CISOを妨げる4つの問題

alphaspirit.it – shutterstock.com

多くのセキュリティ責任者は、サイバーインシデントは避けられないと考えています――不明なのはその時期だけです。この確信は、「攻撃が起きるかどうかではなく、いつ起きるかだ」というよくある言い回しにも表れています。

しかし、増えつつあるCISOは、インシデントは「いずれ」ではなく「近いうち」に起きると見ています。ProofpointのVoice of the CISO Report 2025では、回答者の約76％が、今後12カ月以内に重大なサイバー攻撃にさらされると考えていると答えました。前年は70％でした。

さらに、回答したCISOの58％は、自社がそれに備えられていないと考えています。攻撃はほぼ不可避だという一般的な感覚に加え、セキュリティ責任者は、さまざまな課題が職務の遂行を妨げていることを認めています。とりわけ、彼らは業務上の問題として次の4点を挙げています。

1. チームメンバーが優先順位に基づいて行動できるよう十分に権限付与されていない

多くのCISOは、自分たちのセキュリティチームが処理しきれないほどの仕事を抱えていることを率直に認めています。これは大きなストレスにつながります。Nagomi Securityの2025 CISO Pressure Indexでは、CISOの約80％が、現在高い、または極めて高いプレッシャーの下にあると述べています。87％では、この12カ月でプレッシャーが増大しました。さらに、回答者の67％が、週次または日次で燃え尽き状態にあると答えています。

「どのCISOも強い過負荷を感じています」と、DatabricksでField Security部門を率いるOmar Khawaja氏は認めます。「それに対処するため、CISOは優先順位付けを学んできました」。多くのCISOにとって最優先は、企業にとって最大のリスクを低減することだとKhawaja氏は言います。

「しかし、CISOがチームメンバーを十分に育成せず、こうした優先事項に沿った適切な判断と行動ができるようにしていないケースがあまりにも多いのです」と、Highmark Healthの元CISOは述べます。その結果、リーダーが引き続きすべての優先順位判断を下さなければならず、チーム全体のスピードが落ちてしまうというのです。

CISOは、チームメンバーが自分の担当領域で「いつ、どのように」優先順位を付けるべきかを理解できるよう取り組むべきだとKhawaja氏は付け加えます。「そうすることで、各チームが最も重要なことに集中できるようになります」

「そのためには、意思決定を支援する明確な仕組みと指針を整備する必要があります」と同氏は説明します。「セキュリティチームにとって、何が高・中・低の優先度に当たるのかを定める基準や要因があるべきです。そうすれば、各メンバーは自分に届くあらゆる依頼を評価し、確実かつ効果的に優先順位付けできます」

2. AIのイノベーションと導入に追いつけていない

経営層も従業員も、AIが業務フローを変革し、時間・コスト・労力を節約してくれるという期待に引き寄せられ、人工知能の活用を急いで進めています。

しかし多くのCISOは、ビジネス側の同僚によるAI導入のスピードに追いつけていません。

Cyeraの2025 State of AI Data Security Reportの一環として、ITおよびサイバーセキュリティの専門家921人を対象に実施された調査によると、企業の83％がAIを利用しています。しかし、これらのシステムが機微データにどの程度アクセスしているのか、またそれらをどう扱っているのかを十分に把握しているのは13％にすぎません。AIを独立したアイデンティティとして扱っているのは16％のみ。リスクの高いAI活動を自動的にブロックできる企業は11％にとどまり、専任のAIガバナンスチームを持つのはわずか7％です。

「多くのCISOは、AI利用をどう安全にするかという問題に苦慮しています」と、SANSのChief AI Officer兼研究責任者であるRobert T. Lee氏は強調します。

Lee氏によれば、多くのCISOはセキュリティ上の懸念から、提案されたAIユースケースをいまだに禁止している――同氏が「Noのセキュリティフレームワーク」と呼ぶもの――か、AIの安全性を評価している間に導入を遅らせています。

「AIにどう向き合うべきかについて、全般的に知識が不足しています」とLee氏は言います。「公平に言えば、企業がCISOを必ずしも支援しているわけではありません」と同氏は指摘します。

もう一つの点は、多くの企業でAI戦略が頻繁に変わることです。「新しいAIバージョンが出るとすぐにアジェンダが変わり、1カ月後にまた新しいものが出て、再び変わる。つまり、セキュリティチームが守るべき対象が動き続けるのです」とLee氏は説明します。

いずれにせよ、セキュリティチームがAIのイノベーションに追いつけないことと、企業が迅速な導入を望むことが問題であるのは明らかだとLee氏は述べます。「変革を遅らせることで、 企業のアジェンダを妨げるだけではありません」とAIの専門家は言います。「企業はAI開発を遅らせたり止めたりする代わりに、セキュリティ部門を完全に迂回してしまうことが多いため、セキュリティ部門の成功も阻害します」

