責任と監督が増す中、CISOはAIによるサイバー能力の拡張、新しいツールの試行、パートナーの増加、そして予算をより有効に活用する方法を模索していると、CSOのセキュリティ優先事項調査は示しています。
テクノロジーは急速に変化していますが、一つだけ変わらないことがあります。それはCSOにとって簡単な時代ではないということです。この役割は進化し続けており、セキュリティリーダーはさらに多くの責任を担っており、CSOの2025年セキュリティ優先事項調査によると、76%が自社に最適なセキュリティソリューションを理解することがより複雑になったと報告しています。
さらに、回答者の57%が、過去1年間に発生したセキュリティインシデントの根本原因を特定するのに苦労したと報告しています。
現在、セキュリティリーダーは、サイバー戦略やポリシー策定、リスク管理、AI対応テクノロジーのリスク管理など、幅広い高レベルの責任を担っています。さらに、67%のセキュリティリーダーが、自分たちの責任が自国や地域以外のセキュリティ課題にも対応することを求められていると述べています。
彼らを悩ませているのは、従業員の意識向上トレーニング、予算不足、有能な従業員の維持、プロセスの複雑さ、そしてAIのような破壊的テクノロジーがもたらすリスクへの対応力といった、長年の課題です。
データ保護は引き続き重要な優先事項
CSOの調査によると、セキュリティリーダーが注力している主な分野は、機密・重要データの保護強化(48%)、クラウドデータとシステムのセキュリティ確保(45%)、ITセキュリティインフラの簡素化(39%)などです。
CSO
ザック・ルイス氏(セントルイス健康科学・薬科大学 CIO兼CISO)は、ツールの統合と既存ツールの最大活用が来年の主な優先事項だと述べています。「コスト削減と技術スタックの簡素化を目指し、ベスト・オブ・ブリードよりもプラットフォーム志向に移行しています」とルイス氏は語ります。
さらに、同大学のデータガバナンスの取り組みも継続中です。「データの分類とカテゴライズは完了しました」と彼は言います。「今はそのデータを保持期間ポリシーに従って管理し、重複データの整理を進めています。」
AIへの取り組みはさまざま
AIはますます企業内部に浸透しており、セキュリティオペレーションセンターも例外ではありません。CSO調査によると、セキュリティ意思決定者の73%が今年、AIを活用したセキュリティソリューションを検討する可能性が高いと回答しており、2024年の59%から増加しています。また、58%がAI対応セキュリティ技術への支出増加を計画しています。
キービー・マーフィー氏(Net Health セキュリティ担当副社長)は、AIの影響と、組織が2026年に向けてこの技術にどう対応していくかについて深く考えています。
「今年、AIが今後もなくならないことは明白になりました。実際、これまで遅れを取っていたとされる医療業界でも、これまで以上に不可欠な存在になっています」とマーフィー氏は述べています。Net Healthが参加した最近の医療業界リーダー調査では、回答者の93%が今後12~24か月以内に臨床意思決定支援のためのAI導入を優先していると回答したそうです。
同じ調査では、AIへの信頼はまだ形成途上であり、導入はこれらのツールが十分なROI、使いやすさ、規制上の安全性を示せるかどうかにかかっていることも明らかになりました。マーフィー氏は「このレベルのAI導入を全面的に支持している」としつつ、「多くのサイバーセキュリティ専門家は、高度な技術が新たな脅威をもたらすことに警戒しているため、これは珍しい意見かもしれません」と認めています。
マーフィー氏は「攻撃者がAIや最先端ソフトウェアを使って攻撃してくるのは間違いない」と考えており、病院や個人診療所のように攻撃を受けやすい組織は、同等に高度なツールで対応しなければならないと述べています。
「AIは、医療機関の日常業務(文書作成や管理業務など)を効率化できる素晴らしいイノベーションだと思います」と彼女は説明します。「サイバーセキュリティの目的でも活用すべきです。」
アフラックのグローバルCISOであるティム・キャラハン氏によると、AIはすでに同社のサイバーリスク計画の一部となっており、2026年にはその利用がさらに増えると予想しています。彼のチームはすでにAIや機械学習を脅威検知・対応やマルウェア識別に活用しています。
「さらに、AIは繰り返し作業の自動化、アラートのトリアージ、脆弱性の優先順位付けにも役立っていますが、専門家による評価やインテリジェンスが重要な場面では、必ず人の手を介しています」とキャラハン氏は強調します。「世界中の敵対者がより高度なAI駆動型攻撃を仕掛けてくる中、私たちもこれらの技術を使って、単に追いつくだけでなく先を行くことが重要です。」
彼は、アフラックおよびサイバーセキュリティチームにおけるAIの役割について、「特に規制の枠組みが新技術に適応する中で」慎重に評価していると述べています。
セントルイス健康科学・薬科大学のルイス氏は、AIについてそれほど積極的ではなく、自身のサイバーリスク計画において重要な役割を果たすことはないと述べています。フィッシングメールやビデオディープフェイク、音声や画像の偽造などは懸念材料ですが、「基本的な部分は今も変わらない」と彼は言います。「そこに多額の資金を投入するつもりはなく、既存のセキュリティスタックを強化し、ユーザーの意識を高め、システムを適切に調整することに注力しています。」
AIを活用した攻撃への懸念が高まる
Net Healthのマーフィー氏と同様に、セキュリティ購買担当者もAIによるサイバー攻撃を懸念しています。
具体的には、回答者の38%がAIを活用したランサムウェアを懸念しており、他にも攻撃者がAIを使って攻撃の自動化を促進すること(35%)、AIで企業の脆弱性を探すこと(33%)などが主要な懸念事項として挙げられています。
CSO
