Cloud CISO の視点: Cybersecurity Forecast 2025 レポート

※この投稿は米国時間 2024 年 12 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

2024 年 12 月最初の「Cloud CISO の視点」をお読みいただきありがとうございます。今回は、CISO オフィスのシニア ディレクターである Nick Godfrey が CISO オフィスの同僚たちからの追加的な見解を交え、来年に向けた予測レポートを共有します。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版(英語)の受信をご希望の方は、こちらからご登録ください。

--Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

2025 年予測: 最大限に高まる AI の脅威と防御側の AI 活用

CISO オフィス、シニア ディレクター Nick Godfrey

セキュリティ上の脅威やインシデントは突然発生するように見えるかもしれませんが、実際のところ、サイバーセキュリティにおいて単独で起こる事象はほとんどありません。より一般的なのは、インシデントが次々と連鎖し、脅威が新たな攻撃ベクトルを模索しながら変化していく状況です。一方で、防御側はその侵入経路を塞ぐと同時に、進化するリスクを軽減するための対策にも取り組んでいます。

セキュリティおよびビジネスのリーダーたちは、備えが極めて重要な役割を果たすことを理解しています。そして、2025 年の Cybersecurity Forecast レポートでは、現在のトレンドから来年に予想されるシナリオを導き出しています。

同様に、AI は防衛側の能力も今後ますます強化していくことでしょう。2025 年には、人間の認識力と創造性を AI ツールが支援する形で、半自動化されたセキュリティ運用が中間段階へと移行すると予想されます。

CISO オフィス、ヘルスケア＆ライフ サイエンス担当ディレクター Taylor Lehmann

Google の CEO である Sundar Pichai は最近、「Google の新しいコードの 25% 以上が AI によって生成されている」と述べました。これについて、多くの人は一般的な解釈として、生成 AI がソフトウェア開発者の仕事を代替できるようになることで、企業はソフトウェア開発者の採用を減らしてコストを抑えられるようになるだろうと考えるでしょう。

私たちは今、ソフトウェアのルネサンス（黄金期）の始まりにいると考えています。生成 AI によって開発者になるための敷居が低くなり、その結果、より多くの開発者が生まれることになるでしょう。作業のレビュー、チームの指導、そしてソフトウェアの品質向上のために、さらに多くの優秀な開発者が必要になるでしょう（より多くのコードをレビューする必要があるため）。

極めて重要な点として、セキュリティ上の問題のあるソフトウェアの検出と修正が容易になります。このソフトウェア品質への一層の注力は、より良く、より安全で、よりセキュアかつ耐障害性の高い製品を作り出す助けとなるでしょう。その結果として、これらの製品を利用するすべての個人および企業にメリットがもたらされることになります。では、私たちも皆「Hello World」を書いて、構築を始めましょう。

CISO オフィス、セキュリティ アドバイザー Anton Chuvakin

「AI よ、環境を安全にして！」という魔法のような解決策は依然として実現困難ですが、生成 AI はより実用的な応用分野を見出していくでしょう。レポートやアラートを精査し、インシデントを要約して、人間に対応アクションを推奨する生成 AI を想像してみてください。AI は人間が見落としがちな微妙なパターンや異常を特定でき、脅威ハンティング時に隠れた脅威を未然に発見できます。

CISO オフィス、エグゼクティブ トラスト リード Marina Kaganovich

私たちは昨年、組織はシャドー AI に対して事前に対策を講じるべきだと予測しました。現在でも、企業が未承認の AI 使用の対策に悩まされている様子がニュースで報じられています。強固な組織のガバナンス体制を確立することが、極めて重要であると私たち考えています。プロアクティブに重要な質問を投げかけ、それに答えていくことで、安全に AI の実験的な導入を進められます。

グローバル ステージ: 脅威アクター

2025 年も地政学的な対立がサイバー脅威活動を助長し続け、よりサイバーセキュリティ環境を複雑化させるでしょう。

中国、イラン、北朝鮮、ロシアのビッグ 4 は、サイバー エスピオナージ、破壊工作、情報作戦を通じて、引き続き地政学的な目標を追求していくでしょう。世界的に見て、組織はランサムウェア、多面的な恐喝、情報窃取型マルウェアからの継続的な脅威に直面することになります。また、ヨーロッパ、中東、日本、アジア、太平洋地域にわたる地域的な傾向も、脅威アクターの行動を動機づけると予想されます。

CISO オフィス、アドバイザー Toby Scales

すでに起こっている AI イノベーションと、今後起こる「エージェント AI」の変革を背景に、国家による脅威活動は、攻撃の数（広がり）と、攻撃の洗練度や多様性（深さ）の両面で増加することが予想されます。

