製品選びは丸投げ気味? AIは形骸化? 2つの調査で見えたセキュリティの不安
セキュリティ対策に関するユーザー企業の自己認識と、セキュリティベンダーの評価を突き合わせると、「導入」と「成果」を巡る無視できない“ずれ”が浮かび上がる。2つの調査結果から、その実態を読み解く。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ユーザー企業におけるセキュリティ対策の実態を把握する最も素朴な手段が、ユーザー企業自身を対象としたセキュリティ調査だ。この種の調査は、ユーザー企業におけるセキュリティ対策の意識や状況を広く捉えられる点で意義がある。一方で回答は自己評価に基づくため、セキュリティ対策の成熟度や実効性をどこまで客観的に反映しているかは、必ずしも明確ではない。
そうした中、ディストリビューターのSB C&Sは2025年11月26日、ある調査結果を公表した。同日開催の販売パートナー向けイベント「ネットワーク&セキュリティMeetUp ! 2025」に出展した、セキュリティベンダー26社を対象とした調査結果だ。この調査の特徴は、さまざまなユーザー企業と日常的に向き合うセキュリティベンダーの立場から、国内ユーザー企業のセキュリティ対策状況を評価したことにある。
SB C&Sの調査は、対象のセキュリティベンダー数が限られており、あらゆる分野のセキュリティベンダーを網羅しているわけではない。それでもユーザー企業の自己認識とは異なる、比較的客観的な視点を提供する調査結果だと言える。
今回は、このSB C&Sの調査結果を単独で紹介するのではなく、ITmedia エンタープライズが2025年3月24日〜4月15日にかけて、主にユーザー企業の読者を対象に実施したセキュリティ調査(回答数284件)の結果と比較する。同様の設問項目に着目し、ユーザー企業自身の回答と、セキュリティベンダーの視点から見た評価の違いや共通点を探ることで、セキュリティ対策の実態に迫る。
「セキュリティ対策が進まないのは経営層の無理解のせい」は過去の話に
経営層の理解不足でセキュリティ対策が進まない――。国内ユーザー企業のセキュリティ対策におけるこうした“常識”は、過去のものとなり始