Samenvatting voor het management
Het cybersecuritylandschap in 2025 wordt gekenmerkt door een snelle toename van de complexiteit en frequentie van bedreigingen, samen met steeds strengere regelgeving. Geavanceerde aanvallen op toeleveringsketens, het wijdverbreide misbruik van kunstmatige intelligentie en de wereldwijde toename van wetgeving op het gebied van dataprivacy behoren tot de grootste zorgen voor organisaties. In 2025 zal 75% van de wereldbevolking persoonlijke gegevens beschermd hebben onder privacywetgeving,1 wat de urgentie benadrukt voor bedrijven om robuuste, conforme data management strategieën te implementeren om risico’s te beperken en hun bedrijfsvoering te beschermen.
Dit rapport benoemt 12 cruciale trends op het gebied van cybersecurity en compliance die het komende jaar vormgeven, met nadruk op de samenkomst van dataprivacy, naleving en technologiegedreven beveiligingsmaatregelen. Van de transformerende impact van AI in zowel offensieve als defensieve cyberaanpakken tot de kritieke kwetsbaarheden in derde partijen en toeleveringsketens: organisaties moeten deze ontwikkelingen proactief aanpakken om tegenstanders voor te blijven. Voorbeelden in 2024 zijn onder andere Change Healthcare en AT&T, waar aanzienlijke beveiligingsgaten in de software supply chain resulteerden in het compromitteren van miljoenen gebruikersgegevens. Veilige samenwerking aan content, realtime detectie van bedreigingen en het toepassen van geïntegreerde raamwerken zijn cruciale onderdelen van een veerkrachtige cybersecuritystrategie.
Om te floreren in dit veranderende landschap staan organisaties voor diverse strategische uitdagingen:
- Gebruik voorspellende tools zoals de Risk Exposure Index: Identificatie en prioritering van risicovolle gebieden om te zorgen dat beveiligingsinvesteringen effectief en efficiënt zijn, gebaseerd op het meten van datalekken via een algoritmische Risk Exposure Index.2
- Investeer in geavanceerde, geautomatiseerde beveiligingssystemen: Automatisering is niet langer optioneel. Het is noodzakelijk om operationele complexiteit te verminderen, responstijden te minimaliseren en beveiligingsoperaties te optimaliseren bij toenemende dreigingen.
- Implementeer AI-gedreven detectie en respons op bedreigingen: Nu cybercriminelen steeds vaker AI inzetten, moeten organisaties voorspellende analyses en machine-learningtools gebruiken om bedreigingen te detecteren en te beperken voordat ze zich voordoen.
- Versterk compliance- en governance-raamwerken: Nu wereldwijde privacyregelgeving steeds complexer wordt, is het afstemmen van beveiligingsinitiatieven op compliance vereisten essentieel om boetes te voorkomen en vertrouwen te behouden.
- Beperk risico’s van derde partijen: De toeleveringsketen blijft een van de zwakste schakels in de beveiliging van organisaties. Het versterken van risicobeheer voor derde partijen en het screenen van partners op beveiligingsvolwassenheid is essentieel om kwetsbaarheden effectief aan te pakken.
- Focus op veilige samenwerking aan content: Nu gevoelige data over organisatiegrenzen heen beweegt, zijn veilige platforms voor het delen van content en communicatie onmisbaar om blootstelling te beperken.
De 2025-voorspelling van Kiteworks dient als een uitgebreid stappenplan voor zakelijke leiders, IT-professionals en beveiligingsteams. Het biedt bruikbare inzichten en praktische richtlijnen om organisaties te helpen navigeren in de snel veranderende cybersecurityomgeving. Door beveiligingsprioriteiten af te stemmen op bedrijfsdoelstellingen, een cultuur van compliance te stimuleren en te investeren in adaptieve technologieën, kunnen organisaties hun veerkracht vergroten tegen een dynamisch dreigingslandschap en tegelijkertijd zorgen voor langdurig operationeel succes.
Introductie
Naarmate organisaties richting 2025 bewegen, krijgen ze te maken met unieke cybersecurity-uitdagingen die worden gevormd door regelgeving en nieuwe technologische risico’s. De toegenomen digitale transformatie heeft geleid tot ongekende hoeveelheden gegevens en uitwisseling over netwerken, waardoor zowel risico’s als compliancevereisten zijn toegenomen. De 2025-voorspelling van Kiteworks schetst de beveiligingstrends en beste practices die organisaties nodig hebben om gevoelige informatie effectief te beveiligen.
Introductie
Naarmate organisaties richting 2025 bewegen, krijgen ze te maken met unieke cybersecurity-uitdagingen die worden gevormd door regelgeving en nieuwe technologische risico’s. De toegenomen digitale transformatie heeft geleid tot ongekende hoeveelheden gegevens en uitwisseling over netwerken, waardoor zowel risico’s als compliancevereisten zijn toegenomen. De 2025-voorspelling van Kiteworks schetst de beveiligingstrends en beste practices die organisaties nodig hebben om gevoelige informatie effectief te beveiligen.
Dit rapport bundelt inzichten uit brancheonderzoeken, deskundige analyses en trendvoorspellingen om een strategisch overzicht te bieden van veranderende cybersecurityprioriteiten. Het behandelt kritieke onderwerpen zoals wereldwijde wetgeving op het gebied van dataprivacy, kwetsbaarheden in softwaretoeleveringsketens en de rol van AI in beveiligingsoperaties. Elke trend wordt onderzocht met nadruk op de impact op organisatorische veerkracht, naleving van regelgeving en datastrategieën.
Dit rapport is ingedeeld in trendanalyse, aanbevelingen en strategische planning en behandelt 12 trends die het cybersecuritylandschap vormgeven. Elke sectie behandelt specifieke risico’s, uitdagingen en mogelijke oplossingen, zodat organisaties inzicht krijgen om complexe beveiligingsvraagstukken te beheren en tegelijkertijd aan compliance-eisen te voldoen. Met deze inzichten wil Kiteworks securityleiders en professionals in staat stellen om robuuste, flexibele cybersecuritykaders te bouwen voor 2025.
Met vriendelijke groet,
Patrick Spencer
Patrick Spencer, Ph.D.
