今年も終わりを迎えようとしており、2025 年の展望を予測する時期が来ました。今年も、デジサートのサイバーセキュリティエキスパートチームがアイデンティティ、テクノロジー、そしてデジタルトラストに関する予測を発表します。

去年は、人工知能（AI）および量子コンピュータに重点を置き、それに伴うリスクと機会について説明しました。こうしたテクノロジーはセキュリティのあり方を変容させ続けており、その影響はサイバーセキュリティ戦略にも影響を及ぼしています。

2025 年の展望はどうでしょうか？ デジサートのデジタルトラストサービス担当シニアディレクターの Dean Coclin、エンジニアリング担当バイスプレジデントの Avesta Hojjati、業界標準担当バイスプレジデントの Tim Hollebeek、デジタルトラスト担当グローバルバイスプレジデントの Mike Nelson のインサイトをお読みください。

予測 1: 耐量子コンピュータ暗号が理論上の概念から実用的に実装される技術になる

去年、デジサートは、量子コンピュータの進歩が進むにつれ、経営陣はそのリスクを調査するようになり、耐量子コンピュータ暗号（PQC）への投資が急増することを予測しました。2025 年に、PQC は大きな飛躍を遂げることになるとデジサートは見込んでいます。PQC は、IT ロードマップにおける抽象的な項目から、実装された運用ソリューションへと変化するのです。

PQC の実用的な導入に向けて、すでに最初の段階が実行されています。アメリカ国家安全保障局（NSA）は、重要な NSS ネットワークを対象とした CNSA 2.0 アルゴリズムを発表するものと見られています。デジサートは、耐量子コンピュータ暗号が普及し、高度な暗号がハードウェアセキュリティモジュール（HSM）とアプリケーションで利用できるようになると予測します。

耐量子コンピュータ暗号の普及が急速に進むにつれ、PQC は、規制遵守の要件へと進化を遂げることになります。グローバル企業は、量子コンピュータの脅威に対抗できる経済を構築する必要性を認めており、金融サービスとヘルスケア分野においては、コンプライアンス標準と規制の実施が検討されています。

予測 2：2025 年には、最高トラスト責任者の雇用が引き続き増加する

企業が、ますます複雑化する規制状況や増加するサイバーセキュリティ脅威に対処するために、デジタルトラストと透明性の確保を優先するにつれ、2025 年には最高トラスト責任者（CTrO）の雇用が引き続き増加すると見られます。カスタマーリレーションの重要な要素としてトラストが位置付けられるようになった今、企業は、データプライバシー、倫理的 AI、安全なデジタル体験を監督する専門の経営責任者の必要性を認めることでしょう。

CTrO は、顧客、パートナー、規制当局との信頼関係を構築し維持していくうえで重要な役割を果たし、企業がコンプライアンス標準の遵守にとどまらず、中核となる資産としてトラストを積極的に育むよう導きます。デジタルエコシステムが拡大するにつれ、テクノロジー、セキュリティ、透明性の調整役であるリーダーの需要は増え、さらに急増しています。

予測 3: Coalition for Content Provenance and Authenticity（C2PA）が主流派になる

サイバーセキュリティ専門家にとって、2024 年の大統領選挙は、AI ディープフェイクにより有権者の信頼が失われる可能性があった最初の選挙になりました。私たちが見聞きするメディア情報の信頼性が疑われる中、コンテンツの来歴を確認することがこれまで以上に重要になってきます。Coalition for Content Provenance and Authenticity（C2PA）のコンテンツクレデンシャルアイコンが広く普及するようになることで、視聴者、クリエイター、マーケターは簡単に本物のデジタルコンテンツを特定できるようになるでしょう。

