CyberArk Softwareは11月27日(米国時間)、「Cybersecurity Predictions for 2024 and Beyond」において、2024年以降のサイバーセキュリティの予測について伝えた。これはCyberArkの調査、顧客やパートナとのやり取り、業界のコラボレーションに基づくものだという。

  • Cybersecurity Predictions for 2024 and Beyond

    Cybersecurity Predictions for 2024 and Beyond

2024年予測としては、セッションハイジャックが従来の認証情報の窃取に取ってかわることが挙げられている。企業や組織はサイバー攻撃からシステムを保護するために、認証にパスキーや多要素認証(MFA: Multi-Factor Authentication)など、パスワードを使用しないアクセス管理への移行がさらに進むとみられている。このため、脅威アクターはこれら強力な認証メカニズムをバイパスするために、セッションハイジャックに戦術を切り替えていくとCyberArkは予測している。

2024年の企業や組織はセッションやCookieの悪用、侵害に対するセキュリティの確保、監視、対処に継続的に警戒することが重要とのことだ。特にGoogleがCookieを完全に消去する予定としているため、これに対抗する革新的な攻撃に注意が必要としている。

また、2024年は企業や組織の55%がセキュリティを簡素化するために、技術の統合を促進すると予測している。ほとんどの企業のセキュリティ環境はすでに複雑で管理が困難になっている。このため、企業や組織の55%は技術の統合を加速することになり、協力するベンダーやシステムの数を減らし運用を簡素化して既存のリソースの最大化を目指すとみられている。

  • 2024年以降のサイバーセキュリティ予測 - 提供:CyberArk

    2024年以降のサイバーセキュリティ予測 引用:CyberArk

生成AIの出現により、これからの企業や組織は生成AIを活用したサイバーセキュリティを採用するとみられているが、CyberArkは2025年にその80%がAIのセキュリティを保護できずにリスクの悪循環が起きると予測している。加えて、2025年は全米の上位2000社の最高情報セキュリティ責任者(CISO: Chief Information Security Officer)の60%が自身のキャリアと評判のため、透明性のある迅速な情報開示の実践を支持するようになるとしている。

さらに、2026年には全米の上位500社のほぼ半数がAIセキュリティ最高責任者を探すことになると予測している。この責任者は技術的な専門知識とビジネスの洞察力の両方を兼ね備えた人材で、AIの推進、リスクの管理、AIのセキュリティモデルの保護において役割を果たすと見られている。また、2026年の世界の上位企業60%は生成AIの利用拡大により、増え続けるデータ保護と侵害開示要件に準拠するのに苦労すると予測している。規制当局の調査が拡大することにより、多くの組織がコンプライアンス違反の罰金に直面することになり、壊滅的な影響をもたらす可能性があるとしている。

最後に、2026年の世界の主要国は国家による攻撃を阻止し、加害者の責任を追求するためのサイバーセキュリティ・ジュネーブ条約の制定を推進すると予測している。脅威グループの能力が向上するにつれ、国家の重要インフラなどを標的とした攻撃が発生する可能性があり、広範囲の混乱、生命を脅かす機能停止、ソフトウェアサプライチェーンへの波及的な被害が予想される。このため、戦争へのエスカレーションが懸念されるようになり、世界の主要国はサイバーレジリエンス、法的枠組み、国際協力を強化するための処置を講ずることになるとの見解を示している。