当社は2023年の最重要トレンドを振り返り、それを基に2024年以降の予測を立てました。貴社で今後1年間の最重要戦略を策定し、優先事項を整理される際にお役立てください。
AIは昨年を特徴づけるトレンドでしたが、2024年も圧倒的影響力を持つことは間違いありません。AIは、業務効率をどう上げるか、攻撃者が社内の何を標的にするかなど、企業のあらゆる面に影響を与えるでしょう。また、斬新な形態のインター ネット接続、コンプライアンスの複雑化、予算引き締めによるIT・セキュリティの大変化も予想されます。以下、サイバーセキュリティとITの未来予測トップ10をご紹介します。
衛星経由で60か国以上にインターネットアクセスを提供するStarlinkは現在、事業運営に現地のダウンリンクが必要なため、各国の電気通信規制当局による規制を受けています。2024年にはSpace X社がスターシップを打ち上げ、衛星配備を加速して衛星間光学通信の導入を可能にします。これによって、端末を持つ顧客は、ローカルのダウンリンクなしでインターネットを利用できるようになります。衛星と世界のどこか別の場所にあるダウンリンクの間で、信号の伝送が可能になるからです。その結果、インターネットアクセスに制限を課す力を失う国も出てくるでしょう。Starlinkが利用可能になると、少なくとも1か国の国内政策がバイパスされるでしょう。企業が特定地域へのアプリケーション展開を検討する際は、国の政策と実際の政治情勢の両方を考慮する必要があります。
AIがアプリ開発やWebサイトのコードをうまく提供できるようになると、基本的なフロントエンド開発は速く、簡単になり、コモディティ化します。フロントエンド開発者は、流れに乗り遅れないようにするため、AIと協働する必要があります。そして、フロントエンド開発者として真に抜きんでて成功するためには、創造性、問題解決力、ビジネスセンス、独自の専門知識といった固有スキルで貢献する必要があります。深層学習によるAIの訓練に従来使われてきたフレームワークよりも、新しいフレームワークを利用する方が有利でしょう。フロントエンド開発者がどのフレームワークを選択し、どういった固有スキルを持ち込むかが、雇用市場と開発プロセスの変化に影響を与えるでしょう。
脅威アクターは、企業の成功に不可欠となった新技術を標的にすることが多く、AIも例外ではありません。データ流出など、AIのセキュリティに関する大問題は既に発生していますが、2024年は、脅威アクターがAIモデルそのものを狙う年になるでしょう。企業は、データ漏洩、モデルの複製や盗用、さらにはモデルの改竄(モデルが学習する入力データを変更することでAIの出力を操作しようとする試み)に備える必要があります。自社のAIモデルの安全を確保するには、英国の国家サイバーセキュリティセンタ ー(NCSC)や米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が提供する安全なAIシステム開発のためのガイドラインを参照するとよいでしょう。
2024年は、生成系AIを積極的に導入する企業が、そのコストが馬鹿にならないことを実感する年になるでしょう。AIチップのサプライチェーンの問題、AI用に最適化されたコロケーションスペースの制約、エネルギー価格の上昇など、さまざまな要因によるコスト高が予想されます。その上に炭素排出コストも加わります。投資対効果を生むための明確な道筋がなければ、CFOはむやみな支出を長くは許さないでしょう。
そのため、企業は特に実験段階において、AI展開のための知見と暴走防止策、監視機能を提供できる開発者ツールを実装し、コストを確実に抑制していくと考えられます。開発者はまた、より少ない計算資源でより多くのことを成すよう迫られるでしょう。必要な計算資源を減らす鍵は、基盤モデルから訓練されたタスク固有のモデルです。ソリューションは、サーバー上のシングルGPU、CPUのみのサーバー、ラップトップ、携帯電話など、少ない計算資源 でまかなえるものにしなくてはなりません。
インターネットは今や極めて重要なインフラであり、来年はかつてないほど標的にされると言っても異論はないでしょう。ゼロデイ脆弱性や一般的なソフトウェアの欠陥、サプライチェーンの問題に付け込む脅威アクターの手口が進化して攻撃に成功するケースが増え、企業は、耐障害性を維持するために講じられる対策に目配りを怠らないようにしなければなりません。2024年は、セキュリティリーダーがインシデント管理、パッチ適用、セキュリティ保護の高度化を継続的なプロセスにする方向へ意識を転換し始めるでしょう。責任ある開示は、CISOの優先順位やスタイルに関係なく、耐障害性の維持における重要な柱となるでしょう。ゼロデイ脆弱性のようなインシデントの管理は、「パッチを当てれば完了」というほど単純なものではありません。脆弱性の各バリアントに対するパッチのような緩和策は、リスクを減らすことはできても、完全に排除することはできないのです。
ゼロトラストの実装はこれまで、安全でないネットワークのセキュリティを確保しようとする企業にとって、フラストレーシ ョンの溜まる作業でした。ネットワーク内の過剰なアクセス権限を排除し、データ、アプリケーション、ユーザーの多様な組み合わせに対処するのは容易ではありません。2024年は、ゼロトラスト実装プロジェクトが、ネットワーク経路への製品挿入から、セキュアアクセスサービスエッジ(SASE)を通じたセキュリティ制御やコンテキスト認識型ポリシーの適用へと移行する転換点になると、当社は予想しています。これは事実上、ユーザーとデータのネットワーク接続の中でなく上に、ゼロトラストのコントロールプレーンを作ることになります。
