クリス・ハリス | EMEAテクニカルディレクター
More About This Author >
クリス・ハリス | EMEAテクニカルディレクター
More About This Author >
「Round and round and round we go. Where we stop, nobody knows(ぐるぐる回って、どこで止まるか誰にもわからない)」という子ども向けの有名な歌のフレーズがありますが、急速に進化し続けるAIのメリーゴーラウンドもまさに同じ状況です。セキュリティアナリスト、立法者、一般消費者が、その変化に振り落とされないよう必死にしがみついています。
しかし、AIのジェットコースターは遊園地のアトラクションの一つにすぎません。量子コンピューティングの進展、ディープフェイクの増加に伴う身元確認の強化、世界中の主要な場で最優先事項となりつつあるデータプライバシーの議論など、注目すべき動きは他にもあります。
ここでは、2025年にAIがどのような方向へ進むのか、私たちの見解を紹介します。
2025年、AIはどこへ向かうのか
ChatGPTがリリースされてから、まだ24か月あまりしか経っていないとは信じがたいことです(これが生成AIの大流行のきっかけとなりました)。インターネットがまさに「インターネット」として広く普及して以来、これほどセキュリティ分野で関心を集めた技術はありません。今、私たちは課題と向き合いながら、2025年に何が起こるかを見据えて準備を進めています。
では、具体的にはどのような未来が待っているのでしょうか? 私たちは以下のように予測しています。
AIを悪用したソーシャルエンジニアリングの横行 | 高度に洗練され、言葉遣いも完璧な文章を生成できるAIベースのフィッシング攻撃が増加し、より巧妙なソーシャルエンジニアリングによって侵害件数が増えると予測されます。これには、完璧なスペルや文法、ほぼすべての言語で自然にコミュニケーションできる能力、ユーザーの文体や話し方を分析して模倣するAI生成のプロフィール、さらには声の変換技術やディープフェイク動画などが含まれます。
AIベースの脅威に対応する新たなIAMツール | AIが生成する合成コンテンツの増加により、特に金融業界では、デジタルIDウォレット、生体認証による本人確認、AI/MLを活用した文書検証といったアイデンティティアクセス管理(IAM)ツールの導入が促進されます。
EU AI法の施行 | EU AI法やその他のAI関連法により、安全かつ倫理的なAI利用のために義務付けられる要件を満たす必要が出てくるため、対応に苦慮することになります。段階的なコンプライアンス期限は2025年2月2日から2031年まで続き、毎年少なくとも1つの新たな基準への対応が求められます。
世界的なAI法制化の進展 | 米国ではAI法案が提出される可能性など、AIに関する新たな規制が今後も登場すると予想されます(現時点では、包括的なAI法は存在していません)。英国は2023年の白書で示されたAI規制の枠組みを引き続き実施し、その他の国々もデータ主権の確立とデータプライバシー保護のために、追加のAIガバナンス政策を導入しようとしています。
AI規制サンドボックス | 組織がAIベースのサービスを市場投入前に安全にテストし開発できる、管理された環境であるAI規制サンドボックスが広がる可能性があります(そして、法的な監督の対象となります)。
量子コンピューティングと暗号アジリティ
生成AIが強力だとすれば、そこに量子コンピューティングの力が加わることで、「AIの能力を飛躍的に押し上げ、複雑な問題をより迅速に解決し、より洗練された微妙なニュアンスを含む出力を生み出し、さまざまな分野の謎を解き明かす可能性がある」と言われています。これまでと同様、これには良い面も悪い面もあります。
こうした状況を見据え、NISTは最初のポスト量子暗号標準を公開しました。システム管理者は「できるだけ早く」移行することが推奨されており、NISTはすでに第2弾のアルゴリズム策定に着手しています。そのため、2025年にはクリプトアジリティ(暗号の俊敏性)が主要なビジネス要件となり、大企業では暗号の専門組織(Crypto Center of Excellence)を設置する動きが広がるでしょう。量子耐性暗号に対応するためには、大規模組織は暗号の俊敏性を維持(あるいは確立)する必要があります。
サードパーティおよびB2Bアイデンティティ
サプライチェーン攻撃が社会全体のセキュリティ意識の中で存在感を増すにつれ、サードパーティのアイデンティティはこれまで以上に厳しい精査を受けるようになります。企業はデジタル接続性の拡大という不可避の流れの中で、サードパーティとの関係を広げ続けており、この傾向は今後も続くと見られます。外部アイデンティティは、まもなく内部アイデンティティの3倍に達すると見込まれています。
これにより、組織はこれまであまり注目されてこなかったB2B(企業間)アイデンティティをより深く理解する必要に迫られます。2025年にはこの状況が変化し、B2Bアイデンティティのセキュリティが組織の戦略的セキュリティ計画において、より大きな比重を占めるようになると予測されます。
データセキュリティとプライバシー法規制
現在、米国は包括的なデータプライバシー法規制の面で、EUなどの他の国際機関に後れを取っています。通常は州ごとの意思決定プロセスに委ねられてきましたが、米国のデータプライバシー議論は、今後1年でより連邦レベルへと移行していくと予測されます。
2024年に提出された「米国プライバシー権法(ARPA)」は、依然として承認待ちの状態です。AIの進展(および地政学的脅威)により、個人識別情報(PII)や国家安全保障に関連する連邦政府が保有する機密情報へのリスクが高まるにつれ、この方向性はさらに強まるでしょう。重要インフラに対するリスクが高まる中、米国では包括的な連邦データプライバシー法が、これまで以上に大きな議論になると予測されます。
国際的にも国内的にも、NIS2、DORA、PCI DSS 4.0、英国サイバーレジリエンス法、EU AI法などの新たな規制により、企業は自社の慣行を見直し、ガバナンス、リスク、コンプライアンスを一層強化せざるを得なくなるでしょう。
結論
変化のスピードが非常に速い時代にあって、組織は常に俊敏である必要があります。2025年を順調に乗り越えたいのであれば、チームの準備状況に関わらず押し寄せてくるトレンドに敏感であり続けることが求められます。
デジタル領域での「日常業務」において、AIはますます大きな役割を担うようになります。サプライチェーンは拡大し続けるため、それを安全に拡張するための長期的な計画が必要になります。企業は、将来のコンピューティングやコンプライアンスの変化に適応するための準備を今から始めなければなりません。
チームが将来を見据えて計画を立てる際、一見するとバラバラに見える動向の裏側には、共通するテーマがあります。機密データへのアクセスを保護することは依然として最も重要であり、強力なデータ保護ポリシーを維持できる組織こそが、「全体像」を見失わずに前進し続けることができます。