インフラストラクチャを標的とした大規模な攻撃が来年発生するとは必ずしも考えていませんが、報道内容やコンテンツ、あるいは強制行為において、ビッグ 4 のいずれかの国が米国系メディア企業に対して明確な報復行動を取ることは容易に想像できます。メディアのサプライ チェーンにおける最も脆弱な部分が、最大限の利益を得るための標的として悪用されることが予想されます。

CISO オフィス、ディレクター Bob Mechler

金銭目的のサイバー犯罪と、深まる地政学的な緊張状態により、通信事業者が直面する脅威ランドスケープは、ますます困難で複雑なものになっていくでしょう。2024 年に観察された国家支援型の攻撃、妨害工作、サプライ チェーンの脆弱性の増加は、2025 年も継続し、さらに増加する可能性があると考えています。

これらの攻撃は、結果として、セキュリティの基本、レジリエンス、そして新たに出現するさまざまな脅威を理解し、事前に防ぎ、打ち負かすことに役立つ脅威インテリジェンスへの重要なニーズに、強い注目を集めることになるでしょう。

CISO オフィス、製造 / 産業部門責任者 Vinod D’Souza

継続する地政学的緊張と想定される国家支援型の攻撃により、脅威ランドスケープはより複雑になっていきます。そのため、製造業者は、重要インフラストラクチャの混乱を引き起こし知的財産を盗むことを狙った標的型攻撃に対して、準備を整えておく必要があります。製造分野における IT システムと OT システムの融合、そして相互接続された技術やデータドリブンなプロセスへの依存度の高まりにより、攻撃者が悪用可能な新たな脆弱性が生まれることになるでしょう。

ランサムウェア攻撃は、より標的を絞った破壊的なものとなる可能性があり、最大限の影響を与えることを目的として、重要な生産ラインやサプライ チェーンを狙う可能性が高くなります。さらに、攻撃者が ML を活用することにより、攻撃の自動化、検出の回避、より洗練されたマルウェアの開発が可能になるため、AI 駆動型の攻撃の台頭が重大な課題となるでしょう。

2025 年も、サプライ チェーンを標的とした攻撃は引き続き重大な課題となるでしょう。攻撃者は、大手製造業のネットワークに間接的に侵入するための手段として、セキュリティ ポスチャーが不十分な小規模サプライヤーやサードパーティ ベンダーを、一層標的とすることが予想されます。

製造業者がパートナーと密接に連携し、サプライ チェーン全体のリスクの評価と低減を行う、協力的なサイバーセキュリティへの取り組みが求められています。セキュアな協働型クラウドプラットフォームやアプリケーションをサプライヤーのエコシステムで活用することで、クラウド技術はより優れたセキュリティのためのソリューションとなり得ます。

CISO オフィス、ディレクター Thiébaut Meyer

デジタル主権という考え方は、ヨーロッパ、中東、アジアの既存 / 潜在顧客との議論やリスク分析において、より重要性を増していくでしょう。この傾向は、米国との外交的緊張の可能性に対する懸念の高まりによって加速されており、「ブラックスワン（予測不可能な重大事象）」の発生がより現実味を帯びてきていると考えられています。その結果、これらの地域の組織は、地政学的な情勢の変化や、データのアクセス、制御、存続が途絶する可能性を想定した戦略を優先課題として検討するようになっています。

この懸念は、公共機関がクラウドへ移行するにつれて、さらに強まっていくでしょう。現時点では、ヨーロッパのこれらの組織は、主に成熟度の不足により、移行においてまだ遅れをとっています。これらの組織のクラウドへの移行は、データ主権を守る保護措置が確保されて初めて着手されることになるでしょう。そのため、これらの制御機能をすべての製品の核として組み込み、「設計段階からの主権性」を備えたサービスを提供することが真に必要となります。

グローバル ステージ: 強化される防御側

これらの脅威に先手を打ち、発生時により適切に対応できるよう、組織は 2025 年において、サイバーセキュリティへの予防的かつ包括的なアプローチを優先課題とすべきです。クラウド ファーストのソリューション、強固な Identity and Access Management、そして継続的な脅威モニタリングと脅威インテリジェンスは、防御者にとっての重要なツールとなります。また、ポスト量子暗号化の時代に向けた準備を開始し、進化し続ける規制要件への継続的なコンプライアンスを確保すべきです。

