概要:
- 日本でのサイバーセキュリティ成熟度は依然として非常に低く、成熟段階に達している組織は全体のわずか2%にとどまっています。
- 多くの組織は、いまもなおAI導入に伴い増す複雑化への対応に苦慮しており、過去 1 年間で AI 関連のセキュリティインシデントを経験した企業は 81% に上りました。
- 組織の87%は、スキルを有するサイバーセキュリティ人材の継続的な不足が引き続き課題となっています。
シスコが公表した 2025 年版サイバーセキュリティ成熟度指標(Cybersecurity Readiness Index)によると、今日のサイバーセキュリティの脅威に効果的に対応するために必要な「成熟」した体制が整備されている日本の組織は、わずか 2% にとどまっています。昨年の指標から変化がなく、ハイパーコネクティビティや AI による新たな複雑さにセキュリティ担当者が苦慮する中、サイバーセキュリティ対策が進んでいないことが示されています。
AI によりセキュリティが大きく変化するにつれて脅威の水準も高まっており、約 8 割(81%)の組織が昨年、AI 関連のセキュリティインシデントに遭遇しています。一方、社員が AI 関連の脅威を十分に理解していると回答したのはわずか 20% で、悪意を持つアクターが高度な攻撃に AI を悪用していることを社員が十分把握していると考える組織は 22% でした。このような認識のギャップにより、組織は危険な状態にさらされることになります。
AI はすでに困難な脅威環境をさらに複雑にします。複雑なセキュリティの枠組みと分散したポイントソリューションが障壁となり、34% の組織が過去1年間にサイバー攻撃を受けています。回答者は、今後、悪意を持つアクターや国家が関与するグループなどの外部の脅威(68%)が、内部の脅威(32%)より組織にとって深刻な脅威をもたらすと考えており、外部攻撃を阻止するための防御戦略が喫緊に求められていることが示されています。
シスコの最高プロダクト責任者(CPO)のジーツ・パテル(Jeetu Patel)は次のように述べています。「AI が企業を変革する中、私たちはこれまでにない規模でまったく新しい種類のリスクに直面しており、インフラストラクチャやそれを守る担当者にとってさらなるプレッシャーとなっています。今年のレポートでは、セキュリティの成熟度における深刻なギャップと、これらに対処する危機意識の欠如が改めて示されました。組織は今すぐに戦略を見直さなければ、AI 時代における脅威に対応できなくなる危険性が高まります」
2025 Cisco Cybersecurity Readiness Index:AI による業界変革が進む中、サイバーセキュリティの成熟度は依然として低い
本指標では、「アイデンティティ インテリジェンス」、「ネットワークレジリエンス」、「マシンの信頼性」、「クラウドの強化」、「AI による堅牢化」を 5 本の柱とする31 のソリューションや機能において、企業の成熟度を評価しています。本調査は、30のグローバル市場における 8,000 人の民間企業のセキュリティ責任者および経営幹部を対象として、ダブルブラインド方式で実施し、各ソリューションの導入段階について回答を得ました。その上で企業をその成熟度に応じて「初歩段階(Beginner)」、「形成段階(Formative)」、「進展段階(Progressive)」、「成熟段階(Mature)」の4段階に分類しました。
調査結果
日本ではサイバーセキュリティの成熟度が非常に低く、回答者の 72% が今後 12〜24 ヵ月の間にサイバーインシデントにより事業の中断が発生すると予測しています。調査結果は以下のとおりです。
- サイバーセキュリティにおける AI の役割が拡大:88% の組織が脅威に対する理解を深めるために AI を活用しており、82% が脅威の検出、63% が対応や復旧に活用しており、AI がサイバーセキュリティ戦略の強化において非常に重要な役割を担っていることが示されています。
- 生成 AI 展開のリスク:生成 AI ツールは広く導入されており、62% の社員が許可されたサードパーティツールを利用しています。一方、17% がパブリックな生成 AI に制約なくアクセスしており、社員の生成 AI 利用状況について把握していない IT 担当者は 82% に上り、監督上の大きな課題が浮き彫りとなっています。
- シャドー AI の問題:82% の組織が、規制されていない AI の利用、つまりシャドー AI を検知できていないと考えており、サイバーセキュリティおよびデータプライバシー上の重大なリスクとなっています。
- 管理されていないデバイスの脆弱性:ハイブリッドワークモデルにおいては 75% の組織が、社員が管理されていないデバイスからネットワークにアクセスすることにより、セキュリティリスクが増大しているとしており、許可されていない生成 AI ツールの利用により状況がさらに悪化しています。
- 投資優先順位の変化:94%の組織が、IT インフラストラクチャのアップグレードを計画している一方、IT 予算の 10% 以上をサイバーセキュリティに充当している組織は 42%(前年同期比 6% 減)にとどまっており、脅威が衰えを見せない中、包括的な防御戦略に投資をさらに集中させることが非常に重要であると示されています。
- 複雑なセキュリティポスチャ:86% 以上の組織が、10 種類以上のセキュリティソリューションの展開を中心とする複雑なセキュリティインフラストラクチャが原因で、脅威に迅速かつ効果的に対応できないと回答しています。
- 人材不足により対策が進まない:回答者の 87% が、スキルを有するサイバーセキュリティ専門人材の不足を重要課題として挙げており、10件 を超える欠員ポジションがあると回答した組織は 61% に上ります。
今日のサイバーセキュリティの課題に対応するためには、組織はAI によるソリューションに投資し、セキュリティ インフラストラクチャを簡素化し、AI の脅威に対する認識を強化させる必要があります。脅威検知、対応、復旧における AI 活用に注力するとともに、人材不足に対応し、管理されていないデバイスやシャドー AI のリスクを制御することが重要です。
コメント
シスコシステムズ合同会社 社長執行役員 濱田義之
「シスコの『2025年版サイバーセキュリティ成熟度指標』が示すように、日本におけるサイバーセキュリティ体制の成熟度は依然として課題が多く、特に、AIを悪用した新たな脅威への対応が急務であることは明らかです。私たちはこれまで以上に、セキュリティを単なる技術的な対策にとどめるのではなく、組織全体の文化として根付かせ、セキュリティの成熟度を引き上げる取り組みが必要です。これは、ビジネスの継続性を確保するだけでなく、信頼されるデジタル社会を実現するためにも非常に重要となります。シスコは、複雑化する脅威に対応し、AIやハイパーコネクティビティがもたらす新たな課題を克服するため、最適なソリューションと専門知識を提供し、より安全で信頼できる未来の実現に貢献してまいります」
関連資料:
- マイクロサイト 【英語】
- サイバーセキュリティ成熟度評価ツール【英語】
- プレスリリース:Cisco Study Reveals Alarming Deficiencies in Security Readiness(グローバル版)
- 2025年版 シスコサイバーセキュリティ成熟度指標(2025 Cisco Cybersecurity Readiness Index) (日本版)