VP Corporate Marketing en Research
Kiteworks
1. グローバルデータプライバシーの進化
グローバルにおけるデータプライバシーの状況は進化を続けており、世界中の組織に対するコンプライアンス要件を再構築しています。ガートナーは2025年までに世界人口の75%が最新のデータプライバシー規制の対象となると予測しており、企業は厳格なデータ管理とセキュリティ対策の導入を迫られています。3 欧州のGDPRからブラジル、インド、中国の枠組みに至るまで、これらの規制は透明性、消費者の権利、越境コンプライアンスを重視しています。
米国ではプライバシー法の断片化がますます複雑化しています。American Privacy Rights Act(APRA)のような連邦レベルのプライバシー法案が不透明な中、州レベルの規制は急速に拡大しています。2025年には、すでに施行されている5州に加え、デラウェア州、アイオワ州、ネブラスカ州、ニューハンプシャー州、ニュージャージー州、メリーランド州、ミネソタ州、テネシー州の8州で新たにデータプライバシー法が施行されます。4 これらの法律は消費者の権利を強化し、機微なデータに対する明示的な同意を義務付け、自動意思決定に対する厳格なルールを導入しています。
国際的には、オーストラリア、インド、日本などアジア太平洋地域の国々でプライバシー法が強化されています。例えばタイでは、AIの利用を規制するために個人データ保護法の改正を予定しており、AIガバナンスへの世界的な関心の高まりを反映しています。一方、EU・米国間データプライバシーフレームワークは、無効となったプライバシーシールドに代わり、越境データ転送の円滑化を目指していますが、課題も残されています。
企業は、デジタルマーケティングやデータ取扱いの大きな変化にも対応する必要があります。2024年末までにサードパーティCookieが廃止されることで、企業はファーストパーティデータ戦略への移行を迫られます。また、プライバシー法の厳格な執行が予想されており、違反時の罰則も強化される見込みです。これらの課題を乗り越えるため、組織は自動化されたプライバシー管理ツールの導入やプライバシー責任者の任命、強固なデータガバナンス戦略の実施に投資しています。
これに伴い、人工知能(AI)ガバナンスがデータプライバシーの中心的なテーマとして浮上しています。タイ、オーストラリア、欧州連合などの国々は、AIに特化した規制をより広範なプライバシーフレームワークに組み込んでいます。これらのルールは、AIアルゴリズムの透明性、データ利用に対する説明責任、バイアスや悪用防止のための安全策を重視しています。2025年に最終化が見込まれる欧州連合のAI法は、高リスクAIアプリケーションに対して、明確な文書化、データ取扱いプロトコル、人による監督など厳格な要件を導入する予定です。5 こうした規制は、イノベーションと倫理・プライバシーのバランスを図ることを目的としており、組織はコンプライアンス基準に沿ったAI戦略の再考を迫られています。
2024年11月時点で、2024年のGDPR罰金総額は53億ドルに迫っています。6
2. ソフトウェアサプライチェーンセキュリティ
近年、ソフトウェアサプライチェーン攻撃の増加は、サードパーティ製ソフトウェアエコシステムにおける脆弱性の拡大を浮き彫りにしています。これらの攻撃は相互接続されたシステムを標的とし、複数の組織にまたがる機密データへのアクセスを狙います。MOVEitやGoAnywhereの侵害などの著名な事例は、1社のベンダーが侵害されるだけで業界全体に深刻な連鎖的影響を及ぼし、組織がソフトウェアサプライヤーに寄せる信頼を損なうことを示しています。Cybercrime Magazineは、ソフトウェアサプライチェーン攻撃による世界年間損失額が2025年には600億ドル、2031年には年平均15%の成長で1380億ドルに達すると予測しています。7
こうした進化する脅威に対抗するため、組織や政府はより厳格なセキュリティ対策を採用しており、利用するソフトウェア自体に強固なセキュリティ機能を組み込むことに重点を置いています。ゼロトラスト・セキュリティモデルが標準的なアプローチとなりつつあり、すべてのネットワークやベンダー間の接続・データ交換ごとに検証を求めます。これにより、サプライチェーンの弱点を突いた不正アクセスのリスクを最小限に抑えることができます。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、リアルタイム監視、脅威インテリジェンス共有、ソフトウェア部品表(SBOM)の推進などの取り組みを通じて、国家のサイバーセキュリティ強化に重要な役割を果たしてきました。しかし、トランプ新政権の発足に伴い、CISAの組織や重点分野に変化が生じる可能性が指摘されています。上院国土安全保障・政府問題委員会の委員長就任が見込まれるランド・ポール上院議員は、特に偽情報対策に関するCISAの権限を大幅に縮小する意向を示しています。8 また、政権内ではよりビジネスフレンドリーな規制方針への転換が議論されており、CISAの特定サイバーセキュリティ対策への重点が変更される可能性もあります。9
こうした変化の可能性を踏まえ、組織は引き続き警戒と柔軟な対応が求められます。SBOMや業界横断的な連携など、CISAの現行施策はソフトウェアサプライチェーンセキュリティ強化に大きく寄与してきましたが、政策動向を注視し、セキュリティ戦略を適宜見直すことが重要です。内部の強固なセキュリティ体制維持や民間部門との連携強化は、特に連邦支援に大きな変更があった場合のリスク軽減に不可欠です。
米国国立標準技術研究所(NIST)やCISAが推奨するベストプラクティスには、ソフトウェアの定期的なアップデート、効果的なパッチ管理、すべてのソフトウェアサプライヤーに対する詳細なリスク評価が含まれます。これらの施策は、ソフトウェアサプライチェーンセキュリティに対する標準化された積極的なアプローチを実現し、多様化・高度化するサイバー脅威への耐性を強化します。さらに、リアルタイムの脅威インテリジェンス共有を継続することが、状況認識の維持や迅速なセキュリティ戦略の適応に不可欠です。
Verizonの2024年データ侵害調査レポートによると、ソフトウェアサプライチェーンが過去1年間のデータ侵害の15%を占め、前年比68%増加しています。10
新トランプ政権下でのCISAの変化の可能性
ポジティブな影響
新トランプ政権がCISA規制を緩和した場合、組織はコンプライアンス負担の軽減や運用の柔軟性向上といった恩恵を受ける可能性があります。特に中小企業にとって、連邦による厳格な要件(詳細な報告義務やSBOMのような特定のセキュリティフレームワークなど)が緩和されることで、関連コストが削減されるでしょう。このような規制緩和環境はイノベーションを促進し、企業が自社のニーズに合わせたサイバーセキュリティ対策を導入しやすくなります。また、連邦の監督に縛られることなく、積極的なセキュリティ対策やビジネス優先事項にリソースを自由に配分できるようになります。
ネガティブな影響
