CISOのセキュリティ・アジェンダを阻む4つの課題

多くのセキュリティリーダーは、サイバー侵害は避けられず、唯一の不確実性はその時期だと考えている。これは「侵害は“起きるかどうか”ではなく、“いつ起きるか”だ」というよくある言い回しに端的に表れている。

しかし、増えつつあるCISOは、インシデントが「いずれ」ではなく「近いうち」に起きると見込んでいる。セキュリティ技術企業Proofpointが2025年8月に発表したVoice of the CISO Reportによれば、76%が今後12カ月以内に重大なサイバー攻撃を受けるリスクがあると感じているという。前年の70%から増加した。

また同レポートでは、CISOの58%が自組織は対応準備ができていないと考えていることも明らかになった。

攻撃がほぼ不可避だという全体的な感覚に加え、セキュリティ責任者は、全体的なセキュリティ態勢を強化し、攻撃を阻止したり対応したりする能力への自信を高めることを妨げるさまざまな課題があることを認めている。

ここでは、セキュリティリーダーが、企業のセキュリティ・アジェンダを阻む4つの課題を共有する。

1. 優先事項に基づいて行動できるよう、チームメンバーを訓練し権限を与えられていない

CISOは、自分たちのセキュリティチームには、こなしきれないほど多くの仕事があることを率直に認めている。それは大きなストレスにつながる。テックメーカーNagomi Securityの2025 CISO Pressure Indexによれば、CISOの約80%が現在、高い、または極度のプレッシャー下にあると報告しており、87%は過去12カ月でプレッシャーが増したと答えた。さらに、67%が週次または日次で燃え尽き状態にあると報告している。

「どのCISOも非常に圧倒されています」と、Databricksのフィールド・セキュリティ・プラクティスを率い、カーネギーメロン大学のCISOプログラムで教え、HITRUSTとFAIR Instituteの理事も務めるOmar Khawajaは語る。

対処するために、CISOは優先順位付けに長けるようになり、組織にとって最も重大なリスクを低減するタスクがリストの上位を占めるようになった。

しかし、CISOがチームメンバーを訓練し、そうした優先事項に沿った意思決定と行動を適切に行えるようにしていないケースがあまりに多いと、Highmark Healthの元CISOでもあるKhawajaは指摘する。

その結果、優先順位の判断をすべて幹部が行うことになり、幹部の手が塞がるうえ、チーム全体のスピードも落ちてしまう。

CISOは、チームメンバーが自分の担当領域でいつ、どのように優先順位の判断を下すべきかを理解することを目指すべきだ。「そうすれば、すべてのチームが最も重要なことに集中できます」とKhawajaは言う。

「そのためには、意思決定支援をどう行うかについて、明確な仕組みと指示を作る必要があります」と彼は説明する。「セキュリティチームが提供するあらゆるものについて、高・中・低の優先度だと判断する基準や要因があるべきです。そうすれば、どのチームメンバーでも自分に届いた依頼を見て、自信を持って効果的に優先順位付けできます。」

2. AIの革新と導入のスピードに追いつけない

経営層も従業員も、AIがワークフローを変革し、時間・コスト・労力を節約すると期待して、人工知能の導入を急いでいる。

しかしCISOの多くは、ビジネス側の同僚が進めるAI導入のペースに追いつけていない。

Cyeraの2025 State of AI Data Security Reportのために実施された、ITおよびサイバーセキュリティ専門家921人への調査によれば、83%の組織がAIを利用している一方で、それらのシステムが機密データにどのようにアクセスし、どのように扱っているかを強く可視化できているのは13%にとどまる。AIを独立したアイデンティティとして扱っているのは16%のみ。リスクの高いAI活動を自動的にブロックできる組織は11%のみ。専任のAIガバナンスチームを持つのは7%にすぎない。

「多くのCISOは、AIをどうセキュアにするかで苦闘しています」と、セキュリティ研修・認定機関SANSの最高AI責任者兼リサーチ責任者であるRobert T. Leeは語る。

Leeによれば、相当数のCISOはいまだに、セキュリティ上の懸念から提案されたAIユースケースを禁止する（彼が「Security Framework of No」と呼ぶもの）か、AIのセキュリティを評価している間、導入を遅らせている。

「AIへの取り組み方について、一般的に知識が不足しています」とLeeは言う。

CISOに公平を期すなら、ビジネス側が必ずしもここで助けになっているとは限らない、とLeeは指摘する。「多くの組織ではAI戦略が急速に変化しています。新しいAIバージョンが出るとアジェンダが変わり、1カ月後に別の新しいものが出てまた変わる。セキュリティチームが何を守るよう求められているのか、その標的が動き続けているのです」と彼は言う。

それでも、セキュリティチームがAIの革新と、企業が迅速に導入したいという欲求に追いつけないことが問題であるのは明らかだとLeeは言う。変革を遅らせることで組織のアジェンダを阻害する。また、ビジネス側がセキュリティを完全に迂回してしまうことが多いため、セキュリティ部門の成功も妨げられる。AIの取り組みを遅らせたり止めたりするくらいなら、というわけだ。

