DIME MAGAZINE
アクセンチュアは、日本を含む17か国の大企業でサイバーセキュリティおよびテクノロジーを担当するエグゼクティブ2286人を対象とした調査に基づいて最新レポート「サイバーセキュリティ・レジリエンスの現状 2025(State of Cybersecurity Resilience 2025)」を発表した。
この調査では、AIの急速な普及により、サイバー脅威のスピード、規模、巧妙さが飛躍的に増しており、多くの企業の既存のサイバー防御態勢では対応が追いついていないことが明らかになったという。特に組織の77%(日本では82%)が重要なビジネスモデル、データパイプライン、クラウドインフラを保護するために必要なデータおよびAIセキュリティ対策を講じていなかったという。
成熟度が高い変革準備完了ゾーンは全体の10%
アクセンチュアは、組織のサイバーセキュリティ戦略と技術力に基づいて、セキュリティ成熟度を3つのゾーンに分類。その中でもっとも成熟度が高い変革準備完了ゾーン(Reinvention Ready Zone)に分類されるのは、全体のわずか10%(日本では8%)だったという。
このゾーンに属する組織は、進化する脅威に対応するための高い適応力とレジリエンスを備えており、先進的かつ柔軟なセキュリティ体制を構築している。中間層に位置する進展中ゾーン(Progressing Zone)には27%(日本では32%)の組織が属し、一定のセキュリティ体制を有するものの戦略の明確化や効果的な防御策の導入に課題を抱えているという。
もっともリスクが高い脆弱ゾーンには、もっとも多い全体の63%(日本では60%)の組織が該当し、サイバーセキュリティ対策が不十分で脅威に対して受動的な対応にとどまっているのが特徴。複雑化するAI環境やグローバルなリスク要因によってさらに深刻化している状況だ。
アクセンチュアの最新調査では、人工知能(AI)がビジネスの在り方を劇的に変革する中、大多数の組織(グローバル全体で90% 、日本では92%)がAI主導の未来に備えたセキュリティ対策を十分に講じられていないという。世界全体では、企業の63%(日本では60%)が「脆弱ゾーン(Exposed Zone)」に該当し、統一されたサイバーセキュリティ戦略とそれを支える必要な技術力の双方が不足しているという。
AI施策では『セキュリティ・バイ・デザイン』のアプローチが不可欠
アクセンチュア セキュリティのグローバル責任者であるパオロ・ダル・チン氏は、「地政学的緊張の高まりや経済の不確実性、業務運用環境の複雑化に加え、AIを悪用したサイバー攻撃の台頭により、組織はこれまでにないレベルでサイバーリスクにさらされています。もはやサイバーセキュリティは後回しにできるものではなく、経営の最優先事項として捉える必要があります。また企業活動におけるAI活用が加速する中、あらゆるAI施策に対して設計段階からセキュリティを組み込む『セキュリティ・バイ・デザイン』のアプローチが不可欠です。こうした積極的なアプローチは、競争優位性の確保や顧客ロイヤルティの強化の向上にとどまらず、サイバーセキュリティをビジネスの成長を支える推進力へと転換するカギとなるでしょう」とコメントしている。
生成AIの急速な進化がサイバーセキュリティにパラダイムシフトを引き起こす
企業によるAI導入が急速に進む一方で、生成AIの活用に関して明確なポリシーと研修を導入している組織は、わずか22%(日本では19%)と限定的で、サプライチェーンにおけるリスク管理に不可欠であるにもかかわらず、AIシステムの包括的なインベントリーを整備している企業はごく少数に限られているという。データ保護体制も依然として不十分で、機密情報の保護に暗号化技術やアクセス制御を十分に活用している組織は、全体の25%(日本では31%)だという。
アクセンチュアのグローバルデータ&AIセキュリティの責任者であるダニエル・ケンジオール氏は、「生成AIの急速な進化は、サイバーセキュリティの領域において根本的なパラダイムシフトを引き起こしており、AIを悪用したサイバー攻撃など従来の枠組みでは対応しきれない新たな課題とともに、企業のセキュリティ対策におけるAI活用の可能性の大きさも示唆しています。組織はAIシステムの設計段階からセキュリティを中核に据え、継続的に監視・更新することで、深刻な脅威に先手を打つことができます。ビジネスのレジリエンスを確保するには、破壊的な変化に迅速に対応できる備えと、組織として確信を持って行動できる力が不可欠です」とコメントしている。
地域を問わずサイバーセキュリティの成熟度が依然として低水準にとどまっている実態があり、今回の調査でも組織の意欲と実行力との間に深刻なギャップが存在していることが浮き彫りになっている。北米の組織で成熟した体制にあるのはわずか14%、欧州の組織ではわずか11%にとどまっており、中南米では77%が基本的な戦略と能力を欠いており、アジア太平洋地域の組織の71%(日本では60%)が依然として脆弱ゾーンに位置づけられている。これは深刻な運用リスクと財務リスクに直面しているといえるだろう。
ただ、成熟度の高い変革準備完了企業は、高度なサイバー攻撃に遭遇する可能性が69%低く、攻撃をブロックする効果も1.5倍と高い。IT環境とOT(運用技術)環境全体の可視性は1.3倍向上し、技術的負債を8%削減、顧客からの信頼も15%向上しており、サイバーセキュリティ対策の強化がレジリエンスとビジネス価値の両方を向上させることを示しているという。ちなみに変革準備完了ゾーンに到達するために、組織が講じるべき4つの重要なアクションは以下のとおり。
1:AIによって変革される世界の環境を前提に、目的に即したセキュリティガバナンスの枠組みと運用モデルを構築および導入し、明確な説明責任を確立するとともに、AIセキュリティを規制とビジネス目標に整合させること。
2:生成AIを安全に活用するために、開発・展開・運用の各プロセスにセキュリティを組み込み、設計初期からセキュアなデジタルコアを構築すること。
3:新たな脅威に先回りして対処できるよう、安全な基盤を備えた回復力のあるAIシステムを維持し、検知能力の強化、AIモデルのテスト、対応メカニズムの高度化を図ること。
4:生成AIを活用してセキュリティプロセスを自動化し、サイバー防御を強化するとともに、脅威の早期検出を実現することで、サイバーセキュリティの在り方自体を再構築 すること。
AIの進化によって生まれる急速なサンバー脅威に対抗するために、多くの企業は早く4つのアクションを元に強力な対抗策を講じていくべきだろう。
『サイバーセキュリティ・レジリエンスの現状 2025(State of Cybersecurity Resilience 2025)』調査方法
売上高10億米ドル超の大規模組織に所属する2286名の経営幹部(最高情報セキュリティ責任者〈CISO〉が80%、最高情報責任者〈CIO〉が20%)を対象に実施した調査に基づいて、北米・南米、欧州、アジア太平洋(日本を含む)、中東、アフリカの17か国24業種にわたって、2024年10月末から2024年12月にかけてオンラインで実施されている。
https://newsroom.accenture.jp/jp/news/2025/release-20250728
構成/KUMU
最新号
