写真：クラウド Watch

　CyberArk Software株式会社は18日、サイバーセキュリティの現状について説明会を開催し、執行役社長の柿澤光郎氏が2024年を振り返るとともに、2025年以降の予測を語った。 【画像】サイバーセキュリティに関する脅威意識調査 　柿澤氏はまず、「2024年版 サイバーセキュリティに関する脅威意識調査」を基に2024年を振り返り、「日本では、96％が過去1年間でアイデンティティ関連の侵害を2回以上経験しており、ほぼ100％がサイバー防御にAIを活用している」とした。 　また、人間にひもづくヒューマンアイデンティティに加え、アプリケーションやデバイスにひもづくマシンアイデンティティが急増しているとし、「日本の回答者の半数以上が2025年末までにアイデンティティの数が3倍に増加すると予想している」と言及、「アイデンティティが増えることにより、そこを狙った攻撃も増える」と警告した。 　「マシンアイデンティティの増加は非常に重要なトレンドになる」と柿澤氏。CyberArkでは、10月にVenafiという企業を買収したが、それもこのトレンドに対応する動きだという。「Venafiを買収したことで、マシンアイデンティティとヒューマンアイデンティティの両方を守るトータルソリューションが提供できるようになる」と柿澤氏は説明している。 　2025年の予測については、「サイバーレジリエンスへの注目が高まる」と柿澤氏。その理由の中でも重要なのは、欧州で制定されたサイバーレジリエンス法（CRA：Cyber Resilience Act）だ。これは、システムの柔軟性と攻撃耐性を重視したもので、「企業はどのような攻撃を受けても事業を継続できるよう戦略を立てなくてはならないことが、CRAによって浮き彫りになった」と柿澤氏はいう。 　また、2025年は「マルチクラウドやハイブリッドアーキテクチャへの移行が進むとともに、クラウドネイティブ環境が攻撃の標的になる」という。マルチクラウドやハイブリッド環境への移行が進む背景は、特定のベンダーへの依存を減らし、コスト競争力と柔軟性を高められるためだというが、「これに伴いクラウドネイティブ環境も拡大すると同時に、新たな攻撃を生み出すことにもなる」としている。 　AIの進化も、サイバーセキュリティの新たな局面を切り開いている。AIは生産性向上ツールとして急速に普及が進んでいるが、攻撃者にとっても魅力的な攻撃対象となっているためだ。「AIが生体認証を突破し、音声や映像によるフィッシング攻撃も登場している」と柿澤氏は述べ、同氏自身もウェブ会議で偽のCEOと対話する被害に遭ったと明かした。 　デジタル証明書の管理も重要な課題になると柿澤氏は述べる。GoogleとAppleは証明書の有効期間を大幅に短縮する計画で、セキュリティ管理の自動化が急務となっているのだ。「特に日本企業は、証明書管理の自動化において海外より遅れており、これが新たな攻撃リスクとなる可能性がある」と柿澤氏は警告している。 　さらに、将来を見据えた量子コンピューティング時代への準備も始まっているという。現時点では即時の対応は難しいものの、既存の証明書や暗号化技術の棚卸しは可能だとして、「買収したVenafiには、ディスカバリ機能がある。これを活用して棚卸しを進めることで、次世代の暗号化技術に対応する準備ができる」（CyberArk Software ソリューションズ・エンジニアリング本部長 佐野龍也氏）としている。 　こうした状況をふまえ、柿澤氏はCISOへのメッセージとして、「サイバーセキュリティを企業統治および戦略的計画に組み入れることが重要だ」と強調する。「セキュリティは、デジタル開発の最初から組み込むべき本質的な要素だ。つまり、『Security By Design』の考え方が重要で、システム、ネットワーク、データガバナンスのすべての段階で適用しなくてはならない」（柿澤氏）。 　また柿澤氏は、サイバーセキュリティを単なるコストとしてではなく、「サイバーハイジーン」としてとらえることの重要性も訴えている。「現状を正確に把握し、継続的に必要な対策を講じることは、企業価値にも影響を与える。3年～5年といった中長期的な視点でサイバーセキュリティに投資し、脅威環境に対応し続けてもらいたい」と柿澤氏は語った。