セキュリティリスクやサイバー攻撃は日々深刻に、そして複雑になるばかりだ。IPA 独立行政法人情報処理推進機構が発表した「情報セキュリティ10大脅威 2023」によると、ランサムウェアによる被害やサプライチェーンの弱点を悪用した攻撃、標的型攻撃による機密情報の窃取などが大きな脅威だったようだ。中にはリモートワークなどワークスタイルの変化を狙った攻撃や犯罪のビジネス化も話題に挙がっており、リスクが社内外に潜み、多様化していることが分かる。

特に中小企業では、セキュリティ対策において予算確保やノウハウ不足に悩まされていることだろう。しかし、リスクを放置していては被害が拡大していくばかりである。現状の課題に目を向けつつ、今後注意すべきリスクも知っておきたいところだ。そこで、ここからは各社がリリースしているセキュリティトレンドをチェックしよう。

KnowBe4社は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた、統合型プラットフォームのプロバイダーだ。同社が発表する2024年のサイバーセキュリティ動向で取り上げられているのは以下のとおりである。

1. AIを利用するサイバー犯罪と防御手法の増加
2. ランサムウェア攻撃はサプライチェーンサービスを標的に
3. 景気の減速がセキュリティプログラムと事業継続計画に影響
4. サイバー犯罪に対抗するために強化される国際連携と協力関係
5. ディスインフォメーション活動が恐喝スキームにつながる

出典：https://www.knowbe4.jp/press/top-five-2024-cybersecurity-predictions-by-knowbe4-cybersecurity-experts

現在、人間の脆弱性（ぜいじゃくせい）を狙う詐欺行為であるソーシャルエンジニアリング攻撃は、AIで自動的に生成できてしまう。この自動生成が簡単になると、サイバー犯罪はさらに増加するだろう。攻撃されて個人情報や機密情報が漏えいすると、ダークウェブマーケットなどで公開されてしまう恐れがある。また、セキュリティ対策が手薄となっているサテライトオフィスやその関連企業・取引先などを入口に、大手企業のネットワークに侵入するサプライチェーンが多くなるだろうことも指摘されている。

サイバー攻撃による損失に世界的な経済の減速が重なると企業は倒産しかねない。セキュリティ対策やBCPの見直しが必要になるだろう。さらに、ディスインフォメーションにも気を付けておきたい。AIを利用したディープフェイク画像や映像が問題になっているが、どんな企業でもその被害に遭う可能性があるからだ。

チェック・ポイント・ソフトウェア・テクノロジー社はサイバーセキュリティソリューションのプロバイダーである。その脅威インテリジェンス部門であるチェック・ポイント・リサーチが、「2024年のサイバーセキュリティに関する予測」を発表した。

1. GPUファーミング – AI資源へのアクセスを求め、ハッカーはクラウドを標的に
2. 人工知能（AI）と機械学習（ML）
3. サプライチェーンおよび重要インフラへの攻撃
4. サイバー保険
5. 国家主導の攻撃とハクティビズム
6. ディープフェイク技術の武器化
7. 企業を悩ませ続けるフィッシング攻撃
8. ランサムウェア：ステルス型エクスプロイト、恐喝の拡大、AIの戦場

出典：https://prtimes.jp/main/html/rd/p/000000244.000021207.html

同社も生成AIを使ったサイバー攻撃の増加について言及しており、特にクラウドベースのサイバー攻撃ではGPUファームが標的になると予測している。政治的な目的に基づいてハッキングを行う活動家「ハクティビスト」によるDDoS攻撃にも警戒した方が良さそうだ。

このような状況から、セキュリティ対策の需要が増加することが見込まれ、サイバー保険料は高騰すると見られる。企業はより効果的なセキュリティ対策にシフトしていく可能性がある。

サイバーセキュリティテクノロジー企業であるCrowdStrike社の最高技術責任者（CTO）エリア・ザイツェフ氏は、「2024年の6つのサイバーセキュリティ業界予測」を発表している。

1. クラウドへの攻撃を防ぐには、ソフトウェア開発サイクル全体を通じて徹底的なセキュリティ対策を行うことが不可欠
2. 見えないAIが、組織に新たなリスクをもたらす
3. 現在のようなSIEMは消滅に向かう
4. 時代遅れのEOL製品によって重大なITの不備やセキュリティギャップが放置され、攻撃に悪用される恐れ
5. CISO（最高情報セキュリティ責任者）とCIO（最高情報責任者）は、最高のセキュリティとIT成果を生むプラットフォームに注目
6. 生成AIは、2024年のアメリカ大統領選サイクルを変えるほどの力を持つ

出典：https://www.nikkei.com/article/DGXZRSP665699_S3A211C2000000/

やはり同社もAIが鍵になると述べており、AIを使った情報操作やセキュリティ対策なしでAIツールを利用することに警鐘を鳴らしている。また、「ソフトウェア開発サイクル全体」でのセキュリティについては、クラウド環境での開発やDevOpsによるスピーディな開発、ノーコード・ローコードの利用拡大に伴って全体像を把握することが困難になり、標的になりやすいことも指摘している。

本記事で取り上げられなかったセキュリティトレンド予測においても、AIにより脅威が増大するだろうとされている。その脅威の例としては、サイバー攻撃の標的にされる可能性やハッカーがAIを用いて巧妙な手口を生み出す可能性、AIによるディープフェイクでの情報かく乱などが挙げられる。

一方で、AIを用いた高精細なマルウェアなどの検知が浸透している。AIを活用したセキュリティ対策にも期待したい。ChatGPT登場から1年余り、AIの利活用は驚くほどの速さで広がっている。最新の提案ができるよう、トレンドのセキュリティ情報は追いかけておきたい。