2023年時点のIPv6普及率は45~50%ですが、2024年は50%を超えるでしょう。それにもかかわらず、ネットワークベンダーやセキュリティベンダーの多くは、まだIPv6を十分にサポートしていません。しかも、トラフィックがセキュリティベンダーのクラウドのポリシー適用ポイント(PEP)を経由するように顧客に提供される、エンドユーザーデバイス、アプリサーバー、ローカルネットワーク用のソフトウェアベースコネクターは、IPv6のみを明示的にサポートしなければ、バイパスされることが増えるでしょう。IPv4アドレスの枯渇やネットワークアドレス変換 (NAT)の制限事項の増加といった未解決課題を抱えて、加入者のIPv6アクセスを可能にするインターネットサービスプロバイダーが増えている今、利用するベンダーがいつ、どこで、どのようにIPv6をサポートするのかをそろそろ確認すべきでしょう。
あらゆるタイプの企業が、重要なビジネス機能を遂行するためにAIモデルに積極的に投資し、依存しています。また、AIの推進は企業の競争力を維持するためでもあり、ウォール街では、AIに言及する企業の株価格付けを上げ、技術的に遅れていると思われる企業の株価格付けを下げる傾向にあります。急速に進歩するAIの効果を先取りしようとする企業は、最高AI責任者(CAIO)を任命してAI戦略の推進と責任集約を図るでしょう。AIが事業運営、製品開発、ユーザーエクスペリエンスに与える影響の重要性が高まり、その使用、倫理、関連リスクの管理を監督する専任の幹部が必要になっているのです。
生成系AIは、パーソナライズされたテキストを簡単に作成できます。攻撃者の手にかかれば、パーソナライズしたフィッシング攻撃を広範囲に行うことなどわけもありません。2024年は、AIが攻撃者のツールキットの標準装備になる年です。このトレンドは既に顕在化してきており 、AIが生成したメッセージが、役員や従業員を騙して金銭を振り込ませようとするビジネスメール詐欺(BEC)に使われています。ボイスディープフェイクも、作成ツールが一般的になり、モデルの訓練に使う模倣対象者の録音素材が増えるにつれて、増加すると予想されます。
フィッシング攻撃やソーシャルエンジニアリング攻撃は、新しいものではありません。変化しているのはその量と質です。ML主導のメッセージ分析や適応型リンク隔離のような高度なメールセキュリティ機能は、多要素認証(MFA)に使われるフィッシング耐性のあるハードキーと共に、フィッシングとの戦いに不可欠になってきています。AIを駆使したソーシャルエンジニアリング攻撃による被害は、プロセスやリソースが少なく、ツールの整備が遅れている小企業ほど大きいでしょう。
データプライバシーと情報セキュリティに関する法律や要件の遵守は決して容易なことではなく、2024年には新たな規制が導入され、監視の目が厳しくなって、コンプライアンスは難しくなる一方でしょう。2023年12月に米国SECの新サイバーセキュリティ規則が施行され、2024にはEUで対象を拡大したネットワーク・情報システム指令(NIS2)の施行と、AIを取り扱った画期的な欧州フレームワークの策定が行われるなど、世界中で大きな規制改革が進行しています。コンプライアンスチームは、プライバシーとセ キュリティに関わる既存のテクノロジーとプロセスを最適化して規制遵守義務の拡大に対応すると同時に、コンプライアンスに特化したAIソフトウェアのようなニッチなツールへの投資を戦略的に行う必要があります。
セキュリティ認証の面では、一般化が進む(必要最低限であることが多い)セキュリティ認証の要件を満たし、既存規格の更新時にも適合するよう、セキュリティ管理を最適化する必要があります。セキュリティの標準規格は、要件適合に関して規範的なアプローチではなく、よりリスクに基づいたアプローチをとる方向へシフトしていくと予想されます。既に、PCI-DSS(クレジットカード業界のセキュリティ規格)のPCI 4.0への更新など、いくつかのセキュリティ認証でこのアプローチが見られます。EUCS(クラウドサービスに関するEUサイバーセキュリティ認証スキーム)のような地域的な認証の取り組みには一定の進展が見られるものの、政府が求めるコンプライアンスの範囲は拡大し、国ごとの認証も増えると予想されます。
2024年、IT・セキュリティチームは、新しいテクノロジー、脅威、規制、コスト上昇と戦うことになります。特にAIは極めて重要で、無視できません。迅速に根本的な変革ができない企業は、競合他社に遅れをとることになるでしょう。しかし、迅速なイノベーションは言うは易く行うは難しで、IT・セキュリティ分野の意思決定者の39%が、自社がデジタル環境のコントロールを喪失していると考えています。
コントロールを取り戻し、安全を維持しながら、イノベーションに必要な俊敏性と効率性を確保するにはどうすればよいのでしょうか。コネクティビティクラウドは、ツールを統合し、すべてのドメインをつなぐ統合プラットフォームで、拡大したネットワーク環境のコントロール回復と、保護に伴うコストとリスクの低減を実現します。
Cloudflareは、コネクティビティクラウドのリーディングカンパニーです。企業が場所を問わず従業員、アプリケーション、ネットワークの速度と安全性を高め、簡略化とコスト削減を実現できるように支援しています。Cloudflareのコネクティビティクラウドは、クラウドネイティブな製品と開発者ツールをまとめた機能満載の統合プラットフォームで、どんな企業でもビジネスの遂行、開発、高速化に必要なコントロールを手中にできます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
Grant Bourzikas — @grantbourzikas
最高セキュリティ責任者、Cloudflare
John Engates — @jengates
Field CTO、Cloudflare
この記事では、以下のことがわかるようになります。
AI導入が難題に直面する理由
ITとセキュリティへの投資を検討すべきところ
新たな脅威とコンプライアンス義務が企業に与える影響