CISO オフィス、公共部門担当ディレクター MK Palmore

2025 年は、世界中の公共部門の組織が、自らの組織における AI の活用方法を変革する大きな機会の波が訪れると考えています。AI を活用して時間のかかるプロセスを効率化する方法を引き続き模索し、また、デリバリー サイクルをより迅速に回すために AI でどのように作業を短縮できるかについて検討を進めていくでしょう。

公共部門の組織は、将来の課題に向けて構築されたクラウド プラットフォームの活用について、より柔軟な姿勢を示し始めると考えられます。時代遅れの保護モデルを使用して構築されたプラットフォームや、セキュリティの基本要件を満たすために追加サービスが必要なプラットフォームから、徐々に離れていく可能性が高いでしょう。セキュリティはクラウド プラットフォームの設計に本来備わっているべきものであり、安全性を重視した設計に対する Google Cloud の長年の取り組みは、プラットフォームとその機能に触れる機会が維持され、増えていくなかで、その真価が実証されていくでしょう。

CISO オフィス、金融サービス担当ディレクター Alicja Cade

取締役会による効果的な監督には、セキュリティ、技術、ビジネスの各リーダーとの開かれた共同のコミュニケーション、既存の実践の批評的な評価、そして測定可能な進捗への注力が必要です。サイバーセキュリティへの取り組みを理解することで、取締役会は絶えず進化し続けるサイバー脅威に対して、組織のレジリエンスと適応力を確保できます。

取締役会は次のような戦略を支持することで、サイバーセキュリティの優先的な取り組みを実現できます。

• 防御を強化するために、クラウド コンピューティング、自動化、その他の先端技術を活用して技術をモダナイズする
• 強固なセキュリティ基盤を築くため、多要素認証、ゼロトラスト セグメンテーション、脅威インテリジェンスなどの措置を含む、堅牢なセキュリティ制御を導入する
• データ プライバシー、アルゴリズムのバイアス、不正使用の可能性など AI に特有の課題に予防的に対処することで AI のリスクを管理する

CISO オフィス、エグゼクティブ トラスト リード Odun Fadahunsi

グローバルな環境において、オペレーショナル レジリエンスに関する規制が増加傾向にあり、これは特に金融サービス業界で顕著になっています。サイバー レジリエンスを重視したオペレーショナル レジリエンスは、2025 年には取締役会と規制機関の双方にとって最優先課題となる態勢が整っています。CISO、そしてリスクおよび統制を担当するリーダーたちは、この進化し続ける規制環境に対して、先を見越して準備を進めるべきです。

CISO オフィス、ソリューション コンサルタント Bill Reid

医療機器のセキュリティと品質を向上させる取り組みは、ARPA-H UPGRADE プログラムの受賞者の発表と、この 3 年間のプロジェクトの始動により、2025 年も継続していくでしょう。このプログラムでは、FDA の定める Software-as-a-Medical-Device（医療機器としてのソフトウェア）のセキュリティ要件を超えて、医療環境における機器分類全体の評価とパッチ適用に、より自動化されたアプローチを取り入れることが期待されています。

全般的に見て、医療業界は、PCAST レポートで説明されているサイバー フィジカル レジリエンスという新たなテーマを基盤として、さらなる発展を続けていくでしょう。経済面および診療業務に混乱をもたらすランサムウェア攻撃の脅威が続くなか、医療分野では、攻撃を受けた場合でも基幹サービスを安全に継続できる、よりレジリエントなシステムを導入していくことが予想されます。これは特に、人員が最小限でリソースが限られている医療過疎地域や地方の医療機関において、最も深刻な課題となるでしょう。異業種間の協力および官民の協働により、これらの取り組みを一層強化することが可能になります。

セキュリティ侵害に対して CISO とそのセキュリティ部門を責める姿勢が変化し、これまでサイバーセキュリティ分野を苦しめてきた非難の文化に対する反論が起こると考えています。サイバーセキュリティ イベントは犯罪行為として認識され、医療やその他の重要産業における場合は、国家安全保障への攻撃として認識されるようになるでしょう。組織が優秀な人材の採用と維持に課題を抱えるなか、セキュリティ プロフェッショナルの賠償責任への新しい対処法が出現するでしょう。

CISO オフィス、Google Cloud サイバーセキュリティ アライアンス ビジネス オペレーション責任者 Widya Junus

2024 年に私たちのセキュリティ フィールド チームから得られたフィードバックによると、マルチクラウド環境のセキュリティ確保のためのベスト プラクティスなど、サイバーセキュリティおよびクラウド セキュリティに関する実践的で実行可能なガイダンスへの強い需要が予想されます。

