2025年サイバーセキュリティ啓発月間
1年を通して継続可能なベストプラクティスを確立しましょう
過去20年以上にわたり、米国サイバーセキュリティインフラストラクチャ・セキュリティ庁(CISA)と非営利団体のNational Cybersecurity Allianceが主導するサイバーセキュリティ啓発月間キャンペーンは、組織に対してサイバーセキュリティ教育、トレーニング、協力体制の構築、計画策定への取り組み強化を呼びかけてきました。毎年10月に従業員向けトレー��ニングプログラムを実施する企業もあれば、戦略的なセキュリティワークショップを開催する企業もあります。いずれの場合も、いくつかの重要な取り組みを行うだけで、最新の脅威に対する防御力を大幅に高めることができます。
今年は、テクノロジーの急速な進歩により、これまで以上にセキュリティ意識の向上と戦略の更新が重要になっています。昨年末にテクノロジーリーダーが行った予測の多くが現実となっています。AIの導入は加速し続けており、それに伴いセキュリティとプライバシーの強化がより一層求められています。一方で、企業は、巧妙なフィッシングメールから大規模な分散型サービス妨害(DDoS)攻撃まで、AIを活用した高度化する脅威に直面しています。また、サプライチェーンの脆弱性を突いた最近の攻撃は、広範囲に影響を及ぼしています。
こうした状況の中、今こそ、サイバーセキュリティの実践について、従業員、ベンダー、パートナー、顧客と再度対話し、戦略計画を見直す重要な時期です。今月のサイバーセキュリティ啓発月間、そしてその先の未来に向けて、4つのベストプラクティスに従うことで、セキュリティ体制を強化し、差し迫った脅威や長期的な脅威に備えることができます。
組織全体への意識浸透と教育への関与
どれほど高度なセキュリティツールがあっても、サイバーセキュリティの根幹は人と文化にあります。この機会に、サイバーセキュリティの重要性と、一人ひとりが組織を守る責任を持つことの大切さを改めて強調しましょう。従業員は、個々の脅威に対応する実践的なスキルと、あらゆる業務にセキュリティを組み込むという意識の両方を備えている必要があります。
フィッシング対策の教育を最優先事項にしましょう。フィッシングなどのソーシャルエンジニアリング戦術は依然として大規模攻撃の主要な入口であるため、従業員が重要な第一線の防御となります。近年のAIによって生成されたフィッシングメール、テキストメッセージ、ディープフェイク動画の増加に伴い、従業員にはこれらの偽装を見抜き、阻止できるためのより一層の指導が必要です。
従業員の意識向上と教育においてもう一つ重要なのが、AIツールとAIエージェントを安全かつ責任ある方法で使用することです。従業員が、どのAIツール、どのような利用ケースが許可されているかを理解し、機密データをAIモデルに公開しないように徹底してください。
Cloudflareでは、サイバーセキュリティは事業の中核要素であり、従業員の最優先��事項となっています。それでも私たちはさらなる意識を高め、教育を提供し、集団的なサイバーセキュリティ活動への積極的な参加を促進するために設計された、複数のプログラムを実施しています。
研修:当社では、毎年10月に、従業員を対象としたプライバシーとセキュリティに関する意識向上を目的とした必須の研修を実施しています。毎年、短い情報動画、インタラクティブな演習、クイズを組み合わせた新しいコースを制作しています。また、実際に届いたフィッシングメールのスクリーンショットや大規模攻撃に関する議論まで、最近の実際の例を取り入れ、脅威をより具体的に示しています。
非公式教育:社内コミュニケーションや全社会議でのプレゼンテーションを通じて、新しい機能をお客様に提供する前に社内でテストする「カスタマーゼロ」プロジェクトなど、セキュリティを強化するための最新のチームの取り組みを頻繁に紹介しています。また、脅威インテリジェンスチームが主導する「ランチ・アンド・ラーン(ランチミーティング)」のような、非公式な対面式およびオンラインでの新たな脅威やトレンドについて議論・対話の場を設けてします。
机上演習:Cloudflareのセキュリティチームは、年間を通して脅威インテリジェンスに基づく「机上演習」を実施しています。これは攻撃やその他のセキュリティインシデントを想定したシミュレーションで、この演習の結果を回復力を維持するための最適な戦略の策定に役立てます。
これらの活動では、Cloudflareのグローバルネットワークから収集されたリアルタイムの脅威インテリジェンスを活用しています。また、社内セキュリティインシデント対応チームが収集した、年間を通して発生した上位インシデントに関する情報も取り入れています。そして、そこで得られた新しいインテリジェンスとインサイトは、Cloudflareのお客様であるかどうかにかかわらず、すべての組織に対し無料で共有しています。
顧客およびベンダーと連携する
サイバーセキュリティは、どの組織も単独では守りきれません。社員教育や社内のセキュリティ文化の強化に加え、パートナーやベンダーとの継続的な連携を通じて、最新テクノロジーを最大限に活用し、急速に進化する脅威に対処するためのベストプラクティスを実装することが不可欠です。サイバーセキュリティ啓発月間は、パートナーおよびベンダーのエコシステムとの連携を再検討する良い機会となります。
業種を問わず、顧客と直接会ってセキュリティ上の懸念を話し合うことが、データ保護の強化、および信頼関係の維持に繋がります。このサイバーセキュリティ啓発月間を利用して、お客様からご意見を伺ったり、脅威の状況における共通の傾向について話し合うことをご検討ください。