CISAの役割縮小は、特にリアルタイムの脅威インテリジェンス共有やサプライチェーン攻撃への協調対応など、連邦主導の取り組みが減少することで、組織のサイバーセキュリティリスクを高める可能性があります。強力な連邦リーダーシップがなければ、ランサムウェアやソフトウェアサプライチェーン侵害など進化する脅威に対し、企業はより脆弱な立場に置かれるかもしれません。CISAのガイダンスや支援に依存してきた中小組織は、複雑なサイバーリスクへの独自対応に苦慮し、重要インフラ分野で脆弱性が拡大する恐れもあります。さらに、連邦基準の一貫性が失われることで、サイバーセキュリティ対策が断片化し、組織間の連携や相互接続システムの安全確保が困難になる可能性があります。
3. 多層防御セキュリティアーキテクチャ
組織は、保存中・使用中・転送中の機密コンテンツの保護を最優先すべきです。多層防御型のセキュリティアーキテクチャを導入することで、複数の重層的な防御策を実装し、堅牢な防御体制を構築できます。このアプローチは、機密コンテンツの保護だけでなく、高度化する脅威に対する組織のレジリエンス強化にもつながります。
多層防御戦略は、多層アーキテクチャの基盤となります。暗号化、ネットワークファイアウォール、アンチウイルス、アンチスパムなど、複数の補完的なセキュリティ対策を展開することで、1つの防御層が突破されても他の層が不正アクセスやデータ侵害を防ぎます。たとえば、暗号化技術は転送中および保存中の機密データを保護し、権限のない第三者による情報の閲覧や解読を防ぎます。
データ損失防止(DLP)システムは、データ転送を監視・制御し、機密コンテンツの漏洩を防ぎます。DLPツールは、機密ファイルやメール添付ファイルの不正共有を検知・遮断するポリシーを強制し、偶発的または意図的なデータ露出リスクを大幅に低減します。同様に、CDR(コンテンツ無害化と再構築)技術は、ファイルの可用性を維持しつつ悪意のあるコードを除去し、生産性を損なうことなく安全なコンテンツ共有を実現します。
クラウドセキュリティポスチャ管理(CSPM)やゼロトラストアーキテクチャ(ZTA)は、現代のセキュリティフレームワークで重要な役割を担います。CSPMはクラウド環境の可視化を提供し、設定ミスの特定やセキュリティポリシーへの準拠状況を監視します。ZTAは、ユーザーID・デバイス・アプリケーションの継続的な検証を徹底し、ネットワーク内での横断的な攻撃から機密通信を保護します。
セキュリティツールの統合も、防御の隙間をなくすために不可欠です。SIEM(セキュリティ情報イベント管理)やXDR(拡張検知・対応)などの集中管理プラットフォームは、監視・脅威検知・インシデント対応を効率化します。これらのプラットフォームは、メール、ファイル共有、マネージドファイル転送(MFT)システム全体のセキュリティイベントを統合的に可視化し、迅速かつ協調的な脅威対応を可能にします。
ゼロトラスト・セキュリティを導入している組織は、データ侵害時に100万ドル以上のコスト削減が可能です。11
4. セキュアコンテンツコラボレーション
第三者とのダイナミックなコラボレーションは現代ビジネスの基盤となっており、ワークフローの加速やイノベーションの促進に寄与しています。しかし、こうしたやり取りはデータ侵害やコンプライアンス違反のリスクを必然的に高めます。契約業者、ベンダー、パートナーなど外部関係者との機密コンテンツのやり取りには、リスクを効果的に軽減するためのきめ細やかな制御と強固なガバナンスが不可欠です。
これらの課題に対応するため、組織は動的アクセス管理や高度なトラッキング機能を統合したセキュアコンテンツコラボレーションプラットフォームを導入しています。これらのプラットフォームは、ユーザーごとに詳細な権限を設定し、特定のファイルやフォルダー、データセットへのアクセスを許可された人物のみに限定します。このレベルの制御は、第三者とのやり取りにおける偶発的または悪意あるデータ露出の可能性を最小限に抑える上で重要です。
きめ細やかなガバナンスは、アクティビティ監視や監査ログにも及びます。コンテンツへのアクセスや共有のリアルタイムトラッキングにより、組織は潜在的なセキュリティインシデントを迅速に検知・対応できます。包括的な監査ログは、規制要件への準拠を証明し、セキュリティ侵害やデータ不正利用の疑いが生じた際の防御材料となります。
さらに、DLPツールやエンドツーエンド暗号化(E2EE)などの技術が、第三者コラボレーションのセキュリティを強化します。DLPシステムは不正なデータ転送を監視・遮断することでセキュリティポリシーを徹底し、E2EEはデータの生成から転送、保存まで一貫して暗号化を維持します。
第三者コラボレーションへの依存度が高まる中、組織にはゼロトラストアプローチによるセキュアコンテンツコラボレーションの導入が求められています。このモデルは暗黙の信頼を前提とせず、アクセス前にユーザーIDやデバイスの整合性を継続的に検証します。自動化されたコンプライアンスチェックや高度なリスク分析と組み合わせることで、ゼロトラストの原則はダイナミックかつ相互接続された環境でのデータ保護の基盤となります。
83%の組織がコンテンツコラボレーションプラットフォームを活用し、クライアントやパートナー、その他の第三者と外部ファイル共有を行っています。12
次世代デジタル著作権管理(DRM)
従来型のデジタル著作権管理(DRM)システムは、静的な閲覧専用アクセスや限定的なファイル形式対応、導入の複雑さなど、制限の多さから生産性やコラボレーションを阻害しがちです。多くの場合、重いクライアントソフトのインストールが必要となり、ファイル転送時のセキュリティリスクやバージョン管理の混乱も生じます。これらの制約は、シームレスな外部コラボレーションを妨げ、機密コンテンツの包括的な監視も困難にします。
そこで登場したのが、Kiteworks SafeEDITという次世代DRMソリューションです。SafeEDITは、ファイル自体を転送せず編集可能なストリーミング版を提供することで、元ファイルを所有者の環境内で安全に保護します。この革新的なアプローチにより、外部ユーザーはネイティブアプリケーションのような操作感でドキュメントの編集や共同作成が可能となり、セキュリティやデータ管理を損なうことなくコラボレーションを実現します。詳細な監査ログ、アクセス権の取り消し、あらゆるファイル形式への対応など、強固なDRMガバナンスを備えたKiteworks SafeEDITは、安全性・生産性・柔軟性を兼ね備えたコラボレーションを提供します。
5. コミュニケーションセキュリティの統合
現代の組織は、メール、ファイル共有、SFTP、MFT、Webフォームなど、機密コンテンツのコミュニケーションに多数のシステムを利用しています。これらのツールは重要な役割を果たしますが、複数のプラットフォームを個別に管理することは大きな課題となります。システムの維持・セキュリティ確保の複雑さはコスト増だけでなく、セキュリティやコンプライアンスリスクの増大にも直結します。コミュニケーションツールの数が多い組織ほどデータ侵害の発生率が高く、例えば10件以上のデータ侵害を経験した組織の32%は7つ以上のコミュニケーションツールを使用しており、6つのツールを使う組織の42%は7〜9件のデータ侵害を経験しています。これらの数値は、全回答者の平均である10件のデータ侵害(9%)と比べても著しく高い結果です。13