クラウドを利用されているお客様は、複数のクラウド プロバイダにまたがるセキュリティ管理の複雑さに対処し、一貫したポリシーと管理を確保するためのサポートを今後も求め続けるでしょう。この要望には、実際のユースケース、一般的な脅威とその対策、業界特有のセキュリティ知識の共有も含まれます。

セキュリティに関する重要な議論やトピックとして、合理化された IAM の構成、セキュリティのベスト プラクティス、クラウド セキュリティ管理のシームレスな実装が取り上げられるでしょう。クラウド プロバイダは、実践的な事例や業界特有のセキュリティ ガイダンスの共有を優先することを強く求められるようになり、特に AI に関してはその傾向が顕著となるでしょう。

Google Cloud の専門家によるリーダーシップの詳細なガイダンスについては、CISO インサイト ハブをご覧ください。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• 要注意！生成 AI セキュリティで陥りやすい 5 つの重大なミス: 生成 AI の普及が進むなか、誰もが経験する可能性のある失敗があります。最も一般的な失敗事例を紹介し、それらを回避するためのサポートを提供します。詳細はこちら。
• Roche、患者データの安全性を確保しながら医療の未来を切り開く: ユーザー アクセスの可視性と制御の向上を目指し、Roche は BeyondCorp Enterprise と Chrome を活用したゼロトラスト セキュリティ モデルを導入して、データ セキュリティを確保しました。詳細はこちら。
• AI のセキュリティを確保: 国家安全保障のミッションを推進: AI は単なる技術の進歩ではなく、国家安全保障上の重要課題です。AI 時代における各機関の AI リーダーに向けて、公共部門で AI を活用してイノベーションを起こす方法について、行政機関向けのロードマップを含む新しいガイドを発行しました。詳細はこちら。
• 取締役会向けセキュリティの視点、第 6 版: 2024 年最後の取締役会向けレポートでは、取締役会メンバーとの最近の対話を踏まえ、サイバーセキュリティとビジネス価値が交差する 3 つの重要な領域であるサプライ チェーン攻撃に対するレジリエンス、セキュリティを強化するための情報共有、サイバーセキュリティの観点からのバリュー アット リスクの理解に焦点を当てています。詳細はこちら。
• Vanir のリリース発表: オープンソースのセキュリティ パッチ検証: 新しいオープンソースのセキュリティ パッチ検証ツールである Vanir の提供開始をお知らせします。このツールは、Android プラットフォーム デベロッパーに対して、カスタムのプラットフォーム コードで欠落しているセキュリティ パッチを迅速かつ効率的にスキャンし、適用できる利用可能なパッチを見つける機能を提供します。詳細はこちら。

今月公開されたその他のセキュリティ関連のストーリーについては、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• AppSec テストを活用したレッドチーム評価の高度化: アプリケーション セキュリティの専門知識を取り入れることで、包括的なレッドチーム演習であれ、的を絞った外部評価であれ、組織は最新の攻撃者の戦術や手法をより効果的にシミュレートできるようになります。詳細はこちら。
• QR コードを利用した侵入経路: ブラウザ分離環境での C2: Mandiant の研究者達は、ブラウザ分離環境で QR コードを使用してコマンド＆コントロールを実現する新しい手法を実証し、それに対する防御のための推奨事項を提供しています。詳細はこちら。

今月公開されたその他の脅威インテリジェンス関連の記事については、Google Cloud 公式ブログをご覧ください。

Google Cloud Security および Mandiant のポッドキャスト

• すべての CTO は CSTO であるべき: LastPass の最高セキュア技術責任者である Chris Hoff 氏が、ホストの Anton Chuvakin とゲスト共同ホストの Seth Rosenblatt とともに、CSTO の価値、LastPass の技術スタックの再構築支援の経験、そしてそれが同社の企業文化の抜本的な改革にどのように役立ったかについて議論します。ポッドキャストを聴く。
• Google のワークロード セキュリティへの取り組み方: Google のセキュリティと信頼性に深い関心を寄せる Michael Czapinski が、Anton Chuvakin とともにワークロード セキュリティの重要な要素である、ゼロタッチ プロダクション、セキュリティ リング、基盤サービスなどについて語ります。ポッドキャストを聴く。
• 防御側の優位性: インシデント対応における修復の技術: Mandiant コンサルティングのリードである Jibran Ilyas が、ホストの Luke McNamara とともにインシデント対応の一環としての修復の役割について議論します。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターに登録してください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。

• Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables
• Google Cloud、CISO オフィス シニア ディレクター Nick Godfrey