今日のITセキュリティ戦略を再構築する5つのトレンド

サイバーセキュリティの本質的な使命は変わりません。それは、デジタル空間に潜むあらゆる危険から組織を守ることです。

しかし、何が危険を構成するのかは進化しており、サイバーセキュリティの攻撃側・防御側の両方で使われる技術も変化しています。同様に、セキュリティ責任者がその使命を遂行する方法も変わってきています。

脅威は増加しており、より高度化しています。攻撃はかつてないスピードで発生しています。人工知能はあらゆるものを再構築しています。市場や財務のプレッシャーも高まっています。

CISOはその圧力を感じています。Bitsight Traceが実施した2025年サイバーリスクとエクスポージャーの現状レポートで、1,000人のサイバーセキュリティおよびサイバーリスクリーダーのうち90%が、5年前よりもサイバーリスクの管理が難しくなったと回答しました。AIの爆発的な普及と攻撃対象領域の拡大が、その難易度上昇の主な2つの理由だと回答者は述べています。

しかし、サイバーリーダーたちは、それがセキュリティに影響を与える要因の一部に過ぎないと言います。ここでは、今日のITセキュリティ戦略を再構築する5つの主要トレンドを掘り下げます。

1. 財務的プレッシャーがセキュリティ予算を圧迫

マクロ経済の不確実性がCレベル経営陣にコスト管理の圧力をかけています。その圧力はセキュリティ部門にも及び、CEOやCFOはCISOに「より少ない予算でより多くの成果」を期待していると、サイバーセキュリティ研究所およびインキュベーターCTM Insightsの創設者兼マネージングパートナーであるルー・スタインバーグ氏は述べています。

「情報セキュリティの資金調達疲れの段階に達しています。予算はこれまでずっと右肩上がりでしたが、今は横ばい、時には減少しています」とスタインバーグ氏は言います。「これは多くのCISOにとって新しいことであり、これまで問われなかった効率性について答える必要が出てきています。」

IANS SecurityとArtico Searchによる2025年予算ベンチマークレポートによれば、年間平均セキュリティ予算の成長率は4%に落ち込み、2024年の8%から大幅に減少し、過去5年間で最低となりました。また、調査対象となった587人のCISOのうち、2025年にセキュリティ予算が増加したと回答したのは47%で、2024年の62%、2022年の78%から大きく減少しました。半数以上（54%）が予算が横ばいまたは縮小したと報告しています。

同様に、プロフェッショナルサービス企業EYによる2025年グローバルサイバーセキュリティリーダーシップインサイト調査でも、サイバーセキュリティ予算が過去2年間で年間売上高の1.1%から0.6%に減少したことが示されています。

スタインバーグ氏によれば、CISOはこれに対応して技術スタックの簡素化を進め、カスタムや一時的なソリューションをやめ、同じ制御を提供しつつ管理が容易で総所有コストの低い市販品に切り替えています。また、効率化のために自動化できる領域をさらに特定し、人材コスト削減のためアウトソーシングも増やしています。

2. AIを活用した攻撃がビジネスリスクを増幅

CISOは今やAIによるサイバー攻撃を最大の懸念事項に挙げており、ボストンコンサルティンググループの調査ではCISOの80%がこれを指摘しています。これは1年前、CISOがAI攻撃を懸念事項の4位に挙げていたのとは対照的です。

攻撃者は生成AIを活用し、より高度で標的を絞った、効果的なソーシャルエンジニアリングを行っています。BCGの調査によると、CISOの62%がこれを主要な懸念または重大な脅威としています。

「組織は自動化された生成AIによる攻撃の急増を目の当たりにしており、攻撃者にとって実行がますます容易になり、従業員やパートナー、顧客を欺くのに非常に効果的になっています」とBCGは調査結果の発表で述べています。

これを受けてCISOは、こうした攻撃に対抗できると考える分野、特に脅威インテリジェンスやアプリケーションセキュリティ、AI対応のセキュリティソリューションへの投資を増やしています。

セキュリティリーダーは、さらに強力なAI攻撃の到来に備えています。ITインフラサービスプロバイダーKyndrylのグローバルセキュリティ＆レジリエンシープラクティスリーダークリス・ラブジョイ氏は、2027年までに企業が完全自律型AIサイバー攻撃を受けるようになると予測しています。

こうした予測を受け、CISOは検知、対応、復旧、レジリエンスのためのAIツール導入を急いでいると、IANS Researchの教員であり公共部門のCISOでもあるヴォルフガング・ゲーリッヒ氏は述べています。

