Gartner、日本のセキュリティ／リスク・マネジメントのリーダーが2025年に押さえておくべき重要な論点を発表

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、日本のセキュリティ／リスク・マネジメント (SRM) のリーダーが2025年に押さえておくべき重要な論点を発表しました。

開催中のガートナー セキュリティ＆リスク・マネジメント サミット2日目の基調講演において、バイス プレジデント アナリストの礒田 優一、シニア ディレクター アナリストの矢野 薫、ディレクター アナリストの鈴木 弘之が、新たな時代のセキュリティ・ガバナンスと生存戦略、AIエージェントによる新たな働き方とセキュリティ、セキュリティ・オペレーションの進化の3つの観点から解説しました。

新たな時代のセキュリティ・ガバナンスと生存戦略

2025年、AIを巡る開発競争の加速、地政学、サードパーティ／サプライチェーンやサイバー・フィジカル・システムのリスク等、セキュリティとリスク・マネジメント領域はその複雑さを増しています。2025年のGartnerの調査では、世界のCEOの85%はサイバーセキュリティを企業の成長を促進する上で不可欠とみなすようになっています。企業を評価する投資家の見方も変化が生じており、これまでは財務諸表が企業評価の物差しでしたが、テクノロジの進化とそれに伴うリスクの増加を踏まえ、新たな評価軸が必要になっています。

礒田は次のように述べています。「この変化は、企業の『生存能力』と『成長戦略』の根幹をなす要素として、デジタル・リスクへの対応が位置付けられるようになったことを意味します。新たなデジタル革命の時代においては、レジリエンスを標榜した生存戦略のある企業と、ない企業で明暗が分かれることになるでしょう」

AIができることが今後急速に増えていくなかで、セキュリティ人材の在り方も今後3年で大きな変化をしていくと考えられます。2025年のGartnerの調査では、セキュリティ人材の不足に対する具体的な取り組みとして、大きくは採用、育成、アウトソーシングがありますが、育成を第一に挙げる企業が以前よりも増加傾向にあります。しかしながら、従来型の育成方法には限界がきています。新しい時代の人材育成へとシフトさせていく必要があります。

礒田は次のように述べています。「AIについては、すぐに人間の代わりになるという訳ではなく、短期的には幻滅期もあると思いますし、超えていかなければいけないチャレンジもあります。しかし、AIの進化が早いため『短期』のスパンが以前より短くなっています。近い将来として、新しい時代のセキュリティ人材を再定義し、人が幸せになる新しい育成方法へと刷新すべきです」

AIエージェントによる新たな働き方とセキュリティ

AIエージェントの台頭により、ビジネスの現場では情報漏洩の懸念が拡大していますが、Gartnerが2025年2月に、国内のセキュリティ・リーダーを対象に実施した調査によると、59.3%の企業が情報漏洩対策について、そもそも何から始めればよいか分からないと回答しています。

矢野は次のように述べています。「AIエージェントは、アイデンティティの爆発的増加とデータ・トランザクションの多様化／複雑化をもたらしています。それによって、情報漏洩対策にも変化が生じています」

AIエージェントに付与されるIDは「マシンID」と呼ばれ、アイデンティティにおける新たな管理対象として位置付けられるとともに、過剰なアクセス権が付与されないよう管理していくことになります (図1参照)。

矢野は次のように述べています。「マシンIDの挙動やアクセス権を定めていくために、従業員はマシンIDの『オーナー』として新しいセキュリティの役割と責任を果たさなくてはなりません。企業はそのための新しいプロセスの確立と浸透を、従業員とともに行っていく必要があります」

また、企業においては、AIエージェントによって、これまで曖昧だった「データ管理者」と「データ利用者」の関係性がより鮮明になります。管理者はデータを守りたい理由を、利用者はデータ活用の目的を相互に明確にしあうという、新たな関係性と責任が生まれます。矢野は次のように述べています。「膨大なデータを有している企業の場合、データ分類や評価にも膨大な時間が掛かることが予想されます。動き出したデジタル・トランスフォーメーション (DX) を完全停止にしないためには、データ活用と保護の理由が明確なAIプロジェクトを優先させるといったリーダーシップが肝要となります」

セキュリティ・オペレーションの進化

AIの進化は、セキュリティ・オペレーションにも進化をもたらしています。生成AIを使ったより不自然さのない攻撃や、自動化された攻撃が増えています。一方で防御する側は、AIの活用により、検知能力の向上、インシデント・レポートの自動作成、脅威分析の迅速化などが可能になっています。

鈴木は次のように述べています。「セキュリティ・オペレーションを担うリーダーは、AIセキュリティ・オペレーション戦略を持つことが重要です。それには、AIのテクノロジ情報を、攻撃分析、検知強化、脅威インテリジェンス、運用課題解決の4つの観点で整理し、自社にどのような影響を及ぼすかを分析する必要があります」

理想的にはCAIO (Chief AI Officer：最高AI責任者) などを中心とした明確な体制を構築し、各部門が連携してAI施策を推進するのが望ましいですが、多くの企業ではCISO (最高情報セキュリティ責任者) やCIOの不在、兼任などにより、理想通りの体制を整えるのは難しいのが現状です。それでもAIセキュリティ・オペレーションにおける脅威分析、検知、脅威インテリジェンス、プロジェクト管理という4つの重要タスクは必ず意識すべきです。人数や役割分担にこだわらず、2人で分担したり、チームで協力したりする形でも構いません。膨大な情報をただ集めるのではなく、4つの戦略的観点から整理し、自社でどう活用できるかを常に考え続けることが重要です。

一方で、脅威インテリジェンスは、運用に課題を抱えていることも分かっています。鈴木は次のように述べています。「脅威インテリジェンス・ツールはできることがたくさんありますが、どこまで、どのようにやるかまでは決まっていない組織が多く見られます。Gartnerはそれぞれの脅威エクスポージャに対して、どのように、どこまで対処するか、CTEM (継続的な脅威エクスポージャ管理) のフレームワークを使って判断することを推奨しています。AIのテクノロジは、情報の収集や分析で活用できます。今まで手動でやってきた面倒なタスクはAIに任せて、人は判断する、決断する、組織を動かして改善することに集中すべきです」

Gartner for Cybersecurity Leadersについて

Gartner for Cybersecurity Leadersでは、セキュリティ・リーダー (CISOs) が役割を再定義し、セキュリティ戦略をビジネス目標に整合させ、セキュリティ保護と組織のニーズのバランスを取るプログラムを構築できるよう支援します。詳細は以下よりご確認いただけます。https://www.gartner.co.jp/ja/cybersecurity

日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやLinkedIn、Facebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。