サイバーセキュリティニュース: Tenable の専門家により 2025 年に予測されていること

2025 年には、サイバーセキュリティのどのようなトレンドが最も影響力を持つでしょうか。 AI セキュリティ、データ保護、クラウドセキュリティなど、新しい年に注目するべきサイバー問題に関する Tenable の専門家の 6 つの予測をご覧ください。

1 - AI 使用の急増に伴い、データ保護の重要性が増加

AI ツールは大量のデータに依存するため、AI の採用が広がればデータの量も指数関数的に増加します。 さらに、このデータは位置、アカウント、アプリケーションが複雑に入り組むマルチクラウド環境全体に広がります。 その結果として、サイバー犯罪者は AI システムを標的にしてデータにアクセスし、流出させる機会が増えるでしょう。ハッカー自身が、攻撃を合理化して拡大できる仮想アシスタントなどの強力な AI ツールを活用している場合はなおさらです。



このように高度な AI 攻撃ツールと豊富なデータが融合することにより、組織が進化するサイバー脅威に先手を打つことはますます困難になると予想されます。 しかし、組織は AI の使用を思いとどまってはなりません。安全で責任ある AI 採用のための堅固な戦略を立て、AI をリスクの高い問題と見なすことよりも、むしろ組織のシステムに AI を安全に組み込むことに注力する必要があります。 最終的に、データはビジネスに力を与える燃料になるからです。

データセキュリティポスチャー管理 (DSPM) と AI セキュリティポスチャ―管理 (AI-SPM) に関する詳細については、Tenable の以下のリソースをご覧ください。

• 「Data and AI Security Posture Management (データセキュリティポスチャー管理と AI セキュリティポスチャ―管理)」(動画)
• 「クラウドデータと AI リソースの保護が決め手になるクラウドセキュリティ態勢の要塞化」(ブログ)
• 「Know Your Exposure: Is Your Cloud Data Secure in the Age of AI? (環境内のエクスポージャーを把握: AI 時代のクラウドデータは安全か)」(オンデマンドウェビナー)
• 「データ要素: DSPM の統合が CNAPP 戦略の鍵となる」(ブログ)
• 「DSPM と CNAPP の統合」(インフォグラフィック)

動画

Integrated DSPM features - enable data protection today! (DSPM 機能を統合してデータ保護を始めよう)

2 - CISO はマルチクラウドセキュリティプラットフォームに目を向ける

クラウドに関して言えば、企業は「すべての卵を 1 つのカゴに盛る」ことに慎重になってきています。 単一のクラウドサービスプロバイダーに完全に、またはほぼ依存することはリスクが高く、制約も大きくなります。 そのため、組織はベンダーロックインを避けてクラウドの選択肢や柔軟性を増やすようになり、2025 年にはマルチクラウド環境が標準になるでしょう。 

その結果、来年にはますます多くの CISO が、複数のクラウドベンダーの環境を保護できるセキュリティプラットフォームを採用するようになるでしょう。これにより、クラウドセキュリティとコンプライアンスの集中化、一貫した監視と管理といった利点を享受できるようになります。

Tenable Cloud Security の製品および研究担当 VP である Liat Hayun がこのトピックについて語る、こちらの短い動画をご覧ください。


マルチクラウドセキュリティの詳細については、Tenable の以下のリソースをご覧ください。

• 「Who’s Afraid of a Toxic Cloud Trilogy? (有毒なクラウドの 3 大特性を恐れるのは誰?)」(ブログ)
• 「AWS・Azure・GCP 向けの総合的なセキュリティ: マルチクラウド環境におけるクラウドネイティブアプリケーションの包括的な保護 」(ホワイトペーパー)
• 「アイデンティティ管理によるクラウドセキュリティ対策」(ブログ)
• 「クラウド採用プロセスにおける意思決定者の主要な課題についての意見」(ブログ)
• 「Understanding Cloud-Native Application Protection Platforms (クラウドネイティブアプリケーション保護プラットフォームを理解する)」(ガイド)

3 - 侵害発生後のコストが急増し、復旧ツールへの注目が高まる

侵害がますます頻繁になり、侵害発生後のコストが上昇するにつれ、企業はどのデータが侵害されたのかを批判的に検討し、復旧戦略を立て直す必要に迫られています。 IBM によれば、2024 年のデータ漏洩の平均コストは 10% 増加して約 500 万ドルでしたが、特にクラウドを多用する業界では、真に損害を生じさせるのはダウンタイム、評判の悪化、規制違反の制裁金です。 

 
2025 年、企業はより堅固な侵害後のプレイブックを策定して侵害の影響を最小化し、迅速なインシデント対応、データの可視化、封じ込めプロトコルの改善、フォレンジック能力の強化に集中するようになるでしょう。 この変化はサイバーセキュリティの進化の広がりを示すものであり、組織は侵害の防止と効果的な復旧の両方を優先し、よりバランスの取れたアプローチを採用するようになります。

クラウドのデータセキュリティとクラウドでのデータ侵害防止に関する詳細については、Tenable の以下のリソースをご覧ください。

• 「2024 年 Tenable クラウドリスクレポート」(レポート)
• 「クラウド環境を保護し、データ侵害を阻止する」(ブログ)
• 「Know Your Exposure: Is Your Cloud Data Secure in the Age of AI? (環境内のエクスポージャーを把握: AI 時代のクラウドデータは安全か)」(オンデマンドウェビナー)
• 「CISA and NSA Cloud Security Best Practices: Deep Dive (CISA と NSA のクラウドセキュリティのベストプラクティス:もっと詳しく)」(ブログ)
• 「Empower Your 2025 Cloud Security Planning with Tenable's Data Insights (Tenable のデータインサイトで 2025 年のクラウドセキュリティ計画を強化する)」(オンデマンドウェビナー)

