連載:今週の「ざっくり知っておきたいIT業界データ」 第164回
IT市場トレンドやユーザー動向を「3行まとめ」で理解する《2025年 新春スペシャル》
2025年のテック業界はどうなる? 調査会社やITベンダーの「今年の動向予測」まとめ
2025年01月06日 15時00分更新
セキュリティ:サプライチェーン攻撃、国家支援の攻撃……
サイバー攻撃のトレンドは目まぐるしく移り変わり、適切なセキュリティ対策を行うためには、攻撃側の動向を知っておく必要があります。今年はどのようなトレンドが予測されているのでしょうか。セキュリティベンダー各社の予測をまとめてみます。
●(1)サプライチェーン攻撃
厳重なセキュリティ対策を行っている大手企業ではなく、その取引先企業やグループ子会社などから攻撃の侵入を図るサプライチェーン攻撃は、昨年も多くのセキュリティ事件を引き起こし増した。引き続き2025年も注意する必要があります。
Sophosは「2024年最大のサイバーセキュリティ事件」として、サプライチェーン管理技術のBlue Yonder(パナソニック子会社)を狙ったランサムウェア攻撃、自動車業界のソフトウェアベンダーCDKを狙ったサイバー攻撃の2つを挙げ、以下のような予想を出しています。
・サプライチェーン攻撃は、攻撃者が被害者へのプレッシャーを増大させるのに効果的な方法であり、2025年はさらに増加する。攻撃の影響は、最初にターゲットとされた企業のはるか先まで及ぶだろう
■ソフォス・メディアアラート:ソフォスのエキスパートによる2025年の予測(Sophos)
Snykも「(攻撃者にとっては)個別の企業を狙うより、一度に多数の企業からデータを取得できる」として、サプライチェーン攻撃の増加を予想し、次のような課題を指摘しています。
・サプライチェーン攻撃対策として注目されるソフトウェア部品表(SBOM)は、「顧客への共有が進んでいない」「含まれる情報に一貫性がない」といった課題が残る
■デベロッパーセキュリティプラットフォームを提供するSnyk、2025年セキュリティトレンドを発表(Snyk)
●(2)国家が支援するサイバー攻撃
イスラエルと中東、ロシアとウクライナ、米国と中国、北朝鮮の動向など、残念ながら世界情勢は楽観視できない状況が続いています。国家が支援するサイバー攻撃について、Kaspersky、Sophos、SecurityScorecardなどが予想しています。
・米国の次期トランプ政権が国家安全保障を最優先とする政策をとることで、中国のサイバー活動は直接的な対抗措置となり、より多くの米インフラシステムを狙う可能性がある
■SecurityScorecard 2025年サイバーセキュリティに関する予測を発表(SecurityScorecard)
・AI生成画像を使って仮想通貨を窃取していたLazarus(北朝鮮支援のハッカー集団)など、国家支援型攻撃者によるAIの利用が増加する
■Kaspersky Security Bulletin(その1):2025年の高度な脅威に関する動向予測(Kaspersky)
・国家支援の攻撃グループは、パッチ未適用のエッジデバイスを攻撃してプロキシ(攻撃の踏み台)ネットワークを構築する
■ソフォス・メディアアラート:ソフォスのエキスパートによる2025年の予測(Sophos)
●(3)ボットなどのIDに対する攻撃
SailPointではアイデンティティ(ID)関連のセキュリティについて予測しています。IDセキュリティ対策が成熟している組織では、期待を上回る高い投資効果が得られているとのことですが、2025年に注目したいのは「マシンアイデンティティ」、つまり人間以外のボットなどが用いるIDの管理とセキュリティです。
・マシンアイデンティティは今後3~5年で約30%増加する。これは、他のあらゆる種類のアイデンティティよりも高い成長率となる
・IDセキュリティ対策が成熟している組織では、マシンアイデンティティへの対応範囲が87%、成熟していない初期段階の組織では28%
・「2025年にマシンアイデンティティ対策が30%増加する」と予測する回答者が3分の1を占める
■SailPoint、組織のアイデンティティ セキュリティ成熟度と将来の見通しをまとめた年次レポート「アイデンティティ セキュリティ調査レポート」2024-2025年版を公開(SailPoint)
●(4)ランサムウェアなどの攻撃も引き続き警戒
大きな被害を出し続けているランサムウェア攻撃は、2025年も引き続き油断のできないサイバー脅威であり続けます。
・医療、教育分野でランサムウェア攻撃は継続する
■ソフォス・メディアアラート:ソフォスのエキスパートによる2025年の予測(Sophos)
生成AIがコーディングを支援するツールが急速に普及していますが、そのコードを狙った攻撃が登場するという予測もあります。
・AIコーディングツールが生成したコードの脆弱性を狙い、インジェクション攻撃が2025年に大きな脅威として復活する
■デベロッパーセキュリティプラットフォームを提供するSnyk、2025年セキュリティトレンドを発表(Snyk)
サイバーセキュリティにまつわる課題が山積していることから、次のような予測もあります。
・CISOへのプレッシャーが増大する。企業がセキュリティ侵害の責任をCISO個人に押し付けることが増えると、セキュリティ担当者のCISO職への関心が低下する
■SecurityScorecard 2025年サイバーセキュリティに関する予測を発表(SecurityScorecard)
CISO(Chief Information Security Officer)は、企業における情報セキュリティの取り組みを統括する重要な職務です。企業がCISOに十分な権限とリソースを与え、さらに経営層や管理職とのコミュニケーションも円滑なものにしなければ、変革を進める能力が抑えられてしまい、重大なサイバー脅威に対して脆弱になってしまうと警告しています。
この連載の記事
-
第216回
ITトピック
データ活用で「全社が十分な成果」は3%未満/SFAはAIエージェント機能が市場成長を牽引/民需も増加の防災システム市場、ほか -
第215回
ITトピック
2026年のテック業界はどうなる? 「今年の動向予測」まとめ《AIとクラウド編》 -
第215回
ITトピック
2026年のテック業界はどうなる? 「今年の動向予測」まとめ《サイバーセキュリティ編》 -
第215回
ITトピック
2026年のテック業界はどうなる? 「今年の動向予測」まとめ《“AI共生時代”の人材・組織編》 -
第214回
ITトピック
セキュリティ人材の課題は人手不足ではなく「スキル不足」/生成AIのRAG導入が進まない背景/日本で強いインフレ悲観、ほか -
第213回
ITトピック
生成AI導入企業の9割が「予想コスト超過」 原因は/富士山噴火に「十分な事業継続対策」わずか5%/AI検索とゼロクリックの実態、ほか -
第212回
ITトピック
AIエージェントの普及スピードは“生成AI超え”/2025年の残業時間、最多の職種は/ミドルシニア採用に注目、ほか -
第211回
ITトピック
要件定義をAIが支援し「工数を半分以上削減」7割超/“日本独自のAI推進モデル”が判明/AIセキュリティ導入の課題、ほか -
第210回
ITトピック
生成AI普及後も「IT技術者採用は減らない」が約8割/今後5年で倍増のデータセンター電力消費、3分の2は米国・中国、ほか -
第209回
ITトピック
脆弱性のあるVPN機器、6割の企業が「すぐ特定できず」/来年注目の“11のIT戦略テーマ”発表/管理職の半数が「燃え尽き」を経験している、ほか -
第208回
ITトピック
日本のクレカ情報、闇市場では世界一高値で売買/東京が2年連続で世界一、DC建設コスト/誤情報・偽情報への企業対策が加速、ほか - この連載の一覧へ