これらのツール間で統合がなされていないと、組織は一貫したセキュリティポリシーの徹底が困難となり、データ侵害やコンプライアンス違反のリスクが高まります。プラットフォームが増えるごとに、セキュリティの隙間や管理負担(ライセンス管理、複数監査、従業員教育など)も増大します。
単一のセキュアプラットフォームへの統合は、こうした非効率性を解消し、運用の効率化と冗長性の排除を実現します。コミュニケーションツール間のサイロをなくすことで、機密コンテンツの可視性と管理性が向上します。統合された監査ログは、すべてのコミュニケーション履歴を包括的に記録し、脅威の早期検知やインシデント対応の迅速化、コンプライアンス報告の簡素化を可能にします。これにより、規制要件への対応だけでなく、全体的なセキュリティ体制も強化されます。
統合は、ソフトウェアライセンスや保守、スタッフ教育などにかかる総所有コストの削減にもつながります。IT部門はリソースをより戦略的な施策に集中でき、分断されたシステムのトラブルシューティングに追われることがなくなります。
7つ以上の機密コンテンツコミュニケーションを持つ組織の約3分の1が10件以上のデータ侵害を経験しています。14
北米の組織の38%が、機密コンテンツの送信・共有に6種類以上のコミュニケーションツールを利用していると回答しています。15
6. APIセキュリティとセキュアコンテンツコミュニケーションの自動化
APIは、システム・アプリケーション・外部関係者間での機密データの安全な共有・転送を自動化する上で不可欠な存在です。APIは運用効率の向上や業務の自動化を実現する一方、リスクも伴うため、機密情報の保護や規制コンプライアンス確保のために強固なセキュリティとガバナンスが求められます。
セキュアAPIは、ファイル共有サービスやERPシステム、クラウドアプリケーション間のシームレスなデータ共有を実現します。不正アクセスやデータ侵害を防ぐためには、厳格な認証・認可・暗号化プロトコルの徹底が不可欠です。多層防御の原則を組み込むことで、転送中・保存中の機密コンテンツを一貫して保護できます。
APIによるファイル転送やユーザー管理、ポリシー適用などの定型業務の自動化は、手作業によるエラーを削減し、時間短縮と運用効率の向上をもたらします。自動化されたワークフローはセキュリティコントロールを一貫して適用し、GDPR、HIPAA、CCPAなどの規制へのコンプライアンスを維持しながら業務の拡張を可能にします。同時に、集中管理されたAPI管理により、詳細な監査ログを通じてデータフローやユーザーアクティビティをリアルタイムで可視化し、ガバナンスを強化します。きめ細やかなアクセス制御により、機密データへのアクセスを認可されたユーザーやシステムに限定し、露出リスクをさらに低減します。
高度なAPIセキュリティツールは、リアルタイム監視や機械学習を活用し、トラフィックの異常を検知して脅威の拡大を未然に防ぎます。定期的なアップデートや自動脆弱性スキャンにより、APIは進化するリスクにも耐性を維持できます。
オンプレミス、プライベートクラウド、ハイブリッド環境など柔軟な導入モデルにより、APIは多様な運用要件に適応しつつ、プライバシーやコンプライアンス要件にも対応可能です。拡張性とセキュリティを兼ね備えたAPIフレームワークは、パフォーマンスを損なうことなく機密コンテンツの保護を維持します。
約4分の3の組織が過去2年間にAPI関連のデータ侵害を3件以上経験したと報告しています。16
7. 規制コンプライアンスの進化
2025年の規制環境は、2024年の動向を受けて、コンプライアンスとサイバーセキュリティの分野で大きな進展を示しています。サイバーセキュリティ成熟度モデル認証(CMMC)2.0の完全実施、EU AI法の施行、米国ホワイトハウスによるAIに関する大統領令(安全で信頼できるAIの開発と利用に関する大統領令)、NSAの最新セキュリティガイドライン、国際規格などの主要なフレームワークが、組織の機密データ保護、サードパーティリスクへの対応、規制コンプライアンスの確保のあり方を大きく変革しています。
CMMC 2.0の完全施行により、防衛産業基盤(DIB)に属する企業は、特定のコンプライアンス基準を満たすか、連邦契約からの失格リスクに直面することになります。この施行はCFR 32およびCFR 48に基づき、DIB請負業者だけでなく、より広範な企業にも影響を及ぼし、市場で競争力を維持するために同様のサイバーセキュリティフレームワークの導入を促しています。組織には、事前の準備状況評価を積極的に実施し、堅牢なサイバーセキュリティ対策を導入して事業運営とサプライチェーンを守ることが求められています。さらに、3分の2の組織が1,000社以上のサードパーティと機密コンテンツをやり取りしている現状を踏まえ、サードパーティリスク管理の強化が不可欠となり、パートナーやベンダーにも厳格なサイバーセキュリティ基準の遵守が求められています。17
2025年に施行されるEU AI法は、AIシステムに対して厳格な規制要件を導入します。組織は、リスクごとに定められた基準を遵守し、透明性のあるAIモデルの実装、バイアスへの積極的な対応、データガバナンスの強化などが求められます。これらの施策は、倫理的なAI開発と利用を確保し、プライバシー、説明責任、公平性を重視するものです。AIを活用したソリューションを展開する企業は、米国および国際的なAI規制の両方に準拠しなければ、財務的な罰則や評判リスクに直面することとなり、AI技術のグローバルなガバナンスの大きな転換点となります。
NSAが2024年に発表した最新のセキュリティガイドラインは、2025年のサイバーセキュリティ戦略にも大きな影響を与え続けています。組織は自動化やゼロトラスト・エコシステムを重視し、予測型・適応型の防御メカニズムを活用して、ますます巧妙化するサイバー脅威に対抗しています。これらの施策はCMMC 2.0の原則とも密接に連携し、重要インフラや機密データを守るための積極的なセキュリティ対策の重要性を再認識させています。
ISO/IEC 27001、27017、27108などの国際規格は、多国籍企業が各国の規制を効率的に遵守するために、今後さらに導入が進むと見込まれています。これらの規格に準拠することで、組織は一貫したセキュリティ運用を実現し、業務のレジリエンスを高め、複雑な規制環境を効果的に乗り越えることができます。
2024年の規制変化は、2025年により安全でコンプライアンス重視の環境を実現する道を開きました。組織はこれらの変化を、サイバーセキュリティ体制の強化、リスク低減、ステークホルダーとの信頼構築の機会として捉えることが推奨されます。事前準備を優先し、積極的な対策を講じることで、進化する規制要件を満たすだけでなく、急速に変化するデジタル環境でリーダーとしての地位を確立できます。
なぜCMMC 2.0コンプライアンスが防衛請負業者にとって重要なのか
