タレス、2025年のセキュリティトレンド予測を発表

• 生成AIや大規模言語モデル（LLM）の脆弱性を狙った攻撃がみられるようになり、AIへの信頼性に疑義が生じかねない状況に

• 一方、AIツールは脅威検知や行動分析に有用で、セキュリティ業務の支援に有効

• APIの普及・高度化や、クラウド移行に伴い、セキュリティ組織体制の変更が増加

• データプライバシー規制が国際的に主流となり、企業は厳格なコンプライアンス対応だけでなくリスクを重視したアプローチへ移行

世界をリードするテクノロジーとセキュリティのプロバイダーであるタレスは、この度、2025年度のセキュリティトレンド予測を発表しました。生成AIやLLM、APIの加速度的な普及と技術発展により、サイバーセキュリティを取り巻く環境は2025年も継続的に変化し、中には従来の考えを置き換えるものも存在します。また、データ保護においては国際的に規制準拠の動きが加速し、企業はそれに対応しながら、これまでにないデータ保護に取り組むことが求められると予測されます。

以下は、タレス、およびタレスグループImpervaによる、主なセキュリティトレンド予測を取りまとめたものです。アプリケーションセキュリティ、データセキュリティそれぞれにおけるトレンド予測を順にまとめています。

アプリケーションセキュリティ

・　プロンプトインジェクションによるデータ漏洩がAIに対する疑義を生じさせる: 生成AIは、自然言語インターフェースによるデータアクセスを可能にする一方で、「プロンプトインジェクション」という新たなサイバー脅威を生み出しており、現時点で効果的な対策はほとんど存在しません。2025年、プロンプトインジェクションにより大手グローバル企業が重大なデータ漏洩を被る可能性があり、AIが『幻滅期』に突入し、企業の信頼を揺るがし、AI利用に対する利便性や信頼を覆す恐れがあります。

・　生成AIが「スクリプトキディ*」の概念を再定義する: 生成AIによって、これまで技術スキルや知識が必要とされた攻撃が、未経験者でも容易に実行できるようになり始めています。2025年、生成AIによって、企業のターゲット名を入力するだけで一連の悪意ある活動を引き起こすようなサイバー攻撃ツールが実現する可能性があります。脅威アクターは自動的にフィッシングメールを生成・送信し、ネットワーク内に侵入後はさらに高度なアクセス権を獲得するためにこの技術が活用されます。使いやすく、高い効果をもたらすツールにより、サイバー攻撃の増加と高度化が進むことが予想されます。

*スクリプトギティ:他社が作成したプログラムやスクリプトを利用して、不正アクセスやサイバー攻撃を試みる人

・　大規模なオープンソースサプライチェーン攻撃の発生: ソフトウェアのサプライチェーンが複雑化し相互接続されるようになったことで、攻撃者にとって魅力的な標的となっています。2025年には、XZ Utilsに対するSSH攻撃に類似した、より成功しやすい大規模なオープンソースサプライチェーン攻撃が発生すると予測されます。このリスクを低減するために、組織は多層的なセキュリティアプローチを導入する必要があります。

・　LLMベースアプリケーションのAPIに関連した重大なデータ漏洩リスク: 組織が大規模言語モデル（LLM）ベースのアプリケーションを採用し続ける中で、APIの脆弱性が標的となることが予想されます。2025年には、LLMアプリケーションのAPI接続の脆弱性を狙った不正アクセスがみられるものと想定しています。APIセキュリティの重要性が見直されるきっかけになるほか、Extended Berkeley Packet Filter（eBPF）はLLMを活用するシステムの保護において重要な枠割を担うようになります。

・　APIの増加と組織のセキュリティ体制の変化: APIの普及に伴い、多くのセキュリティ課題が山積みしています。インフラやデータベースへのアクセス経路として脅威アクターにAPIが狙われることが増える中、組織はAPIの継続的な監視とデータフローの可視化を実現する必要があります。他方、増加するAPIの保護に対応するため、組織体制を拡充する動きも見られます。多くの企業でAPIの自動修復機能を含むセキュリティ対策を導入する計画を立てているほか、セキュリティを開発ライフサイクルの初期段階から組み込む「シフトレフト」や「DevSecOps」の導入が広がっています。

データセキュリティ

・　データプライバシー規制が国際的な主流に: 国際連合貿易開発会議（UNCTAD）によると、現在、世界にある国家の80％がデータ保護およびプライバシーに関する法整備を進めている、もしくはすでに実施しています。国際法執行に伴うリスクへの対策として、データを特定の管轄内で保存・処理することが規制で求められるようになっています。クラウドプロバイダーや企業は、各国のデータ主権法に準拠する必要があります。さらに、組織はシステムやアプリケーションを開発する段階から「プライバシー・バイ・デザイン」原則を採用し、データ保護とプライバシーを組み込むようになるでしょう。暗号化および暗号技術に基づくプライバシー強化技術が、これらのリスクを軽減する主要な技術手段として導入されています。

