米調査会社Forresterがサイバーセキュリティ、リスク、プライバシーに関する2024年予測レポートを発表した。ゼロトラスト関連ポストの増加、AIで生成したコードの欠陥によるデータ侵害、個人を特定できる情報（PII）の取り扱いに関する規制調査、サイバー保険市場の変化を予測している。

「今年見られた動向のいくつかについては、来年も続くと考えています。サイバー攻撃が従来よりもはるかに標的を絞った、パーソナライズされたものになるという予測を強めたのはそのためです」。シニアアナリストのAlla Valente（アラ・ヴァレンテ）氏がSDxCentralの取材で語った。

「生成AIの利用については、ソーシャルエンジニアリングで従来よりもはるかに高い説得力を持たせる使い方をはじめ、さまざまな動向が見られます。企業のリスクレベルは…（中略）…高まり続けていると見ています」

2024年、ゼロトラスト関連のポストが倍増

Forresterの調査では、現在LinkedInでゼロトラスト関連のポストが投稿されている件数は、米国で81件、英国で6件、シンガポールで1件だったという。この数字は来年には倍増すると同社は予測している。

ゼロトラストについては、米国で（政府機関に対して）移行を求める行政命令が出されていたが、アジア太平洋（APAC）や欧州・中東・アフリカ地域（EMEA）でもようやく主流になりつつあるという。NIST（National Institute of Standards and Technology、米国立標準技術研究所）のゼロトラストアーキテクチャが広く採用され、アーキテクチャ、エンジニアリング、ガバナンス、戦略、上層部などのチームにゼロトラスト関連の職位を設ける必要性が高まっているとした。

「年が進むにつれて、ゼロトラスト関連ポストの求人が軒並み増え始めました。特に、アジアやインドでゼロトラストへの移行が求められ、米国で企業も行政命令に沿うようになってから、そうしたポストがそれまでよりもはるかに広く見られるようになっていったように思います」と氏。

各組織がこうした要求に準拠、取り組みを実施していく中で、ゼロトラスト要件（の遵守）を目的とする職務がどのようなものかが明確になりつつあるという。

Forresterは、ゼロトラスト関連の職務に求める要件を慎重に検討し、認証を目指す役割の人々を探すように勧めている。

「ゼロトラスト対応の役割と責任ははっきりしています。ゼロトラストの取り組みを担う人々は、技術力とビジネス感覚をバランスよく備えていることが重要です。また、資格の取得や、少なくとも研修が移行の役に立つでしょう」

AIが生成したコードが、少なくとも3件のデータ侵害の原因に

Forresterは、企業等が生成AIを導入する際、AIの倫理的な利用と規制要件の遵守のために、ガバナンスとアカウンタビリティが重要になると指摘している。

「生成AIがソフトウェア開発プロセスに占める部分が大きくなっていけば、開発において影響力を持つとともに、AIで生成したコードには、脆弱性の発見に活用し得るものだけでなく、セキュリティ上の欠陥の原因になり、侵害につながる可能性のあるものも出てくることは想像に難くありません」と氏。

2023年の同社のデータでは、コード生成と生産性向上を支援する開発AIアシスタント「TuringBots」を知っている企業や技術者のうち、半数近く（49%）が自社でパイロット運用や導入を進めているか、既に導入済みだという。

しかし、TuringBotで生成したコードに対する適切な危機回避策が講じられなければ、来年には、（コード自体のセキュリティ上の欠陥や、AIが提案した依存関係の脆弱性など）公式にAIで生成した安全でないコードが原因であるとするデータ侵害が、少なくとも3件は発生すると同社は予測している。

Forresterは開発チームがAIで生成したコードすべてに目を通し、セキュリティ上の問題がないかを確認するよう提案している。

「AIが生成するコードは、トレーニングに使われるデータ以上のものにはなりません」とValente氏。「AIはベストプラクティスに基づいてトレーニングされるでしょうが、たとえば、それほど良くないプラクティスを使ったトレーニングも多少は行われることになります」

個人情報の取り扱い、サイバーセキュリティ保険、人的要素に関する予測

ChatGPTのような生成AIプラットフォームを使用するアプリケーションに対しては、個人情報をどのように扱っているかについて、OpenAIが受けたような規制当局の調査が入るという。Forresterは、こうしたアプリケーションの中にはOpenAIよりも罰金を科されるリスクが高いものがあると予測している。サードパーティのテック企業を介したリスクを負う一方で、そうしたリスクを適切に軽減するリソースや専門性が不足しているためだ。企業はサードパーティのリスク管理を強化する必要があるとした。

また、サイバー保険会社の加入審査が厳しくなり、特定のセキュリティベンダーの利用を危険信号と見なすだろうと予測している。さらに、来年発生する侵害の約90%は人的要素を含むと予測、ヒューマンエラーや権限の悪用、盗まれた認証情報の使用、ソーシャルエンジニアリングに人間が関与するとした。

Forrester predicts 2024 will be a year of AI risks and regulatory scrutiny