な学習がこれまで以上に重要になると予測しています。また、本腰を入れなければならないのは初心者レベルの従業員だけではありません。

「サイバーセキュリティのスキルギャップについて話すとき、人々がよく行う誤解の 1 つは、そのギャップがすべての初級レベルの役割にあると考えているということです。しかし、業界全体としては、最大のギャップの一部は、数年間の実務経験を積んだ経験豊富な人材の必要性であることに私たちは気づいています[…]」 - エヴァンス

エヴァンス氏は、業界では実践的または検証可能なスキルと、それらを教えるために必要な没入型学習が増加する可能性が高いと述べ、「課題の一部は、業界内で必要とされる学位や認定のレベルだ」と付け加えた。労働者は燃え尽き症候群のリスクと、新しい認定を追加し続ける必要性とのバランスを取る必要があります。

Ofer Regev 氏は、スキル ギャップの議論をさらに一歩進め、軽量化された自動化ツールが加速すると予測しています。「熟練した IT プロフェッショナルの世界的な不足は 2025 年にさらに悪化するだろう」と Regev 氏は言います。「企業は、より軽量化された自動化ツールの導入を推進しています。広範な専門知識を必要とする複雑なソリューションは、導入を迅速に簡素化し、価値を提供するエージェントレス テクノロジーにその地位を奪われるでしょう。」

もちろん、AI テクノロジーの使用に関する予測はこれだけではありません。

AI ツールは企業のセキュリティ プロトコルにさらに統合される

この記事のために私たちが相談したサイバーセキュリティの専門家は、AI 関連でさまざまな予測を立てていましたが、一般的な傾向は次のように要約できます。AI は業界全体の中で今後も居場所を見つけ続けるでしょう。 AI は長い間、問題を探す解決策として使われてきましたが、2025 年にはそれらの問題を見つけ始めるようになるかもしれません。

これは、キートロン・エバンス氏が主張するように、テクノロジーに対するボトムアップの理解が進んでいるように見えるかもしれません。

「サイバー分野で優位性を維持したいと真剣に考えている人は、消費者によるテクノロジーの利用だけでなく、テクノロジーにもっと近づく必要があります。来年は、基盤となるテクノロジーとそれがどのように機能するかを理解することを真に提唱する年となるでしょう。それにより、従業員の価値が飛躍的に高まるでしょう。」 -エヴァンス

データ プライバシー企業 Kiteworks の 2025 年予測レポートによると、AI のデータ トレーニングへの依存がもたらすデータ セキュリティ リスクをさらに強化するように見えるかもしれません。

「2025 年には、世界的な規制がさらに厳しくなり、AI データの取り扱いに対する透明性と説明責任が求められ、組織は機密コンテンツの取り扱いを誤った場合に罰則を受けることになります。これらの脅威に対抗するには、企業は堅牢な AI ガバナンス フレームワークを実装し、プライバシー保護テクノロジーを優先し、コンプライアンスを確保し信頼を守るために安全なモデル開発手法を採用する必要があります。」 -カイトワークス

N2W のプリンシパル ソリューション アーキテクトである Sebastian Straub 氏は、AI はバックアップの自動化も強化すると述べています。

「2025 年には、管理介入がほぼゼロのバックアップ システムが開始されるでしょう。 AI はデータの使用法、コンプライアンス要件、組織のニーズの複雑なパターンを学習し、プロアクティブなデータ管理の専門家となり、GDPR、HIPAA、PCI DSS などのコンプライアンス基準への準拠を含め、いつ何をバックアップする必要があるかを自律的に判断します。」 -ストローブ

ただし、AI への適応は困難な戦いです。ストウブ氏はまた、AIは「特効薬ではない」とし、企業が2025年以降も自社のシステムにAIを組み込むのに苦労する中、「不幸な信頼違反やコンプライアンス違反」が依然として数多く発生するだろうと警告している。

管理が不十分な資産に注意する

CyCognito の CMO である Tim Matthews 氏は、「未知の管理が不十分な資産」によるデータ侵害が今後さらに増加すると主張しています。マシューズ氏は、2025 年には侵害の 70% がこれらの資産に遡ると予測しており、多くのアナリストが今日予想している 60% から増加します。

「これは、攻撃対象領域の拡大と複雑化、クラウドへの移行、サードパーティへの依存関係、リモートワークインフラストラクチャによってさらに加速されるでしょう。組織は事後対応型の資産固有のセキュリティから、既知の在庫以外のアイテムに焦点を当てた発見優先のアプローチへの移行を余儀なくされるでしょう。」 -マシューズ

これは、より多くの業界の技術専門家から収集した広範な技術トレンドの予測と一致しています。2025 年には、事後対応的な対策だけでなく、より積極的な対策が必要になるでしょう。

結局のところ、オンライン セキュリティ ビジネスでも話は変わりません。ツールやプロトコルが AI 機能であれ、ゼロ リスク アーキテクチャであれ、リスクの定量化であれ、それらはすべて、悪者とサイバーセキュリティの専門家の間で継続的に行われているスキル向上の軍拡競争であり、真の終わりは見えません。