Gartner、日本の企業が2025年に押さえておくべきセキュリティとプライバシーに関する12の重要論点を発表

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、日本の企業が2025年に押さえておくべきセキュリティとプライバシーに関する12の重要論点を発表しました。

近年、AIの進化は社会および企業ビジネスの変革を促す強力な推進力になっており、リスク・マネジメントとサイバーセキュリティの分野では、AIが新たな可能性と課題を同時に生み出しています。

バイス プレジデント アナリストの礒田 優一は次のように述べています。「セキュリティとリスク・マネジメント (SRM) のリーダーは、そうした新しいリスク、脅威、環境の変化、法規制の動き、セキュリティのテクノロジや市場の多様化など、ますます混沌とするセキュリティとプライバシーの領域を俯瞰し、次なる一手を打ち出していく必要があります。昨今では、経営者自らがリスク・マネジメントやセキュリティの取り組みをステークホルダーに説明する必要性が高まっています。戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われることにもなりかねません」

企業が2025年に押さえておくべきセキュリティに関する12の重要論点は、以下の通りです。

論点1：新たなセキュリティ・ガバナンス
近年、EUのNIS2指令やAI Act (AI法)、米国証券取引委員会 (SEC) の新たなサイバーセキュリティの開示規則など、経営の責任を明確化し、リーダーシップを促進する法規制の制定が世界的に進行しています。サイバー攻撃や内部脅威に加え、クラウド、AI、データ／アナリティクス (D&A)、サイバー・フィジカル、法規制のリスクも絡めた高度で複雑な意思決定が必要になっているため、従来の中央集権的なセキュリティ・ガバナンスに限界が生じています。新しい時代に向けたセキュリティ人材の強化も重要課題となっています。

論点2：新たなデジタル・ワークプレースとセキュリティ
企業では、新たな働き方が浸透することで人と情報があらゆる場所に分散し、使用するアプリケーションも多様化しています。さまざまなデータがローカルおよびクラウド上に散在するようになったことに加え、生成AIの利用などの要因により、情報漏洩のリスクが高まっています。ワークプレースにおける生成AIの利用には大きな期待が寄せられていますが、「情報の過剰共有」などに対する仕組み作りが急務となっています。従業員一人一人がセキュリティの当事者意識を持って自ら行動できるようなセキュリティ文化の醸成を目指す内容へと見直すことが求められています。

論点3：セキュリティ・オペレーションの進化
ゼロトラスト、セキュア・アクセス・サービス・エッジ (SASE) などへの取り組みは、部分的な最適化にとどまるケースもあり、総合的な製品のログへの対処や、チューニングなどの運用対応、円安の影響によるサービス費用の上昇などの課題も上がっています。セキュリティ・オペレーション・センター (SOC) の運用においては、多くの企業はアウトソーシングによって補うことを検討していますが、「インシデントや緊急時の判断と責任は自社にある」という意識が低い様子が見受けられます。

サイバーセキュリティAIアシスタントなどのテクノロジは進化の途上にあります。むやみにAIの導入を優先するのではなく、自社の課題を認識し、その課題を解決できるかどうかという観点でテクノロジを見極め、選択的に導入すべき局面になっています。

論点4：インシデント対応の強化
さまざまな攻撃手法が毎日のように生み出される現在、苦労してインシデントの調査や対処のための手順書を整備してもすぐに陳腐化してしまったり、想定すべき攻撃シナリオがあまりに多いために整備が追いつかないといった課題が多くの企業で見られます。ランサムウェアなどサイバー攻撃の影響で長期的にビジネスが停止した事例が大きく報道されたことで、企業におけるセキュリティのインシデント対応は、セキュリティの議論から脱却し、事業継続計画 (BCP) や危機管理など組織的な議論として再構築されるケースが増加しています。

論点5：外部公開アプリケーションに対する攻撃への対応
近年、外部公開Webアプリケーションは、IaaS/PaaSで構築されることが多くなっています。マルチなプラットフォームを前提としたセキュリティの課題を抱えている企業も増えているため、クラウド・ネイティブ・アプリケーション保護プラットフォーム (CNAPP) 市場のベンダー製品の動向に着目する必要性が増しています。

