冗談はやめよう：私の2025年アンチ予測

フィル・ダンケルバーガー

私は何十年もの間、サイバーセキュリティの予測を行ってきた。事態の悪化についてではなく、事態が実際にどの程度悪化するかについてである。ほとんどの予測は大きく間違っている。私たちが想像していた以上に事態は悪化しているのだ。

だから、甘い言葉でごまかすのはやめよう。2025年に直面する厳しい現実について話そう：

限界点にある政府インフラ
政府システムは重大な岐路に立たされている。30年前のPIVカードとCACシステムは、現状をどのように改善できるかについて、これまでとは異なる考え方を始めるのに適した場所である。バイデン前大統領の最近の大統領令でも認識されているように、近代化は極めて重要である。

パスワードの死
SMS OTPは本当に悪い。何年もの間、ハッカーたちによって積極的に悪用されており、インターネット上ではSMSを利用したハーベスティングの例が数え切れないほどある。時代遅れのセキュリティーと、その考えを鵜呑みにする人々は、セキュリティーが全くないよりもたちが悪い。2025年は、パスキーが流行語から基本的なものになる年になるだろう。古い認証のやり方は時代遅れというだけでなく、危険なのだ。

The Breach Fatigue Crisis（情報漏洩の疲労）
情報漏洩はより甚大で、よりダメージが大きいにもかかわらず、新聞を覚えている人がいるとすれば、今では新聞の裏の求人広告のように掲載されている。私たちはそれに無感覚になっている。数字に嘘はない。情報漏洩は昨年より30％増加しているが、根本的な原因に対処する我々の集団的な意志は弱まっている。情報は通貨であり、私たちはそれを流出させている。データ侵害のコスト調査において、私たちは何年もそれを見てきた。

手作業によるセキュリティの終焉
今、どんな大企業を見ても、効率性と開放性を与えてくれる彼らのシステムは素晴らしいが、巨大なリスクを伴っている。2025年は、人間規模のセキュリティの終焉を最終的に認める年になるだろう。セキュリティを大規模に自動化できる企業と、その準備不足が話題となる企業の間で、戦線が引かれようとしている。

The Stakes Have Never Been Higher
銀行業務から医療、国防に至るまで、私たちがビジネスや個人的な用途で毎日使っているこれらのシステムの要点は、今やすべてが私たちの重要なインフラの一部であるということだ。これらのシステムはすべて、進化する電子システムの上に構築されている。侵害された認証システムはすべて、敵対行為者にとって潜在的な資金源となる。多くの作家や識者が何年も前から取り上げてきたように、サイバー犯罪から国家のツールへの変貌は、注意を払っていない人々の目の前で起きている。

私は何年も同じ歌を歌ってきた。でも、2025年が違うのは、もうテーブルの賭け金で戦っているわけではないということだ。私たちが防衛しているのはダンプスター・ダイバーではない。詐欺は今後も続くだろうし、そのペースも規模もこれまで経験したことのないものになっている。

私が知っている絶対確実な予測は？私たちが根本的にアプローチを変えなければ、状況はさらに悪化する。それは恐怖を煽るものではなく、同じパターンが繰り返され、ますます壊滅的な結果をもたらすのを何十年も見てきた現実に基づくものだ。

2025年の問題は、さらなる違反が起こるかどうかではない。問題は、我々が最終的にそれに対して何かをするかどうかである。

2024 Security Industry Predictions: Consolidation, ROI, and the AI Hype Train

フィル・ダンケルバーガー

なぜセキュリティ業界はいまだに繁栄しているのだろうか。なぜこれほど多くの企業が、あなたの大切なデータを守る究極のプロテクターであると主張しているのだろうか。マルウェアが増殖しているように見えるのには理由があるのかもしれない。パンデミック直前の2020年1月、私はCESのゲストスピーカーとして、2019年に80億台強のデバイスがインターネットに接続されたことを話した。2023年末の時点で、その数は150億台にほぼ倍増している。つまり、人やモノがインターネットに接続し、データにアクセスするということであり、そのすべてが認証され、保護される必要がある。フィッシングやマルウェア、その他の悪質な行為によって、セキュリティ産業が必要かつ重要なものとなっているのはこのためだ。

2024年に向けて、この進化し続けるデジタル・ディフェンスの領域に何が待ち受けているのかを見極める時が来た。ネタバレになるが、統合、ROIのプレッシャー、AIの宣伝、規制当局の取り締まりなど、さまざまな要素が入り混じっている。あなたは銀の弾丸を探しているかもしれませんが、セキュリティ問題に対する絶え間ない警戒訓練と意識に特効薬はありません。

1.さらなる統合？画期的だ！

私たちはそれを避けることはできない。私たちの業界では現在、統合がほとんど恒常化している。サイバーセキュリティ・テトリスの終わりのないゲームのようなもので、大手企業が中小企業を食い潰し、我々は皆驚いたふりをする。次はどうなるのか？シマンテックやマカフィーを思い出してほしい）、特に機械学習やAI、暗号化に手を出している企業の間では、さらに統合が進むだろう。2023年の第1四半期だけでも、10の統合が発表されている！しかし、当初は多くの動きがあったように見えたが、2023年全体ではセキュリティ業界のM&Aは低調な年だった。 