2025年には、防衛産業基盤(DIB)の請負業者にとってCMMC 2.0 レベル2の完全施行が最大の焦点となります。CFR 32およびCFR 48の下で、請負業者は制御されていない分類情報(CUI)や連邦契約情報(FCI)を保護するために、厳格なサイバーセキュリティ対策を実施しなければなりません。コンプライアンス違反は国防総省(DoD)契約からの失格につながり、請負業者には認証要件を満たすための大きなプレッシャーがかかります。監査がより厳格になる中、請負業者はエンドツーエンド暗号化、アクセス管理、詳細な監査ログなどの堅牢な管理策を導入し、機密データを保護し、政府契約の資格を維持する必要があります。
Kiteworksは、これらの課題に直面する組織の重要な支援役となることが期待されています。FedRAMP Moderate認証を受けたプライベートデータネットワークは、CMMC 2.0 レベル2要件の約90%をサポートしており、請負業者にとってコンプライアンスへの大きなアドバンテージとなります。18 セキュアメール、ファイル共有、マネージドファイル転送、その他のセキュアな通信ツールを1つのプラットフォームに統合することで、Kiteworksはコンプライアンスを簡素化し、監査の複雑さを軽減します。2025年、Kiteworksを活用するDIB請負業者は、運用効率の向上、監査準備の円滑化、機密コンテンツの包括的な保護といったメリットを享受し、進化する規制環境での継続的な成功につなげることができます。
8. データ分類戦略
データ分類の戦略的重要性はかつてないほど高まっています。データが資産であると同時にリスクにもなり得る時代において、分類は堅牢なデータガバナンス、コンプライアンス、業務効率の基盤となります。効果的なデータ分類により、組織はリスクを低減し、データの可視性を高め、情報資産の潜在力を引き出しつつ、機密情報の漏洩やコンプライアンス違反による罰則から守ることができます。非構造化データをすべてタグ付け・分類している組織はわずか10%であり、52%は半分未満しか分類できていないと認めています。19
自動分類ツールはAIや機械学習を活用し、膨大なデータセットを高精度で処理できるよう進化しています。これらのツールはパターンを特定し、文脈に応じたタグ付けや分類を最小限の人手で実現します。これによりエラーが減少し、機密情報が正しく識別・保護されることが保証されます。AI主導の分類はリアルタイムでの更新も可能にし、組織が急速に変化するデータ環境や規制要件に柔軟に対応できるよう支援します。
データディスカバリーとマッピングは、組織が自社のデータ状況を包括的に把握するために不可欠です。単に機密データの所在を特定するだけでなく、リスクプロファイリングや価値分析も取り入れられるようになっています。マルチクラウドやハイブリッド環境にデータが分散する中、高度なディスカバリーツールはデータフローのリアルタイム可視化や脆弱性の特定を実現し、組織が的確な保護策を講じて複雑な環境下でもコンプライアンスとリスク低減を図れるようにします。
メタデータ管理も進化し、データの出所、所有権、規制影響などの属性に関する動的かつリアルタイムな知見を提供します。この豊富なコンテキストにより、組織はより厳格なガバナンスポリシーの適用やコンプライアンスプロセスの効率化が可能となります。GDPR、CCPA、EU AI法などの規制が進化し続ける中、メタデータ主導の知見は、組織がグローバル基準に準拠し続けるための重要な役割を果たします。
規制当局による監視強化も、2025年にデータ分類が重要視される要因の一つです。世界各国でデータプライバシー法が厳格化される中、組織には積極的な分類ガバナンスの導入が求められています。GDPR、AI法、CCPAなどのフレームワークに沿って、分類ポリシーにはコンプライアンス要件を組み込むことが必須となり、多様な事業部門や地域をまたいで機密情報を一貫して取り扱うことで、罰金や評判リスクを低減できます。
2025年におけるデータ分類の重視は、コンプライアンスやリスク管理にとどまりません。組織は、分類が意思決定や業務効率の向上にも寄与することを認識し始めています。適切なデータの分類と保護により、アクセス制御の最適化、ワークフローの効率化、特にデータ駆動型の取り組みにおけるイノベーションの促進が可能となります。さらに、堅牢な分類フレームワークは、AIや機械学習などの先進技術をセキュリティやコンプライアンスを損なうことなく自信を持って導入できるよう組織を後押しします。
NISTによるデータ分類
米国国立標準技術研究所(NIST)は、効果的なデータ収集・管理の基盤として堅牢なデータ分類の重要性を強調しています。データ分類とは、情報をその機密性、価値、コンプライアンス要件に基づいてあらかじめ定められたカテゴリに整理することです。この体系的なアプローチにより、データの整合性やアクセス性が向上するだけでなく、データ収集の実務が組織のセキュリティポリシーや規制要件と整合します。重要度やリスクレベルに応じてデータを分類することで、機密データに適切な保護を施し、不正アクセスやデータ侵害、規制違反などのリスクを低減できます。
NISTのデータ分類ガイドラインを導入することで、組織はデータ収集プロセスを最適化できます。分類により、データが明確な目的と文脈で収集され、冗長または無関係な情報を回避できるため、より良い意思決定が可能となります。例えば、「公開」「内部利用」「制限付き」などの分類階層を適用することで、それぞれのカテゴリに合った収集方法を選択し、機密情報を保護しつつデータ管理を効率化できます。分類を基盤とすることで、組織はデータガバナンスを強化し、業務効率を高め、データセキュリティと規制順守への取り組みを示すことでステークホルダーとの信頼を築くことができます。
9. 多次元リスク評価
多次元リスク評価は、ますます高度化するサイバー脅威に対応するための重要な戦略として浮上します。今後のモデルは、AI主導の分析や統合脅威インテリジェンスを活用し、リアルタイムの攻撃パターン、地政学的変動、ユーザー行動、データの機密性など、動的なパラメータ全体でリスクを評価する方向へと拡大します。これにより、セキュリティチームは脆弱性の優先順位付けをかつてない精度で行い、リソースを最もリスクの高い領域に集中させて包括的な脅威対策を実現できます。KiteworksのIndustry Risk Score Indexのような業界別のリスクスコアのアルゴリズム評価も、組織に有用なベンチマークやリスクへの積極的な対応手段を提供します。20
コンテキスト認識型セキュリティも大きく進化し、多次元リスク評価フレームワークの基盤となる見込みです。新たなシステムは、アクセス場所、デバイス利用、タイミングなどユーザー行動の異常を検知する予測型AIを組み込み、潜在的な脅威に対する前例のない洞察を提供します。予測機能の統合により、組織はリスクを事前に特定し、受動的な対応から能動的な脅威管理へとシフトできます。この革新は、対応時間の短縮だけでなく、標的型サイバー攻撃への防御力も強化します。
継続的な監視と適応型防御は、急速に変化する脅威環境に直面する組織にとって標準となります。2025年には、セキュリティプラットフォームがグローバルな脅威インテリジェンスや行動データに基づき、リアルタイムでプロトコルを動的に調整します。この適応力により、持続的かつ新たな脅威に対するレジリエンスが確保され、変化し続ける環境下でも堅牢な保護を維持できます。
