2025年のデジタル・セキュリティ動向

掲載:2025年01月22日

執筆者:執行役員 兼 プリンシパルコンサルタント 内海 良

コラム

みなさん、こんにちは。ニュートンの内海です。
いよいよ2025年が始まりましたね。
昨年を振り返ると、2024年のデジタル・セキュリティ業界も様々な動きがありました。
生成AIはさらなる進化を見せ、VMwareをはじめとする海外ベンダーの買収劇は円安の影響も相まってIT運用コストを逼迫させ、相変わらずランサムウェアとサプライチェーン攻撃による被害が止まない中、年末には日本のインフラ企業を、何らかの意図を持って攻撃するようなDDoS攻撃が多発しました。
そして、2025年。毎年、激動の年と言われているような気がしますが、今年も多分に漏れず、激動の年と言われています。
本年最初のコラムである今回は、昨年のデジタル・セキュリティ業界を振り返り、2025年の動向を予測してみたいと思います。

         

2024年のデジタル・サイバーセキュリティ業界を振り返る

システム、セキュリティのいずれにおいても「可用性」が勘所に

2024年はシステムの可用性に関するニュースが多い年でした。例を挙げると、まず、その際たるものが、グリコ社とCrowdStrike社のインシデントでしょう。

グリコは基幹システムのモダナイズに着手した結果、システム移行に手間取り、約2か月以上もの間、ほぼ全てのチルド食品(冷蔵品)が出荷できなくなり、システム移行に総額約340億円を投資した末に、約200億円の損失を計上しました。チルド食品(冷蔵品)のみの出荷が遅延ということから、長年の運用でアプリケーションの計算ロジックにさまざまなカスタマイズが入り、全て解読できずに移行したがゆえのインシデントと推測します。この出来事をきっかけに、「2025年の崖」と言われて久しいレガシーシステムの移行が経営課題であることを痛感した方も多いのではないでしょうか。
また、CrowdStrike社の提供するEDRの更新プログラムの不具合により、Windows端末がブルースクリーンとなり、起動しなくなるというグローバル規模でのインシデントが発生したのも記憶に新しいところです。数日程度で収束したとはいえ、世界中で業務継続の危機が発生し、不測の事態への備えの重要性を強く感じる事態でした。

また機密性・完全性に注目されがちなセキュリティ面でも、可用性が重視されるインシデントが多数発生しました。相変わらずランサムウェアとサプライチェーン攻撃が大きなトピックの一つで、海外では英国の国民保健サービス(NHS)、国内ではKADOKAWAやイセトーなどへの被害が大きく取り上げられました。
NHSはランサムウェア感染により、ロンドンの複数の病院で800件以上の手術ができない事態に陥る被害が発生し、英国で大きな混乱をもたらしました。
KADOKAWAは、サイバー攻撃による対応の真っ只中で身代金に関する対応の報道がなされたり、SNSで正しくない情報が拡散されたりと、脅威アクターへの対応のみならず、報道機関やSNSへの対応も考慮しなければならないという、サイバー攻撃対応の新局面が生まれた事案でした。個人的にはサーバーをシャットダウンしたにも関わらず、攻撃者にリモートで起動され、やむを得ずデータセンターのネットワークケーブルを自ら抜線する、という報道に身震いしたのを覚えています。エンジニアがバックボーン回線を抜線するというのは、悪夢以外の何ものでもありません。

サプライチェーン攻撃への対処に向けた動きも

多くの金融機関や行政機関の業務を受託するイセトーへの被害は、伊予銀行、東海信金ビジネスなどへの二次被害が発生し、委託元の企業が、ウェブサイト等で被害情報を公表し消費者への対応を行うという、まさにサプライチェーンを巻き込んだ事態となりました。

また、ランサムウェアなどの金銭目的ではなく、諜報活動の一環として機密情報を摂取する、特定の国家が支援している脅威アクターも引き続き暗躍した年だったと言えます。

中国系の脅威アクターであるソルト・タイフーンが米国政府の情報を傍受しているとされ、日本でも数度にわたるJAXAへの攻撃が明らかになりました。
英国の国立サイバーセキュリティセンター(NCSC)は、2024年末に「国家的に重大」かつ「現実的で永続的」なサイバー脅威として、中国、ロシア、イラン、北朝鮮を挙げています。国家機密の諜報活動はおさまる気配がありません。

