連載:今週の「ざっくり知っておきたいIT業界データ」 第164回
IT市場トレンドやユーザー動向を「3行まとめ」で理解する《2025年 新春スペシャル》
2025年のテック業界はどうなる? 調査会社やITベンダーの「今年の動向予測」まとめ
2025年01月06日 15時00分更新
セキュリティ:サプライチェーン攻撃、国家支援の攻撃……
サイバー攻撃のトレンドは目まぐるしく移り変わり、適切なセキュリティ対策を行うためには、攻撃側の動向を知っておく必要があります。今年はどのようなトレンドが予測されているのでしょうか。セキュリティベンダー各社の予測をまとめてみます。
●(1)サプライチェーン攻撃
厳重なセキュリティ対策を行っている大手企業ではなく、その取引先企業やグループ子会社などから攻撃の侵入を図るサプライチェーン攻撃は、昨年も多くのセキュリティ事件を引き起こし増した。引き続き2025年も注意する必要があります。
Sophosは「2024年最大のサイバーセキュリティ事件」として、サプライチェーン管理技術のBlue Yonder(パナソニック子会社)を狙ったランサムウェア攻撃、自動車業界のソフトウェアベンダーCDKを狙ったサイバー攻撃の2つを挙げ、以下のような予想を出しています。
・サプライチェーン攻撃は、攻撃者が被害者へのプレッシャーを増大させるのに効果的な方法であり、2025年はさらに増加する。攻撃の影響は、最初にターゲットとされた企業のはるか先まで及ぶだろう
■ソフォス・メディアアラート:ソフォスのエキスパートによる2025年の予測(Sophos)
Snykも「(攻撃者にとっては)個別の企業を狙うより、一度に多数の企業からデータを取得できる」として、サプライチェーン攻撃の増加を予想し、次のような課題を指摘しています。
・サプライチェーン攻撃対策として注目されるソフトウェア部品表(SBOM)は、「顧客への共有が進んでいない」「含まれる情報に一貫性がない」といった課題が残る
■デベロッパーセキュリティプラットフォームを提供するSnyk、2025年セキュリティトレンドを発表(Snyk)
●(2)国家が支援するサイバー攻撃
イスラエルと中東、ロシアとウクライナ、米国と中国、北朝鮮の動向など、残念ながら世界情勢は楽観視できない状況が続いています。国家が支援するサイバー攻撃について、Kaspersky、Sophos、SecurityScorecardなどが予想しています。
・米国の次期トランプ政権が国家安全保障を最優先とする政策をとることで、中国のサイバー活動は直接的な対抗措置となり、より多くの米インフラシステムを狙う可能性がある
■SecurityScorecard 2025年サイバーセキュリティに関する予測を発表(SecurityScorecard)
・AI生成画像を使って仮想通貨を窃取していたLazarus(北朝鮮支援のハッカー集団)など、国家支援型攻撃者によるAIの利用が増加する
■Kaspersky Security Bulletin(その1):2025年の高度な脅威に関する動向予測(Kaspersky)
・国家支援の攻撃グループは、パッチ未適用のエッジデバイスを攻撃してプロキシ(攻撃の踏み台)ネットワークを構築する
■ソフォス・メディアアラート:ソフォスのエキスパートによる2025年の予測(Sophos)
●(3)ボットなどのIDに対する攻撃
SailPointではアイデンティティ(ID)関連のセキュリティについて予測しています。IDセキュリティ対策が成熟している組織では、期待を上回る高い投資効果が得られているとのことですが、2025年に注目したいのは「マシンアイデンティティ」、つまり人間以外のボットなどが用いるIDの管理とセキュリティです。
・マシンアイデンティティは今後3~5年で約30%増加する。これは、他のあらゆる種類のアイデンティティよりも高い成長率となる
・IDセキュリティ対策が成熟している組織では、マシンアイデンティティへの対応範囲が87%、成熟していない初期段階の組織では28%
