サイバーセキュリティリーダーが振り返る 2025年の7つの重要ポイント

過去12か月の間、セキュリティチームは、新しいテクノロジーを素早く採用する必要性と、主にAIの台頭によって増幅された脅威の激化との間で、綱渡りを続けてきました。年末を迎えるにあたり、CISOたちは、2025年のセキュリティ情勢を形作ったいくつかの教訓を振り返っています。

1. AIは防御側により大きな力を与えた

2024年がAIのサイバーセキュリティへの浸透が始まった年だとすれば、2025年はそれが主役となった年でした。SmartsheetのCISOであるRavi Soinは、このテクノロジーを「変革的」と表現しています。

「世界中の企業やユーザーで、何らかの形で[AI]の影響を受けていないところは一つもないと言ってよいでしょう」と彼は語ります。

AIは手作業を減らし、広大な攻撃対象領域に対するコントロールを強化しました。Soinによると、AIはコントロールとデータ証拠のマッピングをより迅速に行うのに役立っています。「以前は証拠を手作業で収集し、システムがそれを処理していることを確認していました。しかし今では、これらを非常に効率的な方法でまとめることができます。」

CalendlyのCISOであるYassir Abousselhamによれば、AIはセキュリティチーム、さらにはビジネス全体に大きな生産性向上をもたらし、外部のコンサルティング会社や調査会社への依存度を下げました。「私たちははるかに多くのことができるようになりました。まるで人類の知識すべてをポケットに入れているようなものです。」

2. AIは企業にセキュリティ戦略の再考を迫った

同時にAbousselhamは、AIの急速な導入が、企業に対して安全なプロダクトリリースを維持しつつ変化のスピードに追いつくため、リソースの配分を変えることを強いたと指摘します。彼は2025年を「エージェント型AIの混沌とした導入期」と呼んでいます。

「業界は、このテクノロジーの急速な進化や、あらゆる組織がファーストムーバーになろうとし、実質的にすべて、あるいはかなりの割合の投資を人工知能を活用したプロダクトや機能の開発・展開に振り向けることを、想定も準備もしていなかったと思います。そのトレンドはセキュリティにも影響を与え……私たちに投資の焦点を変えることを強い、一部のケースでは、すでに決めていた多くの優先事項を再計画せざるを得なくしました。」

3. AIは攻撃者の能力を飛躍的に高めた

防御を支えるのと同じテクノロジーが、敵対者にも高速な行動、より精緻な標的設定、かつては人手を要したキャンペーンの大規模化を可能にしました。攻撃スタイルのコントラストはますます鮮明になっています。数か月もの間検知されず、静かにネットワーク内を移動してアクセスを拡大しデータを流出させるキャンペーンがある一方で、数分で実行され、アラートが上がる前に攻撃者が目的を達成してしまうケースもあります。

「より迅速な攻撃は人工知能によって加速されています。脅威アクターは、偵察の自動化、高度にパーソナライズされた誘引の作成、人間の信頼を大規模に悪用する音声・映像ディープフェイクの生成にAIを活用しています」とElasticのCISOであるMandy Andressは述べています。「その結果、技術的な攻撃面と心理的な攻撃面が収束し、人間というリンクを標的にしたり、AIを使って従来のシグネチャベース検知やルールベースシステムを高速で回避したりするようになっています。」

その収束は、最も一般的な侵入経路にもすでに現れています。Soinは、フィッシングやソーシャルエンジニアリングの領域でこれが直接起きていると見ています。「以前は、メールの文法ミスやロゴの不自然さでフィッシングメールを見抜くことができました。今では完璧に作り込まれたメールがあります。ディープフェイクもあります。どれほど高度なシステムであっても侵害され得るのです。本当に未知の領域です。」

HCLTechのサイバーセキュリティおよびGRCサービスのグローバル責任者であるAmit Jainによれば、同じ傾向はツール面でも進行しています。攻撃者はコードの高度化を進めています。「今年最大の新たな脅威はAI主導の敵対者であり、生成AIを使って、回避的な自己変形型の悪意あるコード、ディープフェイク、精密フィッシング、自動化されたエクスプロイト開発を行っていました。」

4. 脅威アクターは今やマシンである

AI駆動の敵対者の台頭は、「脅威アクター」の姿を根本的に変えました。かつてはキーボードの前に座る人間だったものが、今や疲れ知らずでスピードが落ちることなく、絶えず学習を続ける自動化システムになっているのです。