その結果、CISOと企業は最終的にシャドーAI、制御不能なエージェント、不透明なデータフローに直面し、それが十分に保護されていない拡張攻撃へとつながる、とLee氏は付け加えます。

もちろん、AI実装を適切に評価し保護する必要性は依然としてある、と同氏は強調し、企業はAIコンポーネントが安全だというベンダーの保証をそのまま受け入れるべきではないと付け加えます。

Lee氏の見解では、組織のAI戦略に歩調を合わせられているCISOは、個別の導入案件ごとに対応するのではなく、全体最適のアプローチを取っています。特定のデータに対するリスクプロファイルを作成し、セキュリティ部門がAI実装の評価に多くの時間を費やさずに済むようにし、その代わりに中〜高リスクのデータを必要とするAIユースケースに注力できるようにします。

また、AIニーズを把握するために各部門へセキュリティ担当者を割り当てます。さらに、AI施策を評価し保護するために必要なスキルについて、セキュリティチームを訓練します。

3. セキュリティ対策におけるAI導入が限定的

ビジネス側の同僚と同様に、業務を変革するためにAIに頼るCISOもいます。しかし、この技術がサイバーセキュリティにもたらす利点にもかかわらず、そうしたCISOは決して多数派ではないようです。

2025 ISC2 Cybersecurity Workforce Studyによると、回答した企業リーダー1万6,000人のうち、AIツールをセキュリティ運用に統合していたのは28％にとどまりました。調査では、19％がテスト中、22％が初期評価段階にあることも分かりました。

サイバーセキュリティのトレーニングと認定を行う組織ISC2のCISOであるJon France氏は、「ビジネスと同じスピードでAIを導入するという点で、CISOにはまだ追いつく余地があります」と強調します。

France氏は、この緩慢なペースは、セキュリティ運用におけるAI活用が有益であることが示されているにもかかわらず続いていると付け加え、AIセキュリティツールを使用している人の63％が生産性の大幅な向上を報告していると指摘します。

ISC2の調査では、CISOの40％が、AIが最も短期間でサイバーセキュリティ対策に最大の影響を与えると回答しました。次いで、セキュリティ運用とセキュリティテスト（いずれも30％）、脆弱性管理（29％）、脅威モデリングとエンドポイント保護（いずれも28％）が続きました。

4. 必要な人材と求められるスキルの不足

CISOは以前から、十分に有能なセキュリティ人材の採用が難しいと報告してきました。しかし現在では、この問題をセキュリティアジェンダを実行するうえでの中核的な障害として、ますます強く捉えています。

Accentureの調査「2025 State of Cybersecurity Resilience」では、ITリーダーの83％が、サイバー人材の不足を「強固なセキュリティ態勢を実現するための大きな障害」と特定しました。

ISC2の調査によると、この問題は二つの側面に分かれます。

第一に、人材不足です。2025年には回答者の63％が、サイバーセキュリティ人材が軽度または深刻に不足していると答えました。前年の68％からはわずかに改善しています。

第二に、スキルギャップの拡大です。報告によれば、2025年に特定スキルについて「重大」または「大きい」不足があるとした割合は59％（2024年は44％）でした。95％が少なくとも1つのスキル需要を報告しており、前年より5ポイント増えています。最も喫緊のスキルとして挙げられたのはAIの知見（41％）で、次いでクラウドセキュリティ（36％）、リスク評価（29％）、アプリケーションセキュリティ（28％）、セキュリティエンジニアリングとガバナンス（27％）、リスクとコンプライアンス（同じく27％）が続きました。

「私たちには、現代のセキュリティ機能の業務を遂行できる人材が必要です」とFrance氏は述べます。

Khawaja氏もまた、「セキュリティチームに適切なスキルがないこと」がCISOの成功を妨げる要因だと挙げています。ただし同氏は、課題は技術スキルやソフトスキルの欠如というより、リスクマネジメントやチェンジマネジメントといった、いわゆる「ミドルスキル」にあると見ています。

これらのスキルは、セキュリティをビジネスとよりよく連携させ、ユーザーにセキュリティプロトコルの受け入れを促し、最終的に企業のセキュリティ態勢を改善するために、ますます重要になっているとKhawaja氏は考えています。「これらのスキルが欠けていると、セキュリティチームができることは限られてしまいます」

CISOは、自身の直接的なコントロールや影響範囲を大きく超えた労働市場の状況に苦しんでいるものの、人材とスキルの不足に対処するために取り得る別の施策があるとKhawaja氏は言います。「特定のスキルと能力を持つ人材の採用に焦点を当てた明確なタレント戦略は、CISOがセキュリティアジェンダを実行するために必要なものを得る助けになります。」（jm）