その結果、CISOと組織はシャドーAI、管理されていないエージェント、不透明なデータフローを抱え込み、十分に保護されていない拡大した攻撃面を生み出してしまう、とLeeは付け加える。

もちろん、AI導入を適切に評価し、セキュアにする必要は依然としてあるとLeeは言い、ベンダーがAIコンポーネントは安全だと保証しているからといって、組織がそれを鵜呑みにすべきではないと付け加える。

Leeによれば、組織のAI戦略に追随できているCISOは、導入案件ごとに対応するのではなく、全体最適のアプローチを取る。特定のデータに対してリスクプロファイルを確立し、低リスクデータを使うAI導入の評価に多くの時間を費やさないようにし、中リスクまたは高リスクのデータを必要とするAIユースケースを優先して取り組めるようにする。また、AIニーズを把握し続けるためにセキュリティ担当者を各部門に割り当て、AI施策を評価・保護するために必要なスキルをセキュリティチームに訓練する。

3. セキュリティ運用におけるAI活用が限定的

ビジネス側の同僚と同様に、一部のCISOはAIを取り入れて運用を変革しているが、サイバーセキュリティにもたらす利点にもかかわらず、多数派にはほど遠いようだ。

2025 ISC2 Cybersecurity Workforce Studyでは、調査対象となった企業リーダー16,000人のうち、セキュリティ運用にAIツールを統合しているのは28%にとどまった。19%はテスト中、22%は初期評価段階にあるという。

「ビジネスと同じスピードでAIを展開するという点で、CISOは少しキャッチアップしている状況です」と、サイバーセキュリティの研修・認定団体ISC2のCISOであるJon Franceは語る。

Franceは、セキュリティ運用でのAI活用は有益であることが示されているにもかかわらず、この遅いペースが続いていると付け加える。AIセキュリティツールを利用している人の63%が、生産性が大幅に向上したと報告しているという。

ISC2の調査によれば、「AIが最も短期間でサイバーセキュリティ運用に最大の影響を与えると期待される領域として、40%がネットワーク監視を最も高いプラスの影響として挙げ、次いでセキュリティ運用とセキュリティテスト（いずれも30%）、脆弱性管理（29%）、脅威モデリングとエンドポイント保護（いずれも28%）が続いた。」

4. 必要な人材と求められるスキルの不足

CISOは長年、十分な有資格のセキュリティ人材を採用する難しさを挙げてきたが、近年はそれをセキュリティ・アジェンダを前進させるうえでの障害として、より強く挙げるようになっている。

プロフェッショナルサービス企業Accentureの2025年版State of Cybersecurity Resilienceでは、IT幹部の83%がサイバー人材不足を「強固なセキュリティ態勢を実現するうえでの大きな障害」と特定した。

ISC2の調査は、二つの問題が同時に存在することを浮き彫りにした。

第一は人材不足で、2025年には63%が軽度または深刻なサイバーセキュリティ人材不足があると報告した。2024年に同様に答えた68%からは小幅に改善している。

第二はスキルギャップだ。レポートによれば、2025年に重大または顕著なスキルニーズがあるのは59%で、2024年の44%から増加した。また、少なくとも1つ以上のスキルニーズがあるのは95%で、前年から5%増加した。回答者は、最も差し迫ったスキルニーズはAI（41%）で、次いでクラウドセキュリティ（36%）、リスク評価（29%）、アプリケーションセキュリティ（28%）、セキュリティエンジニアリングとガバナンス（27%）、リスクとコンプライアンス（同じく27%）だと述べた。

「私たちには、今日のセキュリティ職務の責務を果たすのに適した人材が必要です」とFranceは言う。

Khawajaもまた、「セキュリティチームに適切なスキルがない」ことを、CISOの成功を阻む障害として挙げる。

しかしKhawajaは、CISOにとっての課題は技術スキル、あるいはソフトスキルの採用ではなく、彼が「ミドルスキル」と呼ぶ、リスク管理やチェンジマネジメントのようなスキルだと見ている。これらのスキルは、セキュリティをビジネスに整合させること、ユーザーにセキュリティ手順を採用してもらうこと、そして最終的に組織のセキュリティ態勢を改善するうえで、より重要になっていくと彼は考えている。「[そのミドルスキル]がなければ、セキュリティチームが到達できる範囲には限界があります」と彼は言う。

CISOは、自らの直接的なコントロールや影響力をはるかに超える労働市場の力と戦っているものの、Khawajaらは、CISOが人材・スキル不足に対処するために取れる手段はあると述べている。学位や経験よりもスキルと能力に焦点を当てた採用に注力する堅固なタレント戦略は、CISOがセキュリティ・アジェンダを前進させるために必要なものを得る助けになるという。