Adobe、Microsoft、Nikon、Leica などの一流ブランドにサポートされる C2PA 標準は、PKI を活用して改ざん防止の記録を提供し、ユーザーが本物のメディアと偽物のメディアを区別できるようにします。コンテンツが改ざんまたは編集された場合は、その変更が記録されるため、ディープフェイクやその他の変更されたコンテンツを簡単に特定できます。近いうちに、オンライン上にコンテンツクレデンシャルの付いた画像が登場することでしょう。

予測 4: 証明書が進化するにつれ、暗号化の俊敏性がかつてないほど重要になる

直近の認証局/ブラウザ（CA/B）フォーラムミーティングで、Apple 社は、公開 SSL/TLS 証明書の最大有効期間を段階的に減らして、2027 年までに 45 日にすることを提案しました。この提案は、証明書の有効期間の短期化を図るという、広がりつつあるトレンドの一環であり、その意図するところは、証明書の有効期間が長期化することによるリスクを抑え、インターネットのセキュリティを改善することにあります。更新の頻度が増えても後れをとらないように、Web PKI の自動化に対する企業の需要は増すものと思われます。

証明書の自動化が暗号化の俊敏性の基本要素になってから久しいですが、この要素をまだ自社のプロセスに取り込んでいない企業にとっても、証明書に関して起こりつつある諸々の変化は、新たな状況に適応する動機付けになることでしょう。

予測 5: 企業がレジリエンスと運用停止ゼロを求めるようになる

今年の夏に起きたクラウドストライクの大規模障害は、大規模な自動ソフトウェアアップデートのテストを改善する必要性を示しただけでなく、デジタルトラストの重要性も浮き彫りにしました。デジサートは、この要求がますます厳しくなることを予想します。ユーザーは、ソフトウェアとアップデートが安全で信頼できる内容であるだけでなく、それらがセキュアかつ完全に信頼できる状態で実装できることを求めることでしょう。

これは特に、物理的な安全が危険にさらされる状況において当てはまります。IoT が成熟に向かう中、さまざまなユースケースでオーバーザエア（OTA）ソフトウェアアップデートが採用されています。しかし、こうしたアップデートが正当なものであるとどうしてわかるでしょうか？

欠陥のあるアップデートや悪意のあるアップデートを、自動運転車の一団に適用する際に起こりうる被害は容易に想像できます。自動車メーカーは近々、車の所有者に安心感を与えるために、より透明性のあるアプローチ、つまり、自動車に実施されているセキュリティ対策を公開するものと予測されます。

実際、EU で新たに実施された規制により、このトレンドは世界中に広がるものと思われます。EU は、ハードウェアとソフトウェアの設計と生産に関する一連のサイバーセキュリティ要件を採用しました。2027 年に施行されるサイバーレジリエンス法案は、デジタル製品において、IoT セキュリティに対し包括的な取り組みを求める、実効性のある規制の先駆けです。

予測 6: AI 駆動型のフィッシング攻撃が急増する

2025 年、AI の普及により、高度なフィッシング攻撃のかつてないほどの増加が起き、その検出はより困難になることでしょう。攻撃者は AI を活用して、高度にパーソナライズされた説得力のあるフィッシングキャンペーンを作成できます。このキャンペーンは、高度な言語モデルを活用して人間のコミュニケーションをほぼ完全に模倣します。そのうえ自動化ツールを悪用すると、これらの攻撃を脅威となるスピードで展開でき、標的となる個人や組織をピンポイントで狙えます。従来の防御での対応が困難になる中、企業は新たなメカニズムを採用してこのような急増する脅威に対抗していく必要があります。

予測 7: ASC X9 などの新たなプライベート PKI 標準が躍進を遂げる

ASC X9 などの新たなプライベート PKI 標準の存在は欠かせません。なぜかというと、これらの標準により、ブラウザ駆動の画一的な要件に依存しなくても、企業間の相互運用性とトラストを確保できるからです。こうして、個々のビジネスニーズに応じてカスタマイズされたアプローチをとることができます。ASC X9（Accredited Standards Committee X9）は、金融業界向けのセキュリティ標準であり、データ完全性や認証などの重要な側面に対応します。

