Inside the Mind of a CISO 2025: Resilience in an AI-Accelerated Worldによると、ハードウェア、API、ネットワークの脆弱性が急増しており、組織は新たなリスクにさらされています。
Bugcrowdによる年次レポートは、9月23日に公開され、世界中のバグバウンティおよび脆弱性公開プログラムから収集された数十万件の脆弱性データに基づいています。
AIが攻撃対象領域を拡大
この調査によると、AI支援によるソフトウェア開発はイノベーションを加速させる一方で、攻撃対象領域も拡大させています。
迅速なリリースサイクルで展開されるアプリケーションは、アクセス制御、データ保護、ハードウェアセキュリティにギャップを残すことが多くなっています。同時に、攻撃者はAPIなど見落とされがちな侵入口を悪用しています。
「私たちはハイリスクなイノベーション競争の中にいますが、AIの進歩ごとにセキュリティの状況は飛躍的に複雑化しています」とBugcrowdのCISO、Nick McKenzie氏は述べています。
「攻撃者はこの複雑さを突いてきますが、依然としてハードウェアやAPIといった基盤層を狙っています。どのCISOも単独ではこの競争に勝てません。」
iCOUNTERのCEO、John Watters氏は「CISOは常に、ほぼ無限の攻撃対象領域と未解決の脆弱性が克服困難な問題であることを認識してきました」と警告しています。
彼の見解では、防御側は「誰もが最初の感染者となる」新時代に直面しており、従来の攻撃手法の再利用という予測可能性は新たな脅威に取って代わられています。
CISOの課題についてさらに読む: CISOの進化する役割:セキュリティ専門家から戦略的コミュニケーターへ
基盤的な脆弱性も依然増加中
Bugcrowdの2025年分析では、いくつかの注目すべき傾向が明らかになりました:
-
IoTの普及に伴い、ハードウェアの脆弱性が88%増加
-
セキュリティ研究者の81%が過去1年で新たなハードウェアの脆弱性を発見
-
重大な脆弱性に対する報奨金が32%増加
-
アクセス制御の破損による脆弱性が36%増加し、現在最も多いカテゴリに
-
機密データの漏洩が42%増加
-
APIの脆弱性が10%増加
-
ネットワークの脆弱性が倍増
Noma SecurityのCISO、Diana Kelley氏は「アクセス制御の破損や機密データの漏洩といった基盤的な問題が依然として最重要課題です」と指摘しています。
彼女は、エージェンティックAIシステムが自律的な意思決定能力を持つことで、強固な監視や権限管理がなければこれらの課題をさらに悪化させる可能性があると警告しました。
CISOの役割の進化
このレポートはまた、CISOが技術的な深さとより広範なビジネスとの整合性を両立させる中で、責任が変化していることも反映しています。
「CISOという存在は、より広範なビジネスの議論に不可欠な存在です」とBlack DuckのCISO、Bruce Jenkins氏は述べています。しかし、彼は「対外的な義務がCISOの主たる責任、すなわちサイバーセキュリティによる脅威からビジネスを最も積極的に守ることを妨げてはならない」と強調しました。
ColorTokensのチーフエバンジェリスト、Agnidipta Sarkar氏もこの進化に同調し、規制がCISOを「アジャイルかつ協調的なサイバー実践を通じたビジネス推進とのより強い整合性」へと導く主な要因であると指摘しました。
Cequence SecurityのCISO、Randolph Barr氏は、AIによるなりすましのリスクが高まっていることを強調しました。「これはフィッシングを超えたもので、調査とAIによって裏付けられた標的型なりすましです。」
彼は、階層的なセキュリティ制御は「人的ミス」を責めるだけでなく、こうした高度な攻撃をリアルタイムで検知・阻止する必要があると主張しました。
Bugcrowdのレポートは、集団的な知見と継続的な攻撃的テストが、激化するデジタル脅威に耐えるために不可欠であると結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/critical-security-flaws-grow-ai-use/