さらに、2025年にはコンプライアンス、サイバーセキュリティ、オペレーショナルリスク領域を横断した多次元評価の統合が重視されます。この統一的アプローチにより、相互に関連するリスクを包括的に把握し、規制や脅威の変化に適応した柔軟なセキュリティ戦略の設計が可能となります。多次元リスク評価は単なるツールではなく、現代のサイバーセキュリティの複雑さを乗り越えるための不可欠なフレームワークとして、転換点を迎える年となるでしょう。
ヘルスケア:規制リスクの高まりとランサムウェア耐性
ヘルスケア分野は、価値の高い標的、重要な業務、規制監督という独自の組み合わせにより、2025年に緊急の対応が求められます。機密性の高い患者情報の主要な管理者であるヘルスケア組織は、ランサムウェアによるリスクが大きく、攻撃件数や侵害コストが増加し続けています。2024年にはヘルスケアのデータ侵害コスト平均が600万ドルを超え、ランサムウェア攻撃による患者ケアの中断も頻発しました。21 これらの事例は、攻撃者が保護対象保健情報(PHI)の機密性やレガシーシステムへの依存を悪用していることを示しています。
規制当局による監視強化がこれらの課題に拍車をかけています。HIPAAの強化規定やGDPRなどの国際的なフレームワークにより、特に機密データのやり取りを十分に追跡・保護できない組織には、コンプライアンス要件が一層厳しくなります。報告によれば、管理されていないコミュニケーションと侵害の深刻度には直接的な関連があり、10以上のコミュニケーションツールを利用する組織は、データ侵害の発生率が3.5倍に達しています。22
ヘルスケアは社会における重要な役割ゆえに、特有の脆弱性を抱えています。侵害は患者の信頼やコンプライアンス違反の罰則だけでなく、業務の中断によって生命の危険にも直結します。これらのリスクを軽減するため、ITおよびコンプライアンスリーダーは、ゼロトラストアーキテクチャ、高度な脅威検知、堅牢なデータガバナンスを最優先し、ますます複雑化する規制環境に適応する必要があります。
10. AIデータセキュリティリスク
2025年にはAIデータセキュリティリスクがさらに高まります。悪意ある攻撃者はAIを活用し、より複雑かつ大規模なサイバー攻撃を仕掛けてきます。攻撃者はAIによる脆弱性スキャンの自動化、フィッシングキャンペーン用の偽コンテンツ生成、マルウェアのリアルタイム進化による従来型防御の回避などを実行します。これにより、AIシステム自体がサイバーセキュリティの主戦場となり、学習データの改ざん、モデルの乗っ取り、業務の妨害などを狙った攻撃の標的となります。組織は、強化されたセキュリティプロトコルやAI特有の脅威検知ツールなど、積極的な対策を講じて、これらの高度な脅威に対抗する必要があります。最近の調査では、90%の組織がLLMの活用を進めているか検討中である一方、AIセキュリティへの高い自信を持つのはわずか5%にとどまっています。23
機密データをAIシステムに取り込む組織は、プライバシーやコンプライアンスリスクに対する監視も強化されます。2025年には、より厳格なグローバル規制により、AIモデルが機密情報をどのように処理・保護するかについて、より高い説明責任が求められます。機密データや個人情報の不適切な取り扱いは、透明性、倫理的なAI利用、データ最小化に関する基準の強化とともに、重大な罰則につながる恐れがあります。フェデレーテッドラーニングや差分プライバシーなどのプライバシー保護技術は、イノベーションとコンプライアンスの両立を目指す組織にとって不可欠となり、AIシステムが機密情報を露呈することなく学習できる環境を実現します。
敵対的攻撃(アドバーサリアルアタック)の増加も、AIセキュリティフレームワークに新たな課題をもたらします。攻撃者はAIシステムの脆弱性を突き、入力データを操作してモデルの出力に影響を与えたり、バイアスを持ち込んだり、システム障害を引き起こしたりします。これらのリスクを軽減するため、2025年には敵対的テスト、セキュアなモデル開発、監査自動化ツールの導入が急速に進むでしょう。これらの進化は、AIモデルが実環境下でも堅牢かつ信頼できるものとなるために不可欠です。
AI技術がビジネスプロセスにさらに深く組み込まれる中、2025年の組織には包括的なAIガバナンスフレームワークの構築が求められます。これらのフレームワークは、AIによるサイバー脅威への防御と、規制順守・倫理的なデータ利用という二重の課題に対応します。脅威の進化と監督強化を受け、組織は継続的な監視、リアルタイムの脅威対策、AI運用の透明性を最優先し、急速に進化するAI環境で信頼とセキュリティを維持する必要があります。
96%の組織がGenAIアプリケーションを利用しており、取り込まれる機密データの3分の1以上が規制対象データであると回答しています。24
製造業:デジタルトランスフォーメーション下のサプライチェーン保護
製造業は、急速なデジタルトランスフォーメーションとグローバルサプライチェーンにおける重要な役割から、2025年に特に注目すべき分野です。インダストリー4.0技術の導入により攻撃対象領域が飛躍的に拡大し、サイバーセキュリティリスクの面で最も急成長している業界の一つとなっています。2024年には業界のリスクスコアが8.6に急上昇し、脅威への大きな曝露が浮き彫りとなりました。25
他業界と異なり、製造業はITとOT(運用技術)が交差する環境で稼働しています。このハイブリッド環境は、生産の妨害や知的財産の窃取を狙う攻撃者にとって格好の標的です。加えて、サードパーティベンダーへの依存が高いため、サプライチェーン侵害が複数の組織に波及するリスクも増大しています。
規制の変化も、この分野のセキュリティ強化の重要性をさらに高めています。政府がCMMC 2.0などのフレームワークを非防衛請負業者にも拡大する中、製造業者はより厳格なデータセキュリティとコンプライアンス要件に事業運営を合わせる必要があります。これを怠れば、多額の罰金、評判の失墜、契約の喪失につながる恐れがあります。
製造業はグローバル経済の中核であり、他分野との相互依存性も高いため、攻撃者にとって戦略的な標的となっています。リーダーはエンドポイントセキュリティの強化、IT/OTネットワークのセグメンテーションの徹底、予測分析への投資を進め、業務の保護と新たな規制への対応を図る必要があります。積極的な対策を講じなければ、生産の中断や規制当局からの制裁により、市場競争力が損なわれるリスクがあります。
11. コンプライアンス主導のセキュリティ
コンプライアンス主導のセキュリティは、組織が拡大する規制要件や強化される施行に直面する中で、ますます動的なものとなります。この変化は、より高い透明性、説明責任、データ保護法への明確な準拠が求められるグローバル基準の進化によって推進されます。組織は、罰則回避やステークホルダーの信頼保護のため、セキュリティ戦略の中核にコンプライアンスを組み込むことを優先します。コンプライアンス主導のセキュリティは、単に基準を満たすだけでなく、より複雑な規制環境において機密データの管理・保護のあり方そのものを積極的に形成する方向へと進化します。
