サイバーセキュリティ各社が2024年のセキュリティ動向を予想している。2023年にブームとなったAIやクラウドなどのテクノロジートレンド、また、社会情勢や企業・組織の体制を踏まえた興味深い示唆が目立つ。各社の予想を主要なトピックスで紹介する。
生成AIの利用が攻撃と対策で本格化?
2023年に世界的なブームとなった生成AIは、サイバーセキュリティの観点でも注目を集めた。当初からサイバー攻撃への悪用の可能性が指摘されていたものの、2023年の間に具体化した脅威はあまり見られず、攻撃者が生成AIの悪用を研究している段階にあるとの見解が多かった。しかし2024年は、悪用を実践する段階に入るだろうと予想している。
トレンドマイクロは、生成AIを悪用した「インフルエンスオペレーション」の拡大を予想する。AIで本物に酷似した音声や映像の偽装表現、ディープフェイクが可能になり、特に音声のクローニングによる詐欺での悪用が近い将来に増えると見ている。
特に2024年は、大統領選挙を控える米国などの政治動向に便乗した脅威が考えられるという。「AIブームは、既に政治にも影響を及ぼし、ニュージーランドと米国でAI生成の画像が政治広告に使われていることがそれを証明している」とし、SNSなどを活用して世論を操作するインフルエンスオペレーションの拡大が懸念されるとしている。クラウドストライクは、選挙のシステムやプロセス、それに付随する情報環境が脅威アクターの標的となる可能性があると予想。「ロシア、中国、イランなどの国家が支援下にある攻撃者は、サイバー攻撃や情報操作により世界中の選挙に影響を与え、その結果を覆そうと数々の攻撃を企ててきた歴史がある」と指摘している。
またクラウドストライクは、企業や組織で活用の検討が進むAIシステムのセキュリティリスクも高まるだろうとする。「AI導入時のセキュリティチームの脅威モデルに対する理解度はいまだ初心者レベルであり、従業員が無断で持ち込む非承認AIツールの追跡も追いついていない状況。こうした新しいテクノロジーは死角になりやすく、脅威アクターに企業ネットワークへの侵入や機密データ窃取のチャンスを与えてしまう可能性がある」と述べる。
このため企業や組織は、AIが既に導入されている部署を確認し、リスク状況を評価し、自社のリスクと費用を最小限に抑えながら、安全で監査可能なAI利用に向けた戦略的ガイドラインを策定していくと見る。
他方で、セキュリティ対策でのAI活用が進展するとの期待もある。Armisは、AI搭載の脆弱(ぜいじゃく)性管理ソリューションの導入が優先され、生成AIを活用する上では運用のインテリジェンスが重要になると解説する。
SecurityScorecardは、サイバー攻撃者が大規模言語モデル(LLM)を悪用して、未修正の脆弱性を悪用するなどの方法をこれまで以上に短い時間で編み出すだろうとし、「攻防における激しいAI戦争が繰り広げられる」「2024年のAI戦争は攻撃者が勝利」との厳しい予想だ。
しかし、LLMは組織のサイバーセキュリティを変革し、「LLMはシンプルなクエリーを実行することで、山のようなデータから実用的な洞察を導きだす驚異的パワーをセキュリティチームにもたらした」とする。ただし、LLMではサイバーセキュリティ特有のデータセットの複雑さを理解するには限界があるといい、「2024年のセキュリティチームは小規模言語モデルに移行する可能性がある。LLMが突きつける障壁を打ち破り、カスタマイズされた実用的なインサイトを提供し、リアルタイムデータトレーニングが武器となって、セキュリティチームが刻一刻と変化する脅威の状況に、迅速に対応可能になる」と予測している。
クラウドセキュリティ情勢
企業や組織のIT環境のクラウド化が進んでおり、セキュリティリスクの拡大やクラウド特有のセキュリティ強化の取り組みも進展していくと予想される。
Tenable Network Securityは、クラウドアーキテクトがセキュリティも所管するようになると見る。以前のセキュリティは、アプリケーションを本番環境に移行する際に付加するもの考えられていたが、アプリケーションの実装と導入の過程で検討すべき重要な目標と認識されるようになり、「アプリケーションのセキュリティ確保がクラウドアーキテクトの責任範囲に含まれるようになっていくだろう」と指摘している。
