これからの1年についての4つの予測

年末年始は、世界がどのように変化してきているかを振り返り、変化に応じて準備できるように方向性を見直すのに最適なタイミングです。 

世界中で活躍するビジネスやIT、サイバーセキュリティのリーダーとの数え切れないほどの会話、そしてZscalerの従業員の専門知識を基に、私は4つの予測を導き出しました。これは、リスクと脅威の状況、技術の変化、多数の組織でのゼロトラスト アーキテクチャーの採用、経営幹部と取締役会が果たす役割に関するもので、CEOの皆様がこれからの1年、最優先で検討すべき内容だと考えています。

リスクや脅威の状況の変化によって経験豊富なリーダーも対応に苦慮する

企業は、攻撃者の格好の標的となっています。金銭を目的としたサイバー犯罪者は、ランサムウェア攻撃を仕掛けて、業務の中断を回避しようとする企業から記録的な額の身代金を奪っています。また、他にも国家支援型のハッカーなどは、企業に侵入して知的財産や企業秘密を盗み、競合に対しての商業的優位性を獲得しています。さらに、重要インフラが国家支援型のサイバー攻撃に狙われる状況も定期的に発生しています。こうした攻撃は、標的の環境に密かに忍ばせ、緊張が高まった際に発動できるように設計されています。企業は厳しい状況に置かれているのです。

国家がテクノロジーを兵器化し、インフラの妨害や情報の収集に利用するなか、サイバー攻撃は地政学的な緊張によって急増しています。ロシアによるウクライナ侵攻、中東の紛争、中国と台湾の緊張の高まりからもわかるように、リスクの状況は日々変化しています。

組織のリーダーは、サイバー防御態勢について自信を持っていなければなりません。現在の防御で攻撃を食い止めることができるか、経営陣は直面している脅威とリスクを完全に把握しているか、脅威を未然に阻止するためにCEOはどのようなリーダーシップをとることができるかと、自問してみる必要があります。

サイバー防御を改善するために多数の組織がゼロトラスト アーキテクチャーを採用する

2025年、真のゼロトラストを採用していない企業は、侵害やランサムウェア攻撃に対してますます脆弱になっていきます。

ファイアウォールベースの「城と堀」型の古いセキュリティ モデルは、効果がないことが何度も証明されています。ネットワークに侵入した攻撃者は、ラテラル ムーブメントを通じて広範囲に被害をもたらします。ゼロトラスト アーキテクチャーは、もはやバズワードの域を超え、必要不可欠なものとなっています。インターネットをオープン ネットワークとして扱い、アクセスを許可する前にすべてのユーザーとデバイスを検証することで、組織は攻撃対象領域を大幅に削減できます。オフィスや拠点、工場をセグメント化することで、侵害した1台のデバイスから攻撃者がネットワーク上を水平方向に移動して最も機密性の高いデータにアクセスすることを瞬時に阻止します。

ゼロトラストの登場によって、ファイアウォールやVPNベースの古いセキュリティの市場に創造的破壊が起こるなか、従来のテクノロジーを扱うベンダーはファイアウォールやVPNをクラウド上の仮想マシンとして展開し、それをゼロトラスト アーキテクチャーと呼んでいます。これは、DVDハードウェア ベンダーがデータ センターにDVDプレーヤーを配置し、それをNetflixと呼ぶようなものであり、お客様に間違った安心感を与えています。ゼロトラストは、すべてを信頼できないものとして扱い、ユーザーを組織のネットワークではなく特定のアプリケーションやサービスに接続する仕組みであり、組織は本当の意味でのゼロトラスト アーキテクチャーを採用する必要があります。

多くの組織がサイバー犯罪の被害に遭うなかで、予防は事後対応に勝るということが証明されていくでしょう。Fortune 500の45%がZscalerを採用している理由はここにあります。

AIの使用における戦略の変化によってチャンスとリスクが生まれる

AIによって、これまで不可能だったことが可能になるようなすばらしいチャンスが生まれています。そして今、AI、特に生成AIの活用方法に関する戦略に変化が起ころうとしています。AIと機械学習を活用することで、大量のデータをふるいにかけ、異常を特定し、脅威をより迅速に検出することが可能です。Zscaler Breach Predictorのようなサービスは、攻撃者に対抗し、形勢を逆転するための手段として好例と言えます。

残念ながら、サイバー防御におけるAIの活用は、脅威アクターによるAI悪用に比べて後れをとっています。企業は、過去30年間標準とされてきたファイアウォールベースの「城と堀」の防御戦略からの脱却に抵抗を覚え、惰性で前に進めずにいます。組織のセキュリティ支出のうち、最も多くを占めるのがファイアウォールとVPNです。このような硬直した状況を打破するには、ずっとそうだったからという理由だけで新しい発想が拒まれることのないよう、変化への対応について経営陣が積極的な役割を果たす必要があります。

AIの可能性を理解していなければ、非常に不利な立場に立たされます。ハッカーはChatGPTなどの公開された生成AIツールを悪用して、侵入口となる弱点としてパブリックIPを探り、組織の攻撃対象領域を特定することで攻撃の偵察フェーズを加速させるとともに、従業員の資格情報を盗むために本物と見分けがつかないようなフィッシング メールを作成しているのです。

ハッカーは、今この瞬間もAIを悪用しています。攻撃を予防するための最も効果的な対応として、ゼロトラストとAIを活用する必要があります。

サイバー リスク管理におけるCEO、CFO、取締役会の重要性は引き続き高まっていく

私はサイバー脅威はすべての組織にとって最大のリスクだと考えており、これからの1年、経営陣や取締役会の関与はさらに拡大していくと予測しています。

CEOは、サイバーセキュリティ戦略に自ら積極的に関与し、サイバー インシデント対応計画のテストを監督して、サイバー リスクが重要なビジネス機能に与える影響を理解する必要があります。また、CFOは、必要に応じて保険料の引き下げを要求できるよう、組織のサイバー リスクを効果的に定量化、追跡することが求められます。ZscalerのRisk360は、まさにそれを実現する製品です。

サイバー脅威やテクノロジーに関するリスクの監視は、大きく複雑なトピックとして取締役会の課題となり続けていますが、組織の取締役会は進歩を続けており、私も目を見張っています。今後は、専任のサイバー リスク委員会がより一般的になり、CIOとCISOは定期的に取締役会に報告を行うようになるでしょう。また、専門的なサイバー スキルを持つ取締役がますます採用されるようになります。取締役の間でサイバー リスクについての学習に関心が高まっていることを嬉しく思っています。サイバー リスクについての学びを深めたい方は、出発点としてZscalerの取締役会向けeBookをご確認いただければ幸いです。

*******

2025年のサイバーセキュリティの目標達成に向け、Zscalerがお役に立てることがございましたら、ぜひお知らせください。