2025年のサイバーセキュリティの動向を展望すると、サイバーセキュリティのコミュニティが個々の企業・組織の対応能力を超える脅威に対抗するために、ますます互いに連携して脅威に対抗するようになることが予測されます。

さまざまな種類のサイバー攻撃が国際紛争の特徴の1つとなって久しい今日、これらのサイバー攻撃は各国政府によって直接管理・指揮されているものもあれば、緩やかに連携しているものもあり、さまざまな当事者によって実行されてきました。このようなサイバー攻撃は、今後ますます増大していくことでしょう。

長年にわたり、サイバーセキュリティ担当者は国家が支援しているさまざまな種類の脅威アクターの活動に対抗するための仮説を立てて、戦略を構築してきました。しかし、2025年にはそのような仮説やソリューションではもはや十分対処できなくなることが予想されます。

この10年間は比較的平穏でしたが、2025年には世界的な紛争が増加することは間違いありません。このような紛争には、大きく分けて、明らかな戦闘状態の紛争のほか、中国の南シナ海での領有権主張や台湾統合の野心などといった長く続いている紛争が挙げられます。このような紛争を支援し、進展させるためのサイバー攻撃の利用は進化し、その対策はより困難になるでしょう。

目的を同じくする国家間のグローバルなサイバー犯罪同盟は進化し、生成AIと共有技術を悪用して、効果が現れるまでの時間を加速させるでしょう。攻撃がある国家やその関連会社が起因することを証明するのはより困難になります。それにより、攻撃者は一層勢いを増し、攻撃手法においてステルス性よりも有効性をますます重視するようになるでしょう。

また、セキュリティが脆弱なIoTデバイスやエッジデバイスの普及により、国家的な脅威アクターがオペレーショナル・リレーボックス・ネットワーク(ORB)を構築・維持し続けることも予想されます。このような展開により、こうしたデバイスのメーカーは脆弱性を迅速に修正し、最初から脆弱性を持ち込まない処置を施すようプレッシャーを受けることになるでしょう。

また、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」のようなサイバーレジリエンスの取り組みが、悪意のある活動の増加に対抗するために支持を集めるにつれて、ベンダーは優れたサイバー衛生を確保している明確な証拠を顧客に提示する必要に迫られるでしょう。

また、ポイント・ソリューションや断片的なセキュリティ・スタックに起因する運用の非効率性によって、ベンダー・コミュニティが統合されることも予想されます。このような状況は、人員不足で過大な負担を強いられている企業・組織のセキュリティチームにさらに困難な状況に陥らせます。複雑さを軽減することは、組織のリスク態勢の改善につながります。

もちろん、AIは2025年以降、サイバーセキュリティのあらゆる側面において、ターゲットとして、ツールとして、脅威として、ますます重要な役割を担うようになるでしょう。2025年には、AIの誇大広告が一段落し、生成AIの実際の使用事例が現れ始め、AIのセキュリティと安全性が大きく成熟することが期待されます。

その結果、CISO(最高情報セキュリティ責任者)はAIに対してより多くの注意を払わなければならなくなります。彼らは、新しいITベースの攻撃手法に対する防御が求められるようになります。CISOは、自社のAIモデルをマッピングし、そのモデルによって生じる脅威を確実に軽減しなければなりません。AIがもたらすセキュリティ問題は、倫理やガバナンスの問題が明確になるにつれて、CISOとCTO(最高技術責任者)、そして経営陣とのより強力なパートナーシップが必要となってきます。

CISO、そしてCISOがサービスを提供する企業・組織は、強固なサイバーセキュリティを確保するために、より広い視野を持ち、サプライチェーンのあらゆる構成要素のセキュリティに注視する必要がますます高まっていきます。セキュリティ・エコシステムは、最も弱い連携ほど強固です。サプライチェーン内の脆弱性は、あらゆる組織に大きな波及効果をもたらす可能性があります。

こうした課題はすべて、セキュリティチーム、特に中小企業のセキュリティチームに対するプレッシャーをさらに増大させるでしょう。中小企業は、セキュリティ人材の獲得競争において、大企業との競争に苦戦することになります。

ここまでは、2025年以降のサイバーセキュリティにまつわる悲観的なシナリオを述べてきました。それでは、最後により前向きな言葉で締めくくりましょう。グローバルなハッカー・コミュニティのインテリジェンスは、企業・組織の保護を任務とするセキュリティチームの能力と攻撃者の創造性や執拗性とのギャップを埋めるために、ますます活用されるようになるでしょう。CISOは、熟練したスキルの取得方法を改善するために、より創造的な方法を取ることでサイバー専門家の不足に対処することになるでしょう。

脆弱性開示プログラムの導入が増加し、パブリックおよびプライベートなバグ報奨金プログラムの実用的な成果主義の価値が認められ、コミュニティ主導の脅威インテリジェンスが拡大すると予想されます。セキュリティチーム、特に中小企業でリソースに制約のあるチームは、攻撃テストを実行し、拡張性のある方法で自社の防御ギャップを埋めるためにますまうクラウドソーシングしたセキュリティ人材を活用するようになるでしょう。

つまり、サイバーセキュリティ・コミュニティは、これまで以上に大きな課題に対抗するために、さまざまな方法で協力・協調していくことになると考えられます。

本記事はBugcrowdが「Help Net Security」に寄稿した記事「Cybersecurity in 2025: Global conflict, grown-up AI, and the wisdom of the crowd」を翻訳・改編したものとなります

Casey Ellis / Dave Gerry

Casey Ellis / Dave Gerry

けいしー・えりす / でいぶ・げりー

Casey EllisはBugcrowdの創業者でアドバイザー。情報セキュリティ業界で18年の経験を持ち、ペネトレーションテスター、セキュリティおよびリスクコンサルタント、ソリューションアーキテクトとして、スタートアップから多国籍企業に至るまで、幅広いクライアントにサービスを提供してきた後、職業起業家として活躍。クラウドソース型セキュリティ・アズ・ア・サービスモデルの先駆者であり、2012年にバグクラウド・プラットフォーム上で最初のバグ報奨金プログラムを開始し、2016年には脆弱性開示標準化プロジェクトdisclose.ioを共同設立している。

Dave Gerryは2022年にBugcrowdのCEOに就任。以降、同社のオペレーションを統括し、成長および収益性を促進するとともに、全体的な戦略を管理している。アプリケーション・セキュリティ分野における経験を持つサイバーセキュリティの思想的リーダー(Thought Leader)で、同社入社以前は、WhiteHat Securityの最高収益責任者グローバル執行責任者を務め、グローバル市場における収益増の指揮を執り、顧客対応業務を統括していた。WhiteHatには2017年に入社し、2019年のNTTによる買収、ならびに2022年のSynopsysによる買収などにも関与している。

この著者の記事一覧はこちら