論点6：マルウェア／標的型攻撃への対応
AIを悪用した脅威は拡大を続けているだけでなく、巧妙化しています。また、企業の国内外の拠点へのセキュリティ侵害も増加しています。ビジネス／テクノロジ環境の変化に伴い、企業が攻撃を受ける可能性のある脅威エクスポージャが増加し、アタック・サーフェス・マネジメント (ASM) へのニーズが高まり、継続的な脅威エクスポージャ管理 (CTEM) に取り組む必要性を感じる組織が増加している一方で、既に導入した企業の中には、運用に関して課題を抱えているケースも見られます。

論点7：内部脅威への対応
PCの操作ログは多くの国内企業で取得されていますが、不正の兆候が埋没してしまって検知できない状況が見られます。退職予定者による内部不正に加えて、「兼務」や「出向」といった日本で当たり前に行われている独特の人事施策は、新たに対策を採るべき分野として注目されています。AIを活用した内部脅威の検知に期待が高まっていますが、認証、権限管理、データ保護といったセキュリティの基本的施策が十分にできていないところにそうしたツールを導入しても、期待する内部不正を検知することは難しいとGartnerはみています。

論点8：法規制、サードパーティ／サプライチェーンのリスクへの対応
近年、IT／デジタル、AI、サイバーセキュリティ関連の法規制制定の動きが世界で進行しているため、企業内のどの部門がこれをリードすべきか、どのように関与すべきかについて戸惑う企業が増えています。日本はそうした新たなデジタル・トレンドや規制において必ずしも先進的とは言えず、日本の常識のみで判断することはビジネス上のリスクを高める状況になっています。

論点9：クラウドのリスクへの対応
マルチクラウドの利用が進み、セキュリティの構成を漏れなくアセスメントして対応することが難しくなっています。単純な設定ミスに気づいていないことも多く、継続的かつプロアクティブな取組みが必要となっています。一方、クラウドの利用に当たっては、各事業部門が主導して開始する例も増えており、またそうしたクラウドには、SaaSのような形態にAIが組み込まれていることも増えています。そのため、従来の中央集権的なコントロール一辺倒では運営に限界があると感じる組織が増加しています。ツールも有効ですが、事業部門側でセキュリティの取り組みを運用するための能力を持つことが必要不可欠です。

論点10：サイバー・フィジカル・システム (CPS) のリスクへの対応
サイバーとフィジカルの両空間の融合は、エネルギーや通信のほか、車両、医療、物流といった領域における自動化や自律化として進んでいますが、こうした環境でのセキュリティ侵害は、単に自社のセキュリティの問題にとどまるものではなく、社会インフラの混乱を招くことにつながります。IT／セキュリティ部門と、製品／サービスに責任を持つ事業部門が協働で進めるなど、両部門の分断をなくして組織的にCPSセキュリティに取り組める体制をつくることが、企業にとって急務となっています。

論点11：データ／アナリティクスのリスクへの対応
AIや生成AIの利用により企業内のあらゆる場所でさまざまなデータが使われるようになるにつれ、情報漏洩のリスクが高まることが懸念されています。構造化データだけでなく非構造化データに対してもアクセス権を付与する必要があるという点に、大きな関心が寄せられています。AIや生成AIにより高まる情報漏洩リスクへ組織的に対処するために、セキュリティのリーダーと、データ活用推進あるいはデータ管理の責任者とのさらなる連携、協働が求められています。

論点12：AIのリスクへの対応
パブリックな生成AIアプリケーションの利用について、従業員に注意喚起や、使い方についてのガイドラインの提供、トレーニングなど、何らかの対応を行った組織は多くなっています。AIが組み込まれたSaaSアプリケーションのセキュリティの対応についてもGartnerに寄せられる問い合わせは増加傾向にあります。自社独自のデータを利用し、プライベートな生成AIアプリケーションを構築して運用する形態も増えており、それに伴いアタック・サーフェスも拡大しています。AI TRiSM (AIのトラスト／リスク／セキュリティ・マネジメント) の取り組みの重要性が高まっていますが、日本では全体としてそれらの取り組みはまだ未成熟な状況にあります。

Gartnerのサービスをご利用のお客様は、リサーチノート「日本におけるセキュリティの重要アジェンダ：2025年企業は何をすべきか」ならびに「2025年の展望：サイバーレジリエンスの未来と生存戦略」「2025年の展望：AI時代のセキュリティ脅威に対抗するために持つべき視点」などで関連する内容をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。