今年は自動化されたコンプライアンス技術の大きな進展が見込まれます。AI搭載ツールにより、リアルタイム監視、違反の即時検知、迅速なギャップ修正の自動化が可能となります。これらのシステムはセキュリティフレームワークとシームレスに統合され、コンプライアンス活動とリスク管理の目標を連携させます。動的なコンプライアンスレポーティングも普及し、組織に実用的なインサイトを提供し、規制更新への先手対応を可能にします。自動化と予測型コンプライアンスツールの組み合わせにより、組織は新たな要件への積極的な適応が可能となります。
NIST RMFのようなリスク管理フレームワークも、コンプライアンス主導のセキュリティにおける俊敏性の必要性に対応して進化します。組織は、業界や地域ごとにカスタマイズ可能なフレームワークを採用し、セキュリティ要件と国内外のコンプライアンス基準のバランスを図るようになります。これらのフレームワークはリアルタイムの脅威インテリジェンスも組み込み、リスク低減と規制順守を統一的に実現します。
コンプライアンスがセキュリティの戦略的推進力となる中、組織はコンプライアンス主導の実践をサイバーセキュリティ全体に統合するための投資を強化します。このアプローチにより、規制変化の先読み、リスクへのレジリエンス強化、データ保護と信頼維持へのコミットメントの強化が実現し、ますます複雑化する規制環境下での競争力を高めることができます。
サイバーセキュリティ管理のためのデータプライバシーフレームワーク
グローバルなプライバシー法の複雑化は、エンタープライズにとって堅牢なデータセキュリティ、プライバシー、コンプライアンス戦略の重要性を一層高めています。この環境下で、調査対象組織の78%が、GDPR、NISTプライバシーフレームワーク、ISO/IEC 27002、COBITなどのフレームワークや規制を活用してプライバシー管理に取り組んでいます。地域ごとの傾向も見られ、欧州では78%がGDPRを、北米では61%がNISTプライバシーフレームワークを利用しています。26 技術系プライバシー担当者と法務部門の連携はコンプライアンス確保に不可欠ですが、連携が不十分だと、エンタープライズは規制執行や業務リスクにさらされるため、プライバシー管理やコンプライアンス目標の整合を図るための定期的な部門横断会議が必要です。
法的要件の遵守にとどまらず、多くの企業がID・アクセス管理(74%)、暗号化(73%)、データセキュリティ対策(72%)などの積極的な管理策を導入し、強靭なプライバシーフレームワークの構築に取り組んでいます。27 コンプライアンス達成への自信はまちまちで、43%が強い自信を示す一方、13%は規制対応能力に低い自信しか持っていません。データ主体からの請求件数の増加(31%の組織が報告)も、統合的なプライバシー・コンプライアンス戦略の必要性を強調しています。これらの請求への適切な対応と堅牢なバックエンドシステムの維持は、規制要件への対応とデータセキュリティ・プライバシー慣行への信頼維持の両立に不可欠です。
12. 量子コンピューティングによるリスクの増大
量子コンピューティングの登場は、データセキュリティのパラダイムシフトをもたらし、現在の暗号プロトコルの基盤を根本から揺るがします。量子コンピュータは、材料科学や機械学習などの分野で飛躍的な進歩をもたらす一方で、RSAやECCといった広く使われている暗号方式を破る能力を持ち、グローバルなデータセキュリティやコンプライアンスフレームワークを脅かします。組織は、NISTが策定中のポスト量子暗号(PQC)規格を採用し、「量子脅威」への備えを今から始める必要があります。新たな量子安全規格への準拠は、将来のデータセキュリティ戦略の重要な要素となります。
量子耐性アルゴリズムをエンタープライズのセキュリティアーキテクチャに組み込むには、IT、コンプライアンス、リスク管理部門の連携が不可欠です。これらのアルゴリズムへの移行には、既存システムの暗号依存関係の評価、プロトコルのアップグレード、ベンダーとの互換性確保などが伴います。同時に、GDPRやAI法など、量子セキュリティに関連する新たな法律や規格が進化する中、組織は規制順守も確保しなければなりません。
技術的な準備だけでなく、ポスト量子時代における国境を越えたデータ転送やデータ主権に関するコンプライアンス課題にも直面します。量子による復号能力で暗号鍵が無効化されると、機密通信やデータプライバシーを規定する規制枠組みの整合性がかつてない危機にさらされます。政府、規制当局、業界リーダーのグローバルな連携が、量子脅威に対応しつつイノベーションを阻害しない一貫した政策策定の鍵となります。
量子耐性戦略のコンプライアンスフレームワークへの統合は継続的なプロセスとなり、先行導入企業は競争優位性を獲得する可能性があります。ポスト量子規格を積極的に採用し、ハイブリッド暗号ソリューションを実装する組織は、長期的リスクを軽減するだけでなく、ステークホルダーからの信頼も高められます。今から量子対応を優先することで、次世代データセキュリティ基準へのコンプライアンスを確保しつつ、機密データを守ることができます。
量子コンピューティングと悪意ある攻撃者
量子コンピューティングは、従来型コンピュータをはるかに凌ぐ速度で複雑な問題を解決できる画期的な技術として登場しています。ヘルスケアや物流などの分野での進歩が期待される一方、悪意ある攻撃者はその潜在力を活用し、将来のサイバー攻撃を計画しています。特に暗号化データを標的とし、現在暗号化された情報を蓄積し、量子コンピュータが十分に発展した段階で復号することを狙っています。これにより、RSAやECCなど現在の暗号方式は無力化され、企業秘密、機密情報、個人データなどの機密情報が深刻な脅威にさらされます。この手法は「今は収集、後で復号(Harvest Now, Decrypt Later)」として知られています。
この差し迫ったリスクに対抗するため、組織や政府はNISTが示す量子耐性暗号アルゴリズムの採用を急ぐ必要があります。しかし、量子覇権をめぐる競争はサイバーセキュリティの軍拡競争を引き起こしており、悪意ある攻撃者やならず者国家は量子研究に巨額の投資を行っています。彼らの目的は、防御体制が広く普及する前に、この技術をサイバースパイ活動や侵害に悪用することです。これにより、ポスト量子セキュリティ基準の策定、データガバナンス強化、量子コンピューティングの兵器化を目論む攻撃者への先手対応のためのグローバルな連携の緊急性が一層高まっています。
主なポイントと推奨事項
1. 戦略的なサイバーセキュリティ投資に注力: 組織は、サイバーセキュリティ予算を長期的な戦略目標と整合させ、将来に備えた防御体制を構築するために、予測型脅威インテリジェンスシステム、リアルタイムのコンプライアンス監視、ゼロトラスト・アーキテクチャなど、スケーラブルな技術への投資を優先する必要があります。
2. ポリシー変更へのレジリエンス構築: 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の方針転換など、規制の変化や政府のサイバーセキュリティ施策の見直しを予測し、柔軟な内部ポリシーを策定するとともに、民間セクターとの連携を強化することで、統一性の低い規制環境によるリスクを軽減しましょう。
3. 国境を越えたデータプライバシー課題への備え: 特に規制が分断された地域において、進化する国際データプライバシー法の複雑性に対応するため、ガバナンスフレームワークを強化しましょう。これには、GDPR違反による罰金やEU・米国間データプライバシーフレームワークなど、新たな枠組みに対する積極的な適応も含まれます。