クラウドストライクは、2023年にクラウドの脆弱性を悪用した侵害が95%増加しているとする。クラウドの普及、DevOpsの急速な拡大、ノーコード/ローコードプラットフォームの利用増を背景に、クラウドで稼働するアプリケーションとマイクロサービスが激増しており、クラウドの俊敏性や拡張性といった性質から、組織が全てのアプリケーション、マイクロサービス、データベース、それらで構成される依存関係の全体像を把握し続けることは不可能だと指摘する。クラウドに精通した攻撃者の格好の標的となるため、組織はアプリケーションとインフラストラクチャーの両面からクラウド資産全体のセキュリティを確保することが課題になるという。
トレンドマイクロは、クラウドの設定ミスが攻撃者にとって悪用しやすい侵入口だとし、2024年は脆弱性を利用して攻撃を自動化する能力を持つ「クラウドネイティブワーム」が台頭する恐れがあると述べる。「Kubernetes」や「Docker」「Weave Scope」などで誤って設定されたAPIを通じて攻撃に成功し、クラウド環境内での急速な拡散を引き起こす可能性があるという。実際に無防備な状態のKubernetesクラスターが標的となっており、クラウドワームの活用が明らかになっているという。
同社も組織がクラウド移行を進める上で、不備や抜け漏れをなくすことは非常に難しいと指摘。組織のクラウドベースのリソースが自組織への攻撃の手段として悪用されてしまう「クラウド寄生型攻撃」が台頭する可能性を挙げる。クラウド上の正規ツールが悪用される危険性に対処する上では、脅威検知・対応ソリューション(EDR/NDR/XDR)が重要だと説く。
Tenable Network Securityは、クラウドネイティブなセキュリティによって、企業や組織が従来のサイロ化構造から脱却し、「一元的なコンテキスト(関連性)からリスクを捉えることが可能であることを理解するようになった」とする。そのため、2024年を通してクラウドセキュリティ製品とベンダーの統合が加速するだろうと予想。また、旧来のセキュリティ担当者は、ネットワーク、ワークロード、アイデンティティーなどのテクノロジー単位でセキュリティを捉えていたが、サイバー攻撃がIT環境全体を踏まえて展開されることへの理解が進み、今後はアタックサーフェス(攻撃対象領域)を総合的に評価して、優先順位を付け、弱点を効率的に修正できるソリューションと手法への需要が高まると予想している。
CISOの役割に変化
現代はサイバーセキュリティのリスクがビジネスリスク、経営リスクとしても認識されるようになり、サイバーセキュリティを所管する最高情報セキュリティ責任者(CISO)の立場も変化してきている。
SecurityScorecardは、「CISOがサイロ化された技術の世界の中だけで活動する時代は終わろうとしている。技術的なサイバーセキュリティリスクをビジネス用語に適切に置換できないCISOは職を失う」と指摘。「CISOとしての職の存続は、技術的なサイバーセキュリティリスクを、ビジネス上の意思決定が行われる取締役会において理解できる言葉に置換できるかどうかにかかっている」と述べる。
Armisは、新しいCISO人材が登場すると予想し、「個々の組織および広範なサイバーセキュリティ業界全体に長期的なプラスの影響を与えることが期待される」と解説する。ただ、サイバーセキュリティのスキル不足の格差が拡大し、人材獲得とその保持に課題が生じかねないともしている。
クラウドストライクは、CISOと最高情報責任者(CIO)には、より少ないリソースでより大きな成果の達成を求められていると指摘する。CISOとCIOの連携を深め両者が抱える問題を同時に解決すべく、業務のサイロ化を解消して、複雑性や費用軽減効果の高いプラットフォーム型ソリューションに移行していくと予想する。
またSecurityScorecardは、米証券取引委員会(SEC)がサイバー規制を強化していることを踏まえ、「CISOは取締役会のメンバーと有意義な議論を行い、サイバーセキュリティのリテラシーを高めるように注力していく。取締役会メンバーが粗利率のような財務の概念を理解するのと同様、今後はサイバーセキュリティがビジネスに与える影響について技術的な理解を深めることになるだろう」と展望し、「取締役会がサイバーリテラシーを受け入れることで、サイバーレジリエンス(回復力)が現実のものとなるだろう」と予測している。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)