世の中には、セキュリティのスーパーヒーローを名乗る企業が数多く存在する。しかし、困ったことに、これらの企業はしばしば重複するテクノロジーを持ち、顧客にとって混乱の不協和音を生み出している。つまり、適者生存であり、サイバーポンドで最大の魚が雑魚を飲み込んでしまうのだ。あなたのお気に入りのサイバーセキュリティ新興企業が姿を消したとき、それはおそらく、より大きな魚に食われてしまったからだということを覚えておいてほしい。召し上がれ！

2.ROI：証明するか、動かすか

そのため、M&A市場が低迷しているときは、企業として顧客を獲得できるようにROIを証明することにもっと集中する必要があり、プレッシャーがかかる。サイバーセキュリティ・ソリューションに貴重な資金を投じることを企業に納得させるには、おしゃれなロゴと専門用語満載のマーケティング資料があれば十分だった時代は終わった。2024年、ゲームの名前は「Show me the money！」、より正確には「Show me the ROI！」である。

企業は、サイバー災害からあなたを救うことができると主張するだけでは不十分である。煙に巻くのはもうやめよう。サイバーセキュリティ・プロバイダーは、自社のソリューションの有効性を証明しなければならないという強いプレッシャーにさらされることになる。派手なアルゴリズムやバズワードはもう通用しない。実際に侵害を防いだり脅威を軽減したりしていることを示すことができないのであれば、蛇の油を詰め込んで路頭に迷うことになるかもしれない。

また、組織全体の中で、より多くのチームにわたってROIを実証する必要も出てくるだろう。CISOだけで判断できる時代は終わった。企業では多くのプロジェクトが進行中であり、セキュリティはほとんどすべてのアプリケーションに統合する必要がある。

3.AIと機械学習：誇大広告と現実の三面コイン？

AIと機械学習は、ハイテク業界の寵児である。どのサイバーセキュリティ企業も、自分たちが知覚を持ったロボットの軍隊を訓練して、あなたのデータを守る準備ができたと思わせたがっている。しかし、2024年にはAIの誇大宣伝列車は力尽きるかもしれないのだ。

確かに、AIやMLはサイバーセキュリティの分野でその役割を担っているが、一部の人々が主張するような魔法の万能薬ではない。その有効性は光沢のあるパンフレットの中だけでなく、実際のシナリオで証明される必要がある。したがって、企業はAIの波に乗り続けるだろうが、ユーザーは懐疑的なシールドを張っておくべきだ。結局のところ、安全性を維持することに関しては、どんなアルゴリズムも昔ながらの人間の警戒心と常識に取って代わることはできないのだ。

AIは3面のコインである。しかし、セキュリティの世界でAIを使って勝つのは、「エッジ」を活用することを最もよく学んだ者、つまりマージンを見つけた者である。 

4.規制とプライバシーの要求：影響に備える

さて、ここからが我々の予測パーティの悲痛な部分である。世界中のサイバーセキュリティの状況において、規制とプライバシーの要求がさらに高まることを覚悟してほしい。規制要件を満たすことは、もはや広範なチェックボックス項目ではなく、セキュリティ・ベンダーが規制に対応することは、地域的にも垂直的にも極めて重要なことなのだ。サイバーセキュリティ・コンプライアンスの迷宮をナビゲートすることは、すでに十分楽しいことではありませんでしたが、私たちは、さらに厳格な基準と、失敗した企業に対する潜在的により厳しい結果を期待することができます。

これもまた、私たちがたびたび目にする統合シフトとは似て非なるもので、新技術のペースに追随する振り子のようなものである。AIがシーンに登場し、規制が導入されるのを目の当たりにすると、膝を打つような反応だと言う人もいるかもしれないが、個人を特定できる情報（PII）や企業情報、つまり知的財産（IP）を扱う場合、その道のりは複雑だ。PSD2、FIDO標準、そして最近のパスキーの導入のように、私たちはこの道のりを手助けしてきたいくつかの例を挙げることができる。しかし、道のりは長い。シートベルト（あるいはエアバッグ）が交通事故による人々の負傷を防げなかったように。

サイバー脅威がより巧妙になり、データ漏洩事件が世間を賑わす中、政府や規制当局は最新の新技術を把握する必要がある。彼らは、企業がデータ保護に真剣に取り組んでいることを確認したいと考えている。そのため、コンプライアンスに関する書類の山に埋もれ、コンプライアンス違反で多額の罰金に直面しても驚く必要はない。デジタル・サンドボックスで遊ぶための代償なのだ。

2024年のセキュリティ業界は、さらなる統合、ROIの精査、AIへの懐疑的な見方、規制の頭痛の種が渦巻くことになるだろう。企業や個人がこれまで以上にデジタル・プラットフォームに依存するようになる中、サイバーセキュリティ業界には、実際に測定可能な結果を提供しなければならないというプレッシャーが高まっている。前途には困難が待ち受けているかもしれないが、すべてはデジタル世界の安全を守るためである。ですから、警戒を怠らず、証拠を求め、このデジタル防衛の勇敢な新時代においてサイバーセキュリティの知恵を絞ってください。