SecurityScorecard、「2024年 サイバーセキュリティに関する予測」を発表
- 2023/12/15 10:00
- SecurityInsight
SecurityScorecardは12月13日、同社の共同設立者兼CEO、最高情報セキュリティ責任者(CISO)、脅威インテリジェンス担当副社長らによる「2024年 サイバーセキュリティに関する予測」を発表した。その概要は以下のとおり。
●サイバーセキュリティ特化型言語モデルの台頭
2024年、セキュリティチームは小規模言語モデルに移行する可能性がある。これらのアジャイルで特化したモデルは、LLMが突きつける障壁を打ち破り、カスタマイズされた実用的なインサイトを提供していくと見られる。リアルタイムデータトレーニングが武器となり、セキュリティチームは刻一刻と変化する脅威の状況に迅速に対応可能になると予測している。
●2024年のAI戦争は攻撃者が勝利
攻撃者側が生成AIの導入で組織を先回り、ダークサイド側が先行すると見られる。このことから、ディープフェイク、巧妙なフィッシングキャンペーン、エンドポイントセキュリティの防御を回避するステルス型のペイロードなど、容赦ない攻撃に備えるべき。これらの課題は、かつてないほどサイバーセキュリティの防御が試されることになると予測している。
●主要な第三者による情報漏洩事件が発生、記録的な数の顧客データが漏えい
サードパーティによる情報漏えいの大波が押し寄せることが予測される。サイバー犯罪者が価値の高いターゲットに狙いを定める中、大量の顧客基盤を持つ大手ハイテク企業がこの嵐の矢面に立たされることになると見られる。APIの普及からデータのデジタル化まで、さまざまな要因が重なり、サードパーティーリスクの温床となっている。これらのリスクを測定・管理するための明確なKPIを設定し、実施するための早急な対策を取るべき。
●攻撃者はAIを使ってゼロデイを半分の時間で悪用
ゼロデイ脆弱性が指数関数的に増加すると予測してされている。攻撃者は、大規模言語モデル(LLM)を悪用して高度なエクスプロイトを作成し、既知のエクスプロイトが判明するまでの平均時間を半減すると見られる。その結果、攻防における熾烈なAI戦争が繰り広げられ、両者とも防御と侵入にテクノロジーを活用することが予測される。
●侵害の80%はサードパーティまたはフォースパーティが起因
侵害の80%がサードパーティまたはフォースパーティに起因すると予測している。2023年は、サードパーティのサイバーリスクがもたらす脅威が迫っていることを痛感する年となった。一度、広く利用されているソフトウェアを侵害できるようになると、サイバー犯罪者は、数百、数千の組織にアクセスできるようになる。