コミュニティの連携は、より良いインターネットを構築するというCloudflareの使命の中核をなすものであり、この取り組みは10月だけに限定されるものではなく、Cloudflareは様々な業界のコンソーシアムや共同の取り組みに参加し、新たな脅威をいち早く特定、対策するための活動を行っています。問題のある傾向を発見したり、新しい種類の攻撃を経験した際には、あらゆる組織がそれらから保護できるよう役立つ情報や概要を公開しています。当然、当社のサービスにも新たに対策を適用しています。
例えば、最近発生したSalesloftのセキュリティ侵害(Cloudflareおよび顧客にも影響)を受け、私たちはSaaSアプリケーション間の接続の安全性を強化へと着手しました。現在は、複数のSaaS接続を単一のプロキシ経由に集約し、組織が接続をより適切に監視し、攻撃を検出し対応できるようにする作業を進めています。
当社は、Project Galileo(公益団体を保護する取り組み)やProject Cybersafe Schools(米国の小規模な幼稚園から高校までの学区に無料のツールを提供する取り組み)などの活動を通じて、地域社会にも貢献しています。これらのCloudflare Impactプロジェクトなどを通じて、最先端のサイバーセキュリティ技術への投資が難しい分野の組織を継続的に支援しています。
短期的な計画を立てる
サイバーセキュリティ啓発月間は、当面のセキュリティ計画を見直す良い機会です。今年や来年に自社へ影響を及ぼす可能性のある新たな脅威に、しっかり備えましょう。
インターネット環境に登場し始めている新たなパターンを把握できる無料ツールを活用することから始めましょう。例えば、機械による自動通信や自律型ボットの活動が活発化していることは、大規模DDoS攻撃やマルチベクター攻撃をはじめとする、より大規模かつ高度な脅威の兆候となります。こうした悪意あるトラフィックの変化を理解することで、どこに優先的にセキュリティ投資や対策を行うべきかを判断できます。
Cloudflareはインターネットトラフィックの20%を可視化しているため、インターネットの動向や新たな脅威について、他にない視点から把握しています。その知見をもとに、私たちはCloudflare Radarという無料のデータ提供サービスを運営しており、次に来る攻撃に備えるための分析情報や洞察を公開しています。たとえば、Radarが観測したDDoS攻撃の前年比358%増加というデータは、組織がDDoS防御を強化すべきだという明確な警鐘といえます。
また、Cloudflareは、DDoS攻撃対策やWebアプリケーションファイアウォール(WAF)による保護など、AIと機械学習に基づくセキュリティ機能を提供し、急速に増大する脅威に対抗するためのチームの負担を軽減します。たとえば、当社ではゼロデイ脆弱性に対して緊急WAFルールを展開して組織を保護し、お客様のチームが環境へのパッチ適用に時間を費やせるようにし、チームメンバーが他の脅威に集中できるようにします。
長期的な視点で考える
短期的な脅威は喫緊の優先事項である一方、サイバーセキュリティ啓発月間は、長期的な計画を評価する上でも重要な機会となります。この機会に、数年単位の取り組みを始めて、新技術の導入や将来の脅威から組織を守るための体制を整えましょう。
例えば、組織がAIアプリケーションやAIエージェントを構築し続ける中で、モデルコンテキストプロトコル(MCP)を実装することで、大規模言語モデル(LLM)以外のソースにも効率的かつ安全に接続できるようになります。AIアプリとエージェントをライフサイクル全体で保護するために、より包括的なセキュリティ対策の実装を開始することもできます。
また、ポスト量子暗号(PQC)の実装も早すぎると言うことはありません。サイバー犯罪者が量子コンピューターで現在の暗号化標準を破るには数年かかるかもしれませんが、彼らは将来的に解読するために、現在も機密データを収集しています。複数年かかるPQCプロジェクトは、早ければ早いほど、ポスト量子前後の脅威からより早く保護することができます。
Cloudflareは、長期的なプロジェクトを支援する様々なサービスを提供しています。たとえば、Cloudflare上にリモートMCPサーバーを簡単に構築できるようになりました。また、Cloudflare AI Security Suiteは、AIアプリ、エージェント、およびMCPサーバーのデプロイメントをAIライフサイクル全体にわたって保護するための統合プラットフォームを提供します。さらにCloudflareは、PQCへのシームレスな移行を支援します。
継続的な意識向上と教育を実施する
サイバーセキュリティ啓発月��間は毎年10月末で終了します。もちろん、サイバーセキュリティに関する意識向上、訓練、連携、計画といった活動は、サイバーセキュリティ月間だけで終わらせるべきものではありません。
新入社員研修の中にセキュリティ教育を必ず組み込むこと、新たな脅威に関するインサイトを全従業員に速やかに共有すること、同様に、セキュリティに関するお客様との継続的な議論を促進し、常にセキュリティ戦略を見直し・改善することが重要です。年間を通じて持続可能なプロセスを確立することは、組織の将来的な防御力を強化することにつながります。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
サイバーセキュリティ計画の見直しを迫る最新の脅威とトレンドについての詳細は、『2025 Cloudflareシグナルレポート:大規模に対応するレジリエンス』をご覧ください。
著者
Rohit Chenna Reddy — @crohitreddy
セキュリティ戦略担当兼最高セキュリティ責任者付参謀長
Jordan Lilly — @jlillss
上級CSOセキュリティエンゲージメント担当
記事の要点
この記事では、以下のことがわかるようになります。
AI時代においてサイバーセキュリティ意識を高めることが重要な理由
サイバーセキュリティの意識向上、教育、連携、計画のための4つのベストプラクティス
サイバーセキュリティ啓発月間後もプログラムを拡充する方法