4 - CISO は AI やクラウドの採用とセキュリティとのバランスを取るよう迫られる

組織が効率性と投資利益率を優先するようになったことに伴い、AI やクラウドといったテクノロジーの採用は急激に増え続けています。 しかし、これにより知識のギャップという課題が生じます。 多くのユーザーや組織は、こうしたテクノロジーを包括的に理解して保護するために必要な教育やトレーニングについていくために四苦八苦しています。

 
そのため、 自分たちの備えが追いつかないほどに複雑化し、急拡大している AI やクラウドのようなイノベーションを、どのように保護すればよいのかという差し迫ったジレンマが生じます。 2025 年、CISO はテクノロジーの採用推進と、そうしたツールのセキュリティおよび回復力の確保を両立させるという課題を抱えるようになるでしょう。 組織にとって、このギャップをできるだけ早期に埋めることが重要になるはずです。

CISO がクラウドの採用と AI セキュリティのバランスをどのように取るべきかについて詳しくは、以下をご覧ください。

• 「A CISO game plan for cloud security (CISO のクラウドセキュリティ計画)」(Infoworld)
• 「How CISOs can balance the risks and benefits of AI (CISO が AI のリスクとメリットのバランスを取るための方法)」(CSO)
• 「The CISO's Guide to AI: Embracing Innovation While Mitigating Risk (CISO のための AI ガイド: リスクを軽減しながらイノベーションを受け入れる)」 (SANS Institute)
• 「How Will AI Change the CISO Role? (AI は CISO の役割をどのように変えるか?)」(InformationWeek)
• 「8 cloud security gotchas most CISOs miss (ほとんどの CISO が見逃しているクラウドセキュリティの 8 つの落とし穴)」(CSO)

5 - サイバーセキュリティへの包括的なアプローチを行う組織が成功を収める  

アタックサーフェスが拡大を続け、攻撃者がさらに狡猾になっている中で、サイバーセキュリティチームは断片化された脆弱性データと脅威インテリジェンスデータの大洪水に直面するでしょう。 従来の線形的な攻撃は影を潜め、多面的かつ迅速な侵入が増加し、複数の侵入口を狙うようになっています。このようにますます混沌とする状況の中では、「すべてを、どこでも、一度に」修正できないため、文脈が非常に重要になります。

 
成功を収めるのは、ビジネスに対する最大のリスクと最も重要な脆弱性の把握を優先している企業です。 文脈を重視するアプローチによって脆弱性管理を再定義すれば、サイバーセキュリティチームは戦略的かつ迅速に、より正確な対応を行うことで脅威を効果的に軽減できるようになります。

包括的なサイバーセキュリティにおけるリスクの文脈の重要性の詳細については、Tenable の以下のリソースをご覧ください。

• 「 エクスポージャーは関連情報に照らし合わせてとらえることが最も重要です」(ブログ)
• サイバーエクスポージャー管理: サイバーリスクに先手を打つ方法 (ガイド)
• 「From Frustration to Efficiency: Optimize Your Vuln Management Workflows and Security with Tenable (フラストレーションから効率へ: Tenable による脆弱性管理ワークフローとセキュリティの最適化)」(オンデマンドウェビナー)
• 「サイバーセキュリティ企業が直面している 3 つの課題 と サイバーエクスポージャー管理プラットフォームの活用による解決」(ホワイトペーパー)
• 「データを行動に変える: インテリジェンス主導の脆弱性管理」(ブログ)

6 - 2025 年をサイバーセキュリティに関する透明性と説明責任の年にしよう 

2024 年の終わりにあたって感じるのは、昨年と同様に、あまりに多くのサイバー攻撃が、あまりに多くの人々とあまりに多くの組織に影響を与えてしまったということです。 個人情報がダークウェブ上で晒されている人々は、説明を受ける権利があり、責任を負うべき者は追及されるべきです。システム障害により医療記録にアクセスできない人々は、より良いサービスを受ける権利があります。キーレス技術がハッキングされたために車を盗まれた人は、正義によって報われなければいけません。

 
完璧を求めるのは不可能です。ミスは起こるものですし、私たちは皆人間です。しかし、問題が見つかったときにどう対応するかで、結果はまったく変わります。 それは私たち全員にかかっています。すべてのレベルにおいて、説明責任が必要なのです。 サイバーセキュリティ分野における、説明責任の曖昧化という文化をなくす必要があります。 

Tenable が自社のセキュリティ手法を明らかにし、サイバーセキュリティコミュニティから学んだ教訓を共有しているブログ記事をいくつか紹介します。

• 「Tenable Partners with CISA to Enhance Secure By Design Practices (Tenable、CISA と提携し、セキュリティ・バイ・デザインのプラクティスを強化)」
• 「 Tenable が CISA の「セキュア・バイ・デザイン（Secure by Design）」誓約をどのように実現しているか」
• 「クラウド セキュリティ プログラムを確立するための ベストプラクティスと教訓」
• 「Making Zero Trust Architecture Achievable (ゼロトラストアーキテクチャを実現する)」
• 「Tenable のソフトウェア更新プロセスは、害を与えない安全設計により顧客のビジネス継続性を保護」