4. 統合型リスク管理アプローチの採用: サイバーセキュリティ、コンプライアンス、オペレーショナルリスクを統合したフレームワークを構築することで、脅威を包括的に把握し、組織全体で対策を効果的に連携させ、部門間のギャップを減らすことができます。
5. サードパーティリスク管理の革新: AIツールを活用した自動リスク評価やリアルタイム監視により、サードパーティベンダーの管理体制を強化しましょう。サプライヤー関連の脆弱性にも迅速に対応できる体制を整備してください。
6. 従業員中心のセキュリティ対策強化: 技術投資が重要である一方、継続的なセキュリティトレーニングやゲーミフィケーションを活用したフィッシング訓練、明確な責任体制の構築など、人を中心としたアプローチを優先し、インサイダー脅威の低減を図りましょう。
7. データの発見と分類を最優先: ハイブリッドやマルチクラウド環境を含む全システムで、リアルタイムのデータ発見・分類戦略を策定しましょう。これにより、機密データの特定、アクセス制御の徹底、規制基準へのコンプライアンス向上が実現します。
8. サイバーセキュリティにおけるAIの責任ある活用: AIを活用してリアルタイムの脅威検知や適応型リスク評価を強化しましょう。ただし、AIツールには堅牢なガバナンスポリシーを適用し、敵対的攻撃や意思決定のバイアスなど、予期せぬリスクを防止する必要があります。AIによる異常検知を活用し、アクセスや編集、送信、共有の急増など、機密コンテンツに関する異常な活動を特定しましょう。
まとめ
2025年の複雑な環境を乗り越えるためには、積極的かつ統合的なサイバーセキュリティアプローチが不可欠です。本レポートは、多層的なセキュリティアーキテクチャ、堅牢なコンプライアンス統合、AIによる高度な脅威管理の必要性を強調しています。セキュアなコンテンツコラボレーション、APIセキュリティ、自動化されたコンプライアンス監視に注力することで、規制要件に効果的に対応しつつ、業務の俊敏性とレジリエンスを維持できます。
今後もサイバーセキュリティは、技術革新や規制の変化とともに進化し続けます。適応型セキュリティソリューションへの投資と継続的改善の文化を醸成することで、組織は機密データの保護、信頼性の向上、イノベーションの推進を実現できます。Kiteworksは、本レポートの戦略的推奨事項を採用し、レジリエントで将来に備えた防御フレームワークを構築することを推奨します。これにより、2025年以降のダイナミックなサイバーセキュリティ環境での成功を確実にしましょう。
参考文献
1 “Gartner、2024年に世界のセキュリティおよびリスク管理支出が14%成長すると予測,” Gartner、2023年9月28日。
2 “上位11件のデータ侵害:Kiteworksリスクエクスポージャーインデックスを活用した実践的インサイトと推奨事項,” Kiteworks、2024年10月。
3 “Gartner、2024年に世界のセキュリティおよびリスク管理支出が14%成長すると予測,” Gartner、2023年9月28日。
4 Morgan Sullivan, “拡大する米国州別プライバシー法のパッチワーク:2025年に向けて何が起こるか,” Transcend、2024年11月7日。
5 Heather Domin, “AIガバナンスのトレンド:規制、協働、スキル需要が業界をどう形作るか,” 世界経済フォーラム、2024年9月5日。
6 “これまでのGDPR違反による最大の罰金20件[2024年],” Data Privacy Manager、2024年9月9日。
7 Steve Morgan, “ソフトウェアサプライチェーン攻撃、2025年までに世界で600億ドルの損失予測,” Cybercrime Magazine、2023年10月3日。
8 Maggie Miller, “Rand Paul、米国サイバー機関の弱体化を計画,” Politico、2024年11月14日。
9 Catherine Stupp and James Rundle, “トランプ氏2期目、米国主要サイバー機関に大きな変化の見通し,” Wall Street Journal、2024年11月13日。
10 “2024年データ侵害調査報告書,” Verizon、2024年5月。
11 Jennifer Gregory, “ゼロトラスト未導入企業はデータ侵害時に100万ドル以上の損失リスク,” Security Intelligence、2022年9月21日。
12 “安全なウェブサイト通信を見分ける2つの方法,” UW-Madison Information Technology、2022年2月10日。
13 “センシティブコンテンツ通信のプライバシーとコンプライアンスレポート2024,” Kiteworks、2024年6月。
14 同上。
15 同上。
16 “2023年APIセキュリティの現状:APIリスクの実態に関するグローバル調査,” TraceableおよびPonemon Institute、2023年9月6日。
17 “センシティブコンテンツ通信のプライバシーとコンプライアンスレポート2024,” Kiteworks、2024年6月。
18 “センシティブコンテンツ通信のためのCMMC 2.0コンプライアンスマッピング,” Kiteworks、2024年10月。
19 “センシティブコンテンツ通信のプライバシーとコンプライアンスレポート2024,” Kiteworks、2024年6月。
20 “2024年業界リスクスコアレポート:2018年から2024年上半期までの業界別リスクスコアのインサイトと分析,” Kiteworks、2024年10月。
21 “データ侵害コストレポート2024,” IBM、2024年7月。
22 “センシティブコンテンツ通信のプライバシーとコンプライアンスレポート2024,” Kiteworks、2024年6月。
23 Haziqa Sajid, “AIセキュリティトレンド2025:市場概況と統計,” Lakera、2024年9月2日。
24 James Coker, “GenAIの普及で高まるセンシティブデータ共有リスク,” InfoSecurity Magazine、2024年7月17日。
25 “2024年業界リスクスコアレポート:2018年から2024年上半期までの業界別リスクスコアのインサイトと分析,” Kiteworks、2024年10月。
26 “Privacy in Practice 2024,” ISACA、2024年1月18日。
27 同上。
本レポートはAI技術の支援を受けて作成された知見やインサイトを提示しています。AIはコンテンツ生成において重要な役割を果たしましたが、使用された手法は実験的であり、不正確さやバイアスが含まれる可能性があるため、重要な意思決定には独自の検証が不可欠です。本レポートの知見は専門的な助言ではなく、単独で依拠すべきものではありません。人によるレビューを経ているものの、AI主導のプロセスには誤りや限界が残る場合があり、使用技術は継続的に開発されています。本情報の利用により生じたいかなる結果についても、当社は責任を負いかねます。