タレスDISジャパンは12月25日、2025年度のセキュリティトレンド予測を発表した。

生成AIや大規模言語モデル(LLM)、APIの加速度的な普及と技術発展により、サイバーセキュリティを取り巻く環境は2025年も継続的に変化し、中には従来の考えを置き換えるものも存在するという。

また、データ保護においては国際的に規制準拠の動きが加速し、企業はそれに対応しながら、これまでにないデータ保護に取り組むことが求められると予測されるという。

タレスおよびタレスグループのImpervaは、アプリケーションセキュリティについて以下のような予測を発表している。

プロンプトインジェクションによるデータ漏洩がAIに対する疑義を生じさせる

生成AIは、自然言語インタフェースによるデータアクセスを可能にする一方で、「プロンプトインジェクション」という新たなサイバー脅威を生み出しており、現時点で効果的な対策はほとんど存在しない。

2025年、プロンプトインジェクションにより大手グローバル企業が重大なデータ漏洩を被る可能性があり、AIが「幻滅期」に突入し、企業の信頼を揺るがし、AI利用に対する利便性や信頼を覆す恐れがある。

生成AIが「スクリプトキディ」の概念を再定義する

生成AIによって、これまで技術スキルや知識が必要とされた攻撃が、未経験者でも容易に実行できるようになり始めている。2025年、生成AIによって、企業のターゲット名を入力するだけで一連の悪意ある活動を引き起こすようなサイバー攻撃ツールが実現する可能性がある。

脅威アクターは自動的にフィッシングメールを生成・送信し、ネットワーク内に侵入後はさらに高度なアクセス権を獲得するためにこの技術が活用される。使いやすく、高い効果をもたらすツールにより、サイバー攻撃の増加と高度化が進むことが予想される。

大規模なオープンソースサプライチェーン攻撃の発生

ソフトウェアのサプライチェーンが複雑化し相互接続されるようになったことで、攻撃者にとって魅力的な標的となっている。

2025年には、XZ Utilsに対するSSH攻撃に類似した、より成功しやすい大規模なオープンソースサプライチェーン攻撃が発生すると予測される。このリスクを低減するために、組織は多層的なセキュリティアプローチを導入する必要がある。

LLMベースアプリケーションのAPIに関連した重大なデータ漏洩リスク

組織がLLMベースのアプリケーションを採用し続ける中で、APIの脆弱性が標的となることが予想される。2025年には、LLMアプリケーションのAPI接続の脆弱性を狙った不正アクセスがみられることが予想される。

APIセキュリティの重要性が見直されるきっかけになるほか、Extended Berkeley Packet Filter(eBPF)はLLMを活用するシステムの保護において重要な枠割を担うようになる。

APIの増加と組織のセキュリティ体制の変化

インフラやデータベースへのアクセス経路として脅威アクターにAPIが狙われることが増える中、組織はAPIの継続的な監視とデータフローの可視化を実現する必要がある。

他方、増加するAPIの保護に対応するため、組織体制を拡充する動きも見られる。多くの企業でAPIの自動修復機能を含むセキュリティ対策を導入する計画を立てているほか、セキュリティを開発ライフサイクルの初期段階から組み込む「シフトレフト」や「DevSecOps」の導入が広がっていく。