3. エージェンティックAIがセキュリティの基本を再定義

CISOは自組織のAIイニシアティブを守るため、ポリシーの調整やツールの導入を進め、AIが使用するデータやAIアルゴリズムの保護に取り組んできました。

この作業は継続中ですが、CISOは今やエージェンティックAIによるリスクから組織を守る方法の計画を始めなければなりません。

Team8の2025年CISOビレッジ調査では、CISOの37%がAIエージェントのセキュリティ確保を最も緊急の課題の一つと回答しています。

スタインバーグ氏は、エージェンティックAIによってCISOは認証だけでなく認可のアプローチも進化させる必要があると述べています。

「現在の多くのエージェントは自分の囲いの中にいるので、CISOはそれらを暗黙のうちに信頼しています」とスタインバーグ氏は説明します。「しかし今後は、外部のエージェントが（CISOの組織と）やり取りするようになり、CISOはそのエージェントが本当に本人であり、実行しようとしている行為が認可されているかどうかを認証しなければなりません。『あなたは私に依頼している作業を実行する権限がありますか？』と確認する必要が出てきます。」

例えば、スタインバーグ氏は、エージェンティックAIによって旅行者が簡単なプロンプトだけで航空券を予約できるようになると述べています。旅行者は出発空港や目的地、日付、希望の航空会社などの条件でオンライン検索を始め、AIエージェントが検索から予約、支払いまで自動で進めます。

この未来では、航空会社は、そのエージェントが旅行者の代理で予約する権限を持っているかどうかを確認する方法を見つけなければならなくなります。人間が介在しない場合、これは難しい課題だとスタインバーグ氏は述べています。

「本物の身元を持つ実在の人物が、そのエージェントに特定のことをしてほしいと望んでいることを確認する手段が必要です。そうでなければ、組織はその連鎖が信頼できるものかどうか判断できません」とスタインバーグ氏は述べ、エージェンティックAIの登場によって、CISOが認証を認可の代用とする時代が終わると指摘します。

スタインバーグ氏は、この課題に対する実質的な解決策はまだ見当たらないとしつつ、研究者やテクノロジー企業が既存の認可プロトコルを認証メカニズムにも拡張しようとしていると述べています。

「しかし、標準的な解決策ができるまでは、囲いの中のアプローチを続けるしかありません。つまり、自分のものだけを信頼するということです」と彼は言います。「これは、ビジネス側が新しいことをやりたがる時代には制約となります。セキュリティ部門が再び『NO』や『遅い』の部門になってしまうかもしれません。」

4. 変化のスピードがセキュリティ姿勢と実践を変える

スピードもセキュリティ戦略に影響を与えるトレンドです。CISOは、これまで以上に迅速に動いており、今後はさらに速く動く必要があると考えています。これは攻撃者やビジネスのスピードに追いつくためです。

「重要なのは変化のスピードと、それに追いつくことです」と、テクノロジー企業Extreme NetworksのCISO兼情報セキュリティ担当副社長フィル・スウェイン氏は述べています。「CISOはビジネスを支援するために存在し、セキュリティはビジネスの推進役です。ビジネスがより速く進化し、より俊敏で革新的になるにつれ、その流れがセキュリティにも波及しています。セキュリティもより迅速に進化し、より適応力を高める必要があります。」

5. ベンダー環境が存続性・レジリエンス・信頼性に疑問を投げかける

セキュリティテクノロジー分野では、2025年にM&A（合併・買収）が急増しています。

「M&A活動は依然として活発で（2025年第1四半期の年間換算取引件数は2024年の記録的な取引量と同水準）、戦略的な買い手や投資家がクラウドセキュリティ、エクスポージャーマネジメント、アイデンティティ、SecOpsなど主要分野で能力を統合し、進化する企業ニーズに応え、クロスプラットフォームの価値を最大化しようとしています」と、金融・リスクアドバイザリーソリューションプロバイダーKrollの2025年春サイバーセキュリティソフトウェア業界M&Aインサイトレポートは述べています。

しかし、それがCISOにとって常に有益とは限らないと、ゲーリッヒ氏は述べています。

「レジリエンスを考える際には、自社のテクノロジーソフトウェアやサービスプロバイダーのレジリエンスも考慮しなければなりません。それが私たちをベンダー市場により注目させています。今やベンダーの存続性、買収されるかどうか、今後も存在し続けるかどうかをより注意深く見極める必要があります」と彼は言います。「なぜなら、ベンダーが買収されるとコストが急騰したり、ベンダーのロードマップが停止したりするからです。私もあるベンダーが買収されてロードマップが止まり、遅れが生じ、結果的に自分のセキュリティプログラムに弱点が生じてしまいました。計画外の方針転換を余儀なくされたのです。」

ゲーリッヒ氏は、今後こうした事態に備えるため、投資家動向やM&Aニュースなどベンダー市場の監視にこれまで以上に時間を割いていると述べています。