最後に、セキュリティのコンサルタントとしては、やはりグローバル系のガイドラインの新バージョンが発表されたことに触れないわけにはいきません。とりわけNISTのCyber Security Framework(CSF)が1.1から2.0にメジャー更新となり、ガバナンスの観点が重要視され、トップダウンによるセキュリティガバナンスの重要性が再認識されました。また、同じNISTのガイドラインでも、SP800-171はrev2.0からrev3.0が公表され、暗号化要件などはFIPSが必須ではなくなるなど緩和された部分もあります。

どちらも透けて見えるのはサプライチェーン攻撃への対処です。サプライチェーン企業をターゲットにするサイバー攻撃が増える一方であり、中堅・中小企業も取り組める内容であることが必要だったという背景があったのでしょう。その証左としてCSFは重要インフラ企業向けというタイトルを外し、171はFIPSなどの暗号化要件は中堅・中小企業が準拠するにはコストや技術面で困難であることから、内容が緩和されています。

このように2024年もデジタルやセキュリティ対応が国家や企業にとって重要課題の一つであることは揺るがないことが裏付けられました。

2025年のデジタル・サイバーセキュリティ業界を予測する

では、2025年はどのような様相になるでしょうか。

「2025年の崖」問題に向けた動きが活発化

まずデジタル業界でいえば、先に挙げた「2025年の崖」が大きなトピックの一つでしょう。多くの企業がレガシーシステムのモダナイゼーションに取り組むのは間違いなく、2024年の類似インシデントの教訓も踏まえ、役員も参画する体制で最重要プロジェクトとして推進していくと推測されます。その中で障害も多く発生するでしょうが、常に最悪を想定したリカバリープランを更新し、障害は起きても大きなビジネスインパクトは発生させない姿勢が求められます。

さらに高水準の対策が求められるセキュリティ面

セキュリティで言えば、経済のブロック化に伴い、セキュリティの考え方もブロック化していくのは間違いありません。
第二次トランプ政権の発足は、自国第一主義を第一次政権にも増して推進するでしょう。敵対国に関税を課し、同盟国には軍事費の負担を強いる、この姿勢はセキュリティにも同様で、データは自国(または友好国)以外に出さない、というセキュリティ指針をさらに推進し、他国も追随するでしょう。自国の機密データを守るためのセキュリティやプライバシーに関する法規制やガイドラインへの準拠がさらに求められ、必然的に企業もそのセキュリティ指針に準拠するための対策の強化をせざるを得ないと予想されます。

多分に漏れず、我が国もサイバー対応を強化する指針がすでに、能動的サイバー防御、セキュリティクリアランス、NISCの改組、という形で示されています。能動的サイバー防御により、海外では一般化されていたサイバー攻撃被害発生時の報告義務が企業でも発生し、セキュリティクリアランスの観点で、従業員のバックグラウンドチェックの厳格化は避けられない形になると見られます。これにより、採用プロセスひいては就業規則から見直す形になるでしょう。

企業では数多くの認識制度への対応が課題に

また、経済のブロック化に影響を受け、各国・地域の認証の乱立が進むのも避けられません。米国のCMMC2.0、US-Trust-Mark、欧州のサイバーレジリエンス法、Europrivacy認証、EUサイバーセキュリティ認証制度、英国のCyber Essentialsなどグローバル企業はさまざまな認証制度への対応に悩まされることになると推測します。
国内でも経産省が5つ星からなる「サプライチェーン強化に向けたセキュリティ対策評価制度」(通称 格付け)や、IoT製品のセキュリティ担保を目指すJC-STARの認証制度も本格的に始まり、企業はさまざまな制度に対応しつつ、取組内容の最適化、効果を最大化したセキュリティ・デジタルガバナンスのあり方が問われる形になります。

つまり、2025年はさらに一段階上のセキュリティが求められるといっても過言ではありません。

企業のセキュリティ体制としてCSIRTとSOCが定着しましたが、さらなる実効性が問われる一年になります。SIEMがAIを搭載し、自然言語で膨大なログの海を検索できるようになります。そうするとSOCの内製化が進み、内部不正モニタリングとの統合が進むでしょう。また、SIEMの高度化、機能拡張により、ともすれば日本は遅れていると言われる脅威インテリジェンスの活用も進むと思われます。

まとめ

2025年の予測をまとめると、やはりデジタル、セキュリティ強化の対策を経営課題として取り組むことの重要性が浮き彫りになります。
経営陣は覚悟を持ってこの分野に投資を行い、経営陣も前のめりの姿勢でデジタル活用、サイバーセキュリティの強化に取り組むことが求められます。エンジニアの皆さんは経営陣の理解を得るために、コミュニケーションをさらに増やすことが必要となります。

今年も様々なセキュリティ対応が求められそうですが、インシデントで足を救われることのないよう、気を引き締めて取り組んでいきましょう。