その結果、41%がAIを活用して脅威検知、異常検知、セキュリティ対応の自動化を計画しています。他にも、マルウェア検知やリアルタイムリスク予測(39%)、DLPやエンタープライズシステムの可視性向上などにAIを活用する計画が挙げられました。
さらに、40%は既存のセキュリティシステムにAI機能が追加料金なしで組み込まれることを期待しており、32%は自社のセキュリティニーズに合ったAI対応ソリューションに追加料金を支払う意向です。
CSO
AIセキュリティ技術がもたらすメリット
AI対応セキュリティ技術の恩恵をすでに受けていると回答した人は99%にのぼり、2023年の72%から大幅に増加しています。
主なメリットとしては、未知の脅威の迅速な特定(44%)、検知・対応時間の短縮(42%)、大量データの迅速な分析(42%)、自動化による従業員の負担軽減(42%)、より積極的な対応が可能になること(42%)などが挙げられています。
セキュリティリーダーは、認証(36%)、セキュリティ意識向上・トレーニング(35%)、インシデント対応(34%)、DLP(33%)、EDR(32%)など、多様なツールを本番環境で運用していると報告しています。
今後注目しているツールには、セキュリティ分析(28%)、エンタープライズセキュリティ管理(27%)、SIEM(26%)、データガバナンス(26%)などがあります。
CSO
アフラックのキャラハン氏は、自社が「高度に進化したセキュリティツール」を優先していると述べています。たとえば、ゼロトラストの導入では、アクセス検知やブロックなどカスタマイズしたアプローチを採用したそうです。「このアプローチにより、ビジネスに影響を及ぼすようなミスや落とし穴を回避できました」とキャラハン氏は語ります。
来年は、「可視性を高め、自動化と統合を強化するツールを導入する計画です」と彼は付け加えます。
セントルイス健康科学・薬科大学では、最近新しいDLPツールを導入しましたが、これは「AIへの懸念に関連しています」とルイス氏は述べています。
また、メールセキュリティに特化したツールを統合し、Microsoftのメールゲートウェイや他のセキュリティ機能を活用する予定です。同大学はMicrosoft環境のため、これによりDLPシステムの導入が可能になり、「今やデータがより多くAIシステムに流れているため、非常に重要です」と彼は言います。「その点をしっかり監視し、機密データや独自の研究データがパブリックなLLMに流出しないようにしたいのです。」
予算はほぼ横ばいの見込み
セキュリティ予算が変わらないと回答したのは55%、増加を見込むのは43%だったと、セキュリティ優先事項調査は報告しています。
ルイス氏は、来年も予算は横ばい、もしくは1%増程度と予想しており、高等教育機関ではこれが一般的だと述べています。「今あるツールでやりくりします」と彼は言います。
アフラックのキャラハン氏によれば、同社の予算増加は「先進技術への投資、新たな規制要件への対応策、そして人材育成の継続的な必要性」によって決まるといいます。
調査回答者によると、セキュリティ投資を促す主なビジネス優先事項は、サイバーセキュリティ保護の強化(42%)、業務効率の向上(37%)、AI主導のイノベーション・アプリケーションの加速(31%)、収益性の向上(30%)、自動化や統合など既存業務プロセスの変革(30%)です。
セキュリティ環境が複雑化する中でMSPの価値は維持される
今年の調査で明らかになったもう一つの点は、回答者の90%が今後1年以内にマネージドサービスプロバイダー(MSP)や他のサードパーティにセキュリティ機能をアウトソースする計画があるということです。
アフラックは長年、特に24時間365日の対応のためにマネージドセキュリティサービスプロバイダー(MSSP)を利用してきたとキャラハン氏は述べています。
「2026年には、サードパーティプロバイダーとのパートナーシップをさらに拡大しますが、これはコアチームの代替ではなく、戦略的イニシアチブに関するチームの成果を強化するためです」と彼は言います。「環境が複雑化する中、脆弱性管理やコンプライアンスなどの分野で追加サポートが期待されます。」
ルイス氏もこれに同意し、大学でも24時間365日のSOC対応のためにサードパーティプロバイダーを引き続き利用すると述べています。彼のMSSPはSIEM、イベントログ、EDRも担当しています。
CSOの存在感が高まっている
責任が増す中、セキュリティリーダーは取締役会からの注目を集めており、95%が取締役会と関わっていると回答しています(2023年は85%)。48%は月に複数回取締役会と関わっています。
さらに、回答者の70%が、自社の取締役会にサイバーセキュリティに特化した責任や監督を持つ人物がいると答えており、2024年の59%から増加しています。72%は、取締役会との関わりがサイバーセキュリティやセキュリティ施策の改善に役立ったと回答しており、2024年の66%から増加しています。
CSO
ルイス氏は、大学の取締役会や監査委員会とほぼ四半期ごとに会っており、それで十分だと考えています。
「多くのCISOは『席が必要だ』と考えがちですが、それは組織や業界によるかもしれません」と彼は言います。しかし、セキュリティリーダーはむしろCEOとの関係を強化すべきだと考えています。
CISOは「外部で何が起きているかよりも、社内のセキュリティ強化や経営陣、他の部門リーダーとの関係構築に注力すべきです」と彼は言います。ルイス氏は「取締役会での席を持つことよりも、むしろこちらの方が重要だと言えるでしょう」と付け加えます。
CSOのセキュリティ優先事項レポートは、現在および今後1年で組織が注力しているさまざまなセキュリティプロジェクトをより深く理解するために641人を調査しました。また、IT・セキュリティチームが最も時間と戦略的思考を要する課題についても調査しました。回答者は北米(46%)、APAC(36%)、EMEA(18%)から構成されています。 平均企業規模は14,494人です。