「AIがどんどん賢くなるにつれて、彼らはあなたが導入している防御について学習し、その防御を打ち破るための対抗策を考え出し、過去10年間の脆弱性のうち、まだ露出しているものを遡って探し出し、それらを創造的な方法で悪用してきます」とSoinは言います。

これにより、脅威情勢はまったく新しい領域へと押し出されました。「サイバーの観点から見て、私たちは非常に未知の領域にいます。AIという概念によって、脅威アクターがより賢く、より巧妙に攻撃できるようになってしまったのです。」

5. 非人間アイデンティティが爆発的に増加した

組織がAIエージェント、自動化パイプライン、マシン間ワークフローの導入を急ぐ中で、Abousselhamは、これが非人間アイデンティティの爆発的増加につながったと考えています。彼は、ワークフロー自律化ツール、API駆動の連携、MCPクライアントなど、あらゆるAIエージェントが、権限、アクセスレベル、ライフサイクル管理を伴う独自のアイデンティティを必要とするようになっており、そのペースは多くのセキュリティチームが想定していたよりもはるかに速く加速していると説明します。

このマシンアイデンティティの増加は、人的リソースだけでなく、大規模なアイデンティティ運用を可能にする新たなソリューションやテクノロジーへの大きな投資をすでに促しています。

「これらのアイデンティティをどのようにオンボードし、維持し、管理するかについて、加速が求められています……これらのエージェントがガバナンスの下で適切に管理され、正しく認証・認可され、そのライフサイクルの終わりには廃止できるようにしなければなりません」とAbousselhamは言います。

そして、このシフトはAIエージェントだけに限定されるものではありません。Andressは、アイデンティティのスプロールが進む中で、業界は人間および非人間のアクセスを支える設定やコントロールといった基礎に、改めて注力していると述べます。「これには、APIキー、トークン、サービスアカウントといった非人間アイデンティティの保護も含まれます。これらは攻撃者にとって一般的な侵入経路となっています」と彼女は言います。

6. サードパーティリスクが主役となった

2025年を通じて、組織がテクノロジースタックを拡張し、より多くのSaaSプラットフォーム、AIツール、自動化された連携を採用するにつれ、サードパーティを介した攻撃の重要性は急速に高まりました。

Salesforceのような主要サービスプロバイダーが関与した最近の侵害を例に挙げながら、Soinは、こうした大規模なインシデントは、組織のリスク対象領域が自社の境界をはるかに超えて広がっていることを思い起こさせるものだと言います。「企業がサードパーティのソフトウェアに依存するようになると、そのスタックがどのようなものかをしっかりと考え、企業がセキュリティを最優先に据えているテクノロジーに依存していることを確実にすることが、いっそう重要になります」と彼は述べます。

Jainは、2025年が、組織がガバナンスやベンダー管理に取り組む姿勢において転換点となったと見ています。コンプライアンス、ガバナンス、レジリエンスの間により強い整合性が生まれ、それが自動化、高度な分析、継続的なサードパーティアシュアランスによって支えられていたと指摘します。「要するに、2025年は、サイバーセキュリティが孤立したセキュリティ機能ではなく、共有されるビジネス責任へと自らを押し上げた年だったのです。」

より強固なガバナンスと自動化された監督が枠組みを提供する一方で、Jainは、最終的には組織の全員の日々の意思決定がセキュリティを左右すると強調します。「真のセキュリティは、習慣、行動、文化から生まれます。あらゆるクリック、あらゆる決定、あらゆる設定、あらゆるサードパーティ連携が、今や重みを持つのです。」

7. 規制圧力が取締役会を直撃した

2025年には政府の監督がより厳格になりました。Jainによれば、規制は、より迅速な報告、より厳しいコントロール、そしてシニアリーダーシップレベルでの説明責任を求めるようになりました。「取締役会はもはやコンプライアンスチェックリストに満足していません。彼らは、リスク最適化という観点でのROIを伴う測定可能なレジリエンス、実証された備え、継続的なレポーティングを期待しています。これによりサイバーセキュリティは戦略的なレバーとなり、M&Aの意思決定、サプライチェーンパートナーシップ、さらには市場投入戦略にまで影響を与えるようになりました。」

一方で、IRAP、ISO、NISTといった国際的なフレームワークは、より厳格に適用されるようになっているとSoinは言います。「標準そのものは、私たちが思うほど大きく変わってはいないかもしれません。しかし、それらの標準の適用は厳しくなっています。たとえば、お客様との契約や、お客様からの期待に関する規制が、以前よりもはるかに多く見られるようになっています。そしてそれは正当な理由によるものです。」