AIによる脅威の増大から、拡大する脅威環境に予算が追いつかない問題まで、セキュリティリーダーたちは長年の懸念と新たな課題に対応するため、アジェンダを再構築しています。
CISOの仕事は厳しく、さらに厳しさを増しています。専門職団体ISACAによる2025年サイバーセキュリティの現状レポートの調査では、セキュリティリーダーの66%が、パンデミックの最中であった5年前よりも現在の方が役割がよりストレスフルだと答えています。
彼らが直面している課題を掘り下げれば、セキュリティリーダーやそのチームがストレスを感じるのも無理はありません。
CISOは増大するリスク、優先順位の競合、限られた予算などに対応しています。ここでは、彼らが現在最も重視している10の課題を紹介します。
1. AIインフラのセキュリティ確保
十分な経験を持つCISOなら、新興技術はそれを効果的に守るためのツールや戦略よりも早く進化することを知っているでしょう。
人工知能も例外ではありません。
「AIの利用に対するサイバーセキュリティとガードレールはまだ初期段階ですが、AIの利用自体はそうではありません」と、TCE StrategyのCEOでありサイバーセキュリティ専門家・リスクコンサルタントのブライス・オースティン氏は語ります。
調査結果もこれを裏付けています。セキュリティテクノロジー企業Proofpointの2025年CISOの声レポートによると、世界のCISOの約60%が生成AIが自組織にリスクをもたらすと考えており、2024年の54%から増加しています。
セキュリティトレーニング・認証企業SANSのAI最高責任者兼リサーチ責任者ロバート・T・リー氏は、一部のセキュリティチームがAIを従来の技術のように扱っているが、そうではなく、AIを守るための新たなパラダイムを開発する知識やスキルがまだ十分に備わっていないと指摘します。
「責任転嫁ではなく、皆が学んでいる途中です」とリー氏は言います。「ビジネスは今やAIを受け入れ、迅速に動くことが求められています。取締役会や経営幹部は『もっと積極的に取り組まなければ』と言い、セキュリティチームにAIのサポートを求めます。しかし、セキュリティ側はリスクを完全には理解していません。誰もがまだ手探りの状態で、変化のスピードが速すぎるのです。」
その結果、多くの組織がAI導入を急ぐあまりセキュリティ強化を省略しています。しかしCISOたちは追いつこうとしています。ISACAの調査によると、セキュリティリーダーの47%がAIガバナンスの策定に関与したと答えており(2024年の35%から増加)、40%がAI導入に関与したと答えています(前年の29%から増加)。
2. 急増・加速するAI駆動型攻撃
ボストン・コンサルティング・グループの2025年調査では、世界中のCISOの80%がAIによるサイバー攻撃を最大の懸念事項として挙げており、前年から19ポイント増加しています。セキュリティテクノロジー企業Darktraceの2025年調査でも、CISOの78%がAI駆動型脅威の重大な影響を報告しており、2024年から5%増加しています。
「私が夜も眠れず恐れているのは、AIによって侵害までの時間が分単位、秒単位にまで短縮されてしまったことです」と、Tiro SecurityのバーチャルCTO兼CISOでISACAのサイバーセキュリティ専門家であるジェナイ・マリンコビッチ氏は語ります。
この新たな現実に対抗するため、マリンコビッチ氏は自身が守るべきIT環境を強化し、防御を強め、セキュリティチームにAI駆動型攻撃とその発生スピードへの備えを進めています。「以前は月に1回テーブルトップ演習をすれば十分でしたが、今ではほぼ毎日行う必要があります」と彼女は付け加えます。
3. AI時代のデータ保護
Proofpointの2025年CISOの声レポートで調査されたセキュリティリーダーの約67%が、情報保護とガバナンスを最優先事項と考えています。同レポートでは、ほぼすべてのCISOがデータ損失防止技術を導入していると報告しているにもかかわらず、組織内のデータが十分に保護されていると答えたのは3分の2にとどまりました。
電子機器を専門とする多国籍航空宇宙・防衛企業タレスの2025年データ脅威レポートでは、回答者の36%が自社データの保存場所を特定できる自信が「ややある」または「まったくない」と答えています。
さらに、タレスのグローバルデータセキュリティ担当副社長トッド・ムーア氏は、CISOがAIによって生成される膨大なデータ、特にチャットログのような非構造化データの保護に直面していると述べています。
「ある意味、AIは組織内の新たな内部脅威になりつつあります」と彼は言います。「新たな内部脅威と言う理由は、想定外の場所に多くの情報が保存されているからです。CISOはそのデータを特定し、重要かどうかを判断し、保護できるようにしなければなりません。」
4. 拡大し続ける脅威環境
攻撃の量、速度、頻度は数十年にわたり増加傾向にあり、CISOとそのチームは常に追いつこうとしています。調査会社ガートナーの副社長アナリストカテル・ティーレマン氏は、AIがこの傾向をさらに加速させていると述べます。
「AI時代において、脅威環境は劇的に変化しました。攻撃対象領域は急速に拡大し、シャドウITの導入もさらに広がっています」とティーレマン氏は言います。「CISOはこれまでもこうした問題に対処してきましたが、今ははるかに複雑になっています。」
ハッカーはより組織化され、犯罪組織や政府の支援を受けています。彼らは攻撃能力を高めるために独自のサプライチェーンを構築し、AIを活用して熟練度、規模、成功率を高めています。
CISOが守るべき環境も拡大しています。
「ジャストインタイム生産やあらゆる技術が相互接続されている時代に、CISOはこれまで以上に大きく、複雑に連携した環境を守ろうとしています」とティーレマン氏は言います。
