2025年に起こる4つのサイバーセキュリティトレンド

2025年にはサイバーセキュリティにおいて何が起こるのだろうか。個別のインシデントを予測することはできないが、4つのトレンドがあるという。

[David Jones, Matt Kapko，Cybersecurity Dive]

　サイバーセキュリティの脅威は増える一方だ。重大なインシデントが数多く、企業や組織は疲弊している。防御側の穴はなかなかふさがらず、2024年は攻撃に対して不利な状況が続いてきた。このような課題は2025年に解決できるのだろうか。

2025年に注目すべき4つのサイバーセキュリティトレンド

　本記事では、2025年において大きな困難が予想される4つのトレンドを紹介する。

　米国に対する2024年の大きな脅威は通信ネットワークに対する広範囲な攻撃だった。CISO（最高情報セキュリティ責任者）の役割と責任が拡大する中で、政府の規制によるストレスが高まっていた。以下では個別の攻撃手法や技術ではなく、企業側が対応しなければならない状況を取り上げた。

（1）単一障害点の急増

　2024年に明らかになった事実は、重要なITシステムにおける単一障害点の存在だ。複数の注目すべき事例があり、ITシステムが障害を起こした際に何が問題になるのかが改めて浮き彫りになった。

　サイバーセキュリティの専門家は、次のように警告する。

　CrowdStrikeが引き起こした不具合を含むソフトウェアアップデート（注1）はもちろん、Change Healthcareへの大規模なランサムウェア攻撃（注2）、Snowflakeの顧客を狙った一連の攻撃によって明らかになったように（注3）、単一障害点は2025年にはこれまで以上にITシステムに影響を及ぼし続けるだろう。

　攻撃者はシステム全体の依存関係に関連する弱点を把握しており、一度に多くの企業に影響を及ぼし、被害者により大きな損害を与えることができる重要なポイントを狙う。少ない労力で大きな果実が得られるのなら当然そのように行動するだろう。

　Gartnerのカテル・ティールマン氏（バイスプレジデント兼アナリスト）は「レジリエンスを重視した意思決定があれば、単一障害点や1つの技術に集中するリスクの認識に至るはずだ。だが、悲しいことにそのような認識はほとんどない」と述べた。

　アナリストはリスクを軽減し、運営におけるレジリエンスを維持する責任はユーザー企業とそのベンダーにあると主張する。

　サイバー領域に強みを持つ調査企業のDell’Oro Groupで、企業向けセキュリティとネットワーキングの研究を担うマウリシオ・サンチェス氏（シニアディレクター）は次のように述べた。

　「企業に対して、より少ないリソースでより多くを達成しようとするプレッシャーがある。これが不完全なリスク評価や被害範囲の過小評価を招く。多くの企業は単一障害点を認識していないか、その潜在的な影響を正確に把握していない」

　このような状況でブラックスワンイベント（予測が難しい出来事）が発生すると、その後の影響は明白だ。

　このようなインシデントはSnowflakeの事例で明らかになったように、クラウドの「共有責任モデル」に隠れた課題を明らかにした（注4）。ベンダーと顧客の関係にも変化をもたらす。

　調査企業Forrester Researchのアリー・メレン氏（プリンシパルアナリスト）は、次のように述べた。

　「これらの出来事による長期的な影響がある。特に重要な時期に顧客がサービスを利用できなければならない。そこでサービスの可用性を確保するための監視が強まるだろう」

　2024年に多発した事例は、サンチェス氏が「ベンダーは無敵だという幻想」と表現するものを打ち砕き、顧客が技術サプライヤーに求める期待に根本的な変化をもたらした。

　「組織は誤った安心感を抱いた状況から抜け出し、壊滅的な障害が発生する恐れがあること、そして、それが実際に発生することを認識しなければならない。2024年の事例は、信頼できるベンダーであっても壊滅的な障害をもたらす可能性があることを示した」（サンチェス氏）

（2）規制環境と脅威情勢による変化

　米国企業におけるサイバーセキュリティの最高責任者は取締役会での影響力を増している。同時にかつてないほどのプレッシャーも感じている。

　悪質なサイバー活動の脅威の高まりは、企業の規制環境に大きな影響を与えている。

　脅威の状況についてリアルタイムのインテリジェンスと洞察を得るために、連邦政府や州政府による監視が劇的に強化されてきた。その目的は民間企業や（電力やガス、鉄道、空港などの）重要インフラプロバイダーがリスク管理を改善し、主要な関係者への脅威情報の迅速な開示を確実にすることにある。

　これらは善意に基づく規制強化ではあるものの、この厳しい規制に対して民間企業から大きな反発が起きている。政府機関からの重複した情報開示要求により、CISOや他の上級セキュリティ責任者に過剰な負担がかかっていると、企業が不満を訴えているのだ。

　サイバーセキュリティ事業を営むTrellixが2024年10月に発表した報告書によると（注5）、連邦と州の規制当局によるコンプライアンス要件の増加が理由となって、CISOは自らの役割を分割し、新たにビジネスCISOの役割を持つ役職を作ろうとしている。

　国家サイバー局長のハリー・コーカー・ジュニア氏は、コロンビア大学国際公共政策大学院で開催されたサイバー規制に関する会議で、連邦当局が企業への規制負担を軽減するために精力的に取り組んでいることを明らかにした（注6）。同氏は「規制に基づく要求が、自社のネットワーク防御にセキュリティ責任者が集中する妨げになっていることを認識している」と述べた。

　演説の要旨を記載した報告書で、コーカー氏は次のように述べた。

　「サイバー領域で発生する全ての問題が規制による解決を必要としているわけではない。また、規制に基づく解決策の全てが、コンプライアンスコストと照らし合わせた際に効果を最大化するよう調整されているわけでもない」