・　企業による積極的なコンプライアンス準拠: デジタルトランスフォーメーションやクラウド、AI技術の急速な普及に伴い、国家はデジタル空間を規制するための措置を講じています。組織のデジタル資産やビジネスレジリエンスに対する責任が法的に明確化され、企業のコンプライアンス対応は強化されています。2025年、サイバーセキュリティの現場は、従来の受動的な対応から積極的に阻止する対応へと変化するでしょう。データ管理をオンプレミスへ移行する場合も、クラウド環境と同等の厳格なセキュリティ体制が求められるようになります。

・　リスクを重視したセキュリティアプローチへの移行: サイバー攻撃の増加・大規模化を受け、企業はリソース上の制約に直面するでしょう。そのような中、データ保護にあたり、単なる反応的な対策に頼ることは不十分となります。そこで、組織は単なるコンプライアンス対応からリスク重視のアプローチへ移行する必要があります。また、組織はリスクの可視化を優先し、ビジネスへの潜在的な影響を基にリスクを評価・管理するようになるでしょう。データ資産全体から得られるリスク指標を活用することで、実行可能なリスク評価が形成され、データセキュリティを強化するための効果的な意思決定が可能になります。

・　セキュリティモデルの主流は2025年も「ゼロトラスト」: 2025年にはゼロトラストアーキテクチャが、ほとんどの企業にとって不可欠になるでしょう。国際的な紛争の増加や、防衛メカニズム強化の必要性が、このシフトを後押しします。民間防衛分野でも、従来のIT防御を超えた包括的なセキュリティ対策や従業員向けトレーニングが求められるでしょう。

・　AIツールはセキュリティ業務の支援に: AIおよび機械学習はサイバーセキュリティにおいてますます中心的な役割を果たすようになるでしょう。これらの技術は、脅威の検出と対応、脆弱性の事前特定、およびセキュリティ体制管理と行動分析を組み合わせて、大規模なデータセットをリアルタイムで監視・保護するのに役立ちます。これにより、データの不正流出や異常なデータアクセスといったリスクを検出することが可能になります。今後の焦点は、これらのツールを導入することではなく、セキュリティチームがAIツールの能力をどのように活用するかに移るでしょう。俊敏性を維持しようとする組織は、AIを活用して脅威調査の能力を次のレベルに引き上げることになると考えられます。

・　重要インフラ攻撃が急増: 近年、重要インフラを標的とする攻撃は急速に増加しています。これらの攻撃の大部分は、IT環境を起点として、運用技術（OT）および重要インフラに波及しています。しかし、製造業や自動車業界など多くの運用分野では、ITとOTの関連性が認識されておらず、データセキュリティの問題とは別物と考えられがちです。このような製品開発への偏重が、セキュリティ対策の遅れを招き、依然として古く安全性に欠けるレガシーシステムに依存している業界も少なくありません。

・　ポスト量子暗号が「クリプトアジリティ」の重要性を浮き彫りに: 2024年、NIST（米国国立標準技術研究所）はポスト量子暗号（PQC）で初となる暗号アルゴリズムを発表しました。それ以前は、企業がPQCの必要性を理解するのに苦労していましたが、NISTの基準によって量子技術の進展による脅威への対応が急務となりました。現在、TLSやSSHプロトコルは新たなNIST基準に合わせて更新されています。しかし、NISTはすでに次のアルゴリズムの策定を進めており、今日実装されているアルゴリズムが、量子コンピューティングの脅威が現実化する時には異なるものとなっていることが濃厚です。したがって、進化するセキュリティ推奨事項に適応する「クリプトアジリティ（暗号の俊敏性）」の重要性が顕著になります。

TLSやSSHプロトコルがNISTの基準に準拠する形で更新される中、2025年には企業がこのクリプトアジリティという考え方を採用する必要性が高まります。最大の課題は、企業が自らのリスク（露出）を特定し、資産の棚卸しを行い、暗号の発見と管理を行うための時間とリソースを確保することです。これに伴い、大企業を中心に暗号のCoE（Centers of Excellence）が増加すると予測されます。企業は耐量子暗号の進化に対応できるよう、クリプト・アジリティなソリューションを活用しながら、量子コンピューティング時代に対応していく必要があります。

以上

タレスグループについて

タレス（本社：フランス・パリ、Euronext Paris: HO）は、防衛・セキュリティ、航空・宇宙、デジタルアイデンティティ・セキュリティの3つの領域における先端技術で世界をリードしているグローバル企業です。世界をより安全で、より環境に優しく、より包括的にすることに役立つ製品およびソリューションを開発しています。

  タレスグループは、研究開発に関して、特に量子技術、エッジコンピューティング、6G、サイバーセキュリティなどの主要分野に、年間40億ユーロ近くを投資しています。

  68カ国に8万1,000人の従業員を擁するタレスの2023年度売上高は、184億ユーロを記録しています。

**本プレスリリースは、2024年12月17日、および、12月18日にタレスのウェブサイトにて公開されたブログ記事を抄訳し、日本向けに構成したものです。