ブラウザエコシステムの統一的な要件を定めるパブリック PKI とは異なり、プライベート PKI では、セキュリティポリシーとコンプライアンス対策をより柔軟に定義できます。これは、金融、ヘルスケアなど、厳格な規制要件や固有の業務ニーズに対応する必要がある業界にとって特に重要です。セキュアかつスケーラブルな、カスタマイズされたトラストフレームワークを構築することで、企業はこれらの標準を活用して、パブリック PKI では不可能であった方法で、セキュリティの向上とコラボレーションの合理化を図れます。

予測 8: 信頼性を高めるため、暗号の部品表（CBOM）の提出をより多くのユーザーが求めるようになる

サイバー攻撃や、AI などの悪意ある用途で使われる可能性のある新規テクノロジーが進化するにつれ、システム、デバイス、プロセスへの脅威の度合いも増します。ユーザーは、より頻繁、かつより多くのものに電子署名することが予想されますが、ここで、デジタルトラストを高めるための暗号の部品表（CBOM）が必要になってきます。

CBOM は、暗号化資産とその依存性を記述したものです。これは暗号化資産がどこで、どのように使用されているかをよりよく理解するのに役立ち、企業が容易に暗号資産のリスク評価をできるようにします。これらの情報は非常に貴重なため、2025 年には CBOM の使用がより一般的になるでしょう。

予測 9：2028 年までに、スプレッドシートで証明書を管理する時代が終わる

何千枚（場合によっては、何万枚）の証明書を手動で管理する企業*は約 25% に上りますが、証明書を管理するのに手動ツールを使う時代は終わりを迎えつつあります。企業がより厳格なセキュリティ標準を採用し、証明書の有効期間が短くなるにつれ、古くなったプロセスとレガシーアプリケーションを維持することは困難になります。

この変化に伴って、企業は最新の自動化された管理ソリューションを導入するようになります。これにより、進化する業界の需要に対応するための俊敏性、拡張性、および効率を手に入れることができます。自動化と合理化されたワークフローの実現を優先する企業は、これらの課題に対応するのに万全な体制を確立でき、競争力も維持できることでしょう。

*2024 World Quantum Readiness Day 調査。回答者の 23.53% が、自社の証明書は「手動の手段」（スプレッドシートなど）で管理されていると答えました。

予測 10: 企業は自社の技術スタックを簡素化するために、より少数のベンダーを優先的に選定する

今年の夏に起こったクラウドストライクの障害によって、ベンダー 1 社に頼る危険が明らかになりました。それでも、企業はベンダーを選定していくものと思われます。何千社に及ぶベンダー関係と、何千件もの契約に対応するのは、大企業の IT チームならば誰しも直面している課題で、このようなパートナーシップを合理化すると数々のメリットがあります。幅広いソリューションを提供するベンダーとパートナーシップを結ぶと、スケールメリットを活かせるだけでなく、技術スタック全体での統合と相互運用性が簡潔になり、システムの断片化を減らせます。

統合は、運用の可視性と一貫性を向上させることで、セキュリティを強化します。同時に、複数のプラットフォームを管理することから生じるリスクを低減します。また、契約交渉、更新、ベンダー評価に関わる複雑さと時間が減ることにより、IT チームは戦略的な取り組みに力を注げます。より強固かつ協力的なベンダー関係の構築、迅速な問題解決、優れたサポート、および企業のニーズに合わせてカスタマイズされたソリューションが実現されます。

つまり、より少ないベンダーを優先的に選定することで、企業全体で効率、コスト削減、俊敏性を促していくことができます。今後もこの傾向が変わることはないでしょう。

デジタルトラストに関する最新情報

自動化、 PQC、 デジタルトラストなどのトピックについて詳しくお知りになりたい場合、記事を見逃さないように デジサートのブログ を参照ください。