　証券取引委員会（SEC）は2023年の後半に（注7）、上場企業に対して重大なサイバー攻撃や情報漏えいを同委員会に報告することを義務付ける規則を施行した。

　国際的な法律事務所Paul Hastingsが2024年12月に発表した報告書によると（注8）、SECの規則が施行されて以来、上場企業によるサイバー領域に関連する開示が60％増加した。しかし、それらのうち、他社への情報提供として実質的な影響を有するような詳細情報を含む開示は10％未満にとどまっている。

　報告書によると、インシデントの開示の4分の3以上が実際のインシデント発生から8日以内だった。また、約5社に2社は、より多くの情報を記載するために「8-K」のフォームよりも詳細な追加情報を開示した。

（3）2025年も続く通信業界への攻撃

　2024年、連邦サイバー当局は、米国の通信ネットワークに対する一連の大規模な攻撃を封じ込め、その範囲を特定するのに苦慮していた。被害が続く可能性が残っており、当局は2025年も頭を悩ませることになるだろう。

　中国政府が支援する脅威グループ「Salt Typhoon」は、米国で少なくとも9つの通信企業に侵入しており（注9）、攻撃者が依然としてこれらのネットワークへのアクセス権限を持ったままだと当局は警告した。

　「これは、これまでで最も重要な重要インフラに対する攻撃だ」と、FTI Consultingのアンソニー・フェランテ氏（シニア・マネージング・ディレクターでサイバーセキュリティのグローバル責任者）は述べた。

　「われわれの生活は全て相互に接続されており、何をするにしてもそうだ。そして、当社が発見した本質は、敵対者がこのような相互接続に侵入し、望むことを何でもできるということだ」（フェランテ氏）

　サイバーセキュリティの専門家は、広範囲にわたる重要なインフラの侵害、悪意のある行為が数カ月（おそらくは数年間）も検出されなかったこと、そして、通信ネットワークに組み込まれた攻撃者を防御側が排除できていないことなど、複数の要因が重なっており、これがさらなる被害を生むと警告を発した。

　「われわれは皆、このことを強く懸念しなければならない」とHackerOneのカラ・スプラグ氏（CEO）は述べた。

　攻撃は現在も継続中で、当局はSalt Typhoonが何を実行し、何を計画し、何が危険にさらされているのか、その全容をまだ把握できていない（注10）。

　スパイ行為が主な目的だと連邦当局は考えているが、2024年12月、政府高官は、通信攻撃は危機的状況や紛争時に混乱を引き起こすモードに発展する可能性があると述べた。

　「非常に深刻な問題であり、当局者も攻撃者が通信インフラからいつ駆逐されるかは分からないと認めている。終わりが見えない」と、Teral Researchのステファン・テラル氏（ファウンダー兼チーフアナリスト）は言う。

（4）進化するCISOの役割

　規制環境の変化により、特に上場企業において、CISOの役割が大きく変わった。

　CISOの役割は現代の企業のガバナンス構造の中で重要性を増した。CISOは経営陣の中でも、取締役会などにおいてより大きな影響力を持つようになった。

　しかし、サイバーリスクの開示やリスク軽減戦略の実施に関しては、より高い基準が求められるようになっている。仕事は増えているのだ。

　「SECの裁定により、企業内部からのCISOへの監視が強化され、ステークホルダーの数も増えている」と、サイバーセキュリティ企業Trellixのハロルド・リバス氏（CISO）はCybersecurity Diveに語った。「この裁定により、取締役会への報告の頻度が増えたため、CISOの役割に対するプレッシャーも増している」

　Trellixが2024年12月に発表した調査によると、5人中2人のCISOがSECの規則によって自分の仕事に十分に集中できないと感じており（注11）、5人中3人は規制負担の増加に対処するために人員を増員したことが明らかになった。

　2024年11月に発表されたIANS ResearchとArtico Searchによる調査（注12）では、CISOがデータプライバシーや製品セキュリティ、その他の重要なリスク課題に関する専門家を自社のセキュリティチームに加えることに注力していることが示された。

　BitSight Technologiesのデレク・ヴァダラ氏（最高リスク責任者）は多くの企業において、CISOがビジネスおよびテクノロジーに関する意思決定に対して、より大きな責任と影響力を持ちつつあると述べた。

　「これらのセキュリティリーダーは、CIOと肩を並べる存在となり、取締役会へのアクセスが明確で、広範な技術戦略に大きな影響力を及ぼすようになった」（ヴァダラ氏）は述べた。

出典：4 cybersecurity trends to watch in 2025（Cybersecurity Dive）
注1：CrowdStrike’s mea culpa: 5 takeaways from the Capitol Hill testimony（Cybersecurity Dive）
注2：Change Healthcare cyberattack: 5 technical takeaways from UnitedHealth CEO’s testimony（Cybersecurity Dive）
注3：What we know about the Snowflake customer attacks（Cybersecurity Dive）
注4：Snowflake-linked attacks are testing the cloud’s shared responsibility status quo（Cybersecurity Dive）
注5：Majority of global CISOs want to split roles as regulatory burdens grow（Cybersecurity Dive）
注6：National cyber director calls for streamlined security regulations（Cybersecurity Dive）
注7：Cyber risk strategies in hot seat as SEC rules go live（Cybersecurity Dive）
注8：SEC Cybersecurity Incident Disclosure Report（PAUL HASTINGS）
注9：White House says 9th telecom company hit in Salt Typhoon spree（Cybersecurity Dive）
注10：Feds raise alarm on China-linked infiltration of telecom networks（Cybersecurity Dive）
注11：Navigating a Year of the SEC Cyber Disclosure Rules（Trellix）
注12：Corporate security teams want specialty cyber roles as regulatory pressure grows（Cybersecurity Dive）