・「2025年にマシンアイデンティティ対策が30%増加する」と予測する回答者が3分の1を占める
■SailPoint、組織のアイデンティティ セキュリティ成熟度と将来の見通しをまとめた年次レポート「アイデンティティ セキュリティ調査レポート」2024-2025年版を公開(SailPoint)
●(4)ランサムウェアなどの攻撃も引き続き警戒
大きな被害を出し続けているランサムウェア攻撃は、2025年も引き続き油断のできないサイバー脅威であり続けます。
・医療、教育分野でランサムウェア攻撃は継続する
■ソフォス・メディアアラート:ソフォスのエキスパートによる2025年の予測(Sophos)
生成AIがコーディングを支援するツールが急速に普及していますが、そのコードを狙った攻撃が登場するという予測もあります。
・AIコーディングツールが生成したコードの脆弱性を狙い、インジェクション攻撃が2025年に大きな脅威として復活する
■デベロッパーセキュリティプラットフォームを提供するSnyk、2025年セキュリティトレンドを発表(Snyk)
サイバーセキュリティにまつわる課題が山積していることから、次のような予測もあります。
・CISOへのプレッシャーが増大する。企業がセキュリティ侵害の責任をCISO個人に押し付けることが増えると、セキュリティ担当者のCISO職への関心が低下する
■SecurityScorecard 2025年サイバーセキュリティに関する予測を発表(SecurityScorecard)
CISO(Chief Information Security Officer)は、企業における情報セキュリティの取り組みを統括する重要な職務です。企業がCISOに十分な権限とリソースを与え、さらに経営層や管理職とのコミュニケーションも円滑なものにしなければ、変革を進める能力が抑えられてしまい、重大なサイバー脅威に対して脆弱になってしまうと警告しています。
この連載の記事
-
第211回
ITトピック
要件定義をAIが支援し「工数を半分以上削減」7割超/“日本独自のAI推進モデル”が判明/AIセキュリティ導入の課題、ほか -
第210回
ITトピック
生成AI普及後も「IT技術者採用は減らない」が約8割/今後5年で倍増のデータセンター電力消費、3分の2は米国・中国、ほか -
第209回
ITトピック
脆弱性のあるVPN機器、6割の企業が「すぐ特定できず」/来年注目の“11のIT戦略テーマ”発表/管理職の半数が「燃え尽き」を経験している、ほか -
第208回
ITトピック
日本のクレカ情報、闇市場では世界一高値で売買/東京が2年連続で世界一、DC建設コスト/誤情報・偽情報への企業対策が加速、ほか -
第207回
ITトピック
人事評価に6割超が自己評価との「ギャップ」感じる/“AIの波”を生き延びるための技術トレンド/AIプロジェクトの6割超がPoC止まり、ほか -
第206回
ITトピック
IT技術者として何歳まで働く? 40代と60代の意見差/年率66%で急成長の「DAP」市場/フリーランス新法施行1年で改善実感の声、ほか -
第205回
ITトピック
ランサム被害企業の3割が「繰り返し被害に遭った」/インフラ技術者の年収アップに効く資格取得/AIに雇用を奪われるのは若手人材? ほか -
第204回
ITトピック
技術学生の大手SIer就職人気が躍進、その理由/成長率37%“急速拡大”の国内AI基盤市場/物価上昇で退職金の実質減少が続く、ほか -
第203回
ITトピック
1件のセキュリティ事故が281社に影響連鎖、恐ろしいサプライチェーンリスク/シニア人材がプロとして働くモチベーションは? ほか -
第202回
ITトピック
ICT求人の8割で「AIスキル」が職務要件に/経営層が熱望するソフトウェア革新/セキュリティのハイプサイクル発表、ほか -
第201回
ITトピック
顧客接点にデジタルヒューマンが浸透/「週休3日」求人はこの5年で5倍に増加/iPhone 16eが期待外れだった理由、ほか - この連載の一覧へ