PwCの2026年グローバル・デジタルトラストインサイトレポートによると、調査対象の約半数が、自社が特定の脆弱性を狙ったサイバー攻撃に「ある程度しか」耐えられないと答え、すべての脆弱性に自信があると答えたのはわずか6%でした。
また、エクスプロイトの急増を受けて、より多くのCISOが脆弱性管理の見直しを検討しています。
5. …そしてますます凶悪化する攻撃
セキュリティ専門家は長年、誰もがサイバー攻撃の被害者になり得ると警告してきましたが、一部の組織は攻撃対象外であるという希望も残っていました。2025年9月に発生したKidoインターナショナルプリスクールチェーンの侵害事件では、ハッカーが同社がサービスを提供する約8,000人の子どもの写真や名前を使って身代金を要求し、多くの人々がこれを新たな低俗さと見なしました。
「今や誰もが攻撃対象外ではなくなりました」と、テクノロジー企業Benifexの情報セキュリティ責任者でISACA新興トレンドワーキンググループのメンバーであるサイモン・バックウェル氏は言います。「攻撃グループはますます大胆になり、結果を気にしません。彼らは大規模な破壊を望んでいます。」
6. 予算の制約
調査によると、多くの組織が年々セキュリティ投資を増やしていますが、その増加は攻撃の増加や凶悪化のペースに追いついていません。それがCISOのプレッシャーを高めているとティーレマン氏は述べます。
「コストを抑えなければならない一方で、脅威は増加し、技術的負債や古いシステムのセキュリティ確保も難しくなり、新たな攻撃ベクトルや新技術の登場で状況はさらに複雑になっています」と彼女は言います。
プロフェッショナルサービス企業EYのアメリカ地域サイバーセキュリティ戦略リーダーブライアン・L・デパーシス氏は、多くのビジネスリーダーが経済的不確実性を表明していることから、CISOは近い将来さらに財務的な圧力に直面する可能性があると予測します。
「CISOにはコスト削減の圧力がかかっています」と彼は述べ、CISOが機能の自動化、セキュリティ技術スタックの簡素化、カスタムソリューションの廃止、一部機能のアウトソーシングなどで効率化とコスト削減を図っていると指摘します。
7. 従業員が高度化する詐欺に騙されないよう備える
TCE Strategyのオースティン氏は新手のフィッシング攻撃に遭遇しました。ハッカーは、正規のロゴや情報を使った同社CEOとサプライヤー間の数か月にわたるメールのやり取りを偽造し、そのスレッドを経理部門に転送、最上部のメッセージで未払い金の支払いを求めていました。
同社のメールフィルタリングツールは、そのメールを隔離し、送信元サーバーをフラグ付けしましたが、オースティン氏によれば、同じように「積極的」に設定されていないフィルターなら通過していた可能性が高いとのことです。そして、そのようなメールが従業員の受信箱に届けば、受信者が騙される可能性は十分にあります。
すでにこうした高度な詐欺が成功した例もあり、ディープフェイクやAIで作られたほぼ完璧なメッセージが、多くの人を本物の金銭要求だと信じ込ませています。
そのためCISOは、新世代のフィッシングや詐欺に対抗できるトレーニングや啓発キャンペーンを模索しています。
オースティン氏もその一人です。彼は頻繁なフィッシング模擬攻撃を選択し、「人々の警戒心を常に高めておくことが絶対に不可欠」と考えています。また、模擬攻撃に引っかかった場合には、上司や人事部へのエスカレーションなど、より重大な結果を導入しています。
彼の目標は、デジタル世界において「悪意があると仮定する」意識を従業員に持たせることであり、追加のトレーニングや演習が、最も巧妙な詐欺でも見抜けるような疑い深い思考を身につける助けになることを期待しています。
8. 量子コンピューティング
AI導入のスピードやAI駆動型脅威への対応に取り組む一方で、CISOは量子コンピューティング到来への備えも進めなければならないと、USTのCISOでCyberProof(UST子会社)CEOのトニー・ヴェレッカ氏は述べます。
タレスのデータ脅威レポートによると、組織リーダーは将来の暗号解読、鍵配布、現在のデータの将来的な復号(「今収集して後で復号」攻撃を含む)を量子コンピューティングの主要なセキュリティ脅威として挙げています。
備えとして、ヴェレッカ氏はセキュリティ責任者が組織内の暗号化状況の把握や、どのデータをいつ量子耐性暗号化に移行すべきかの優先順位付けを進めていると述べています。
9. 適切な優先順位の設定
これらの課題を解決すること自体がCISOの最重要課題だと、PwCサイバー&リスクイノベーション研究所リーダーのマット・ゴーハム氏は述べます。
「CISOが今、非常に多くの時間を費やしているのは、競合する優先事項への対応です」と彼は言います。「脅威環境が複雑化する中、やるべきことの優先順位付けに多くの時間を割いていますが、深刻な人材不足の中で、理想より少ない人数で全てをカバーしなければなりません。これこそがCISOが今苦しんでいる本質であり、膨大な課題ポートフォリオの中で優先順位付けをすることなのです。」
10. リスクの正しい把握
業務の優先順位付けには、ビジネスにとって最も重要なこと、組織にとって最も重大なリスクを理解する必要があります。しかし、多くのCISOはいまだにこれらの課題に苦労していると、ナショナル大学サイバーセキュリティセンター所長のクリス・シンプソン氏は述べます。
調査でもCISOにとってこの課題が依然として残っていることが示されています。Proofpointの調査によると、CISOと取締役会の連携は2024年の84%から2025年には64%に低下しています。
「サイバーセキュリティはビジネスを支援するために存在するので、CISOはビジネスのリスク許容度を理解し、それに基づいて導入やリスク軽減策を決定しなければなりません。これはCISOが常に取り組んでいる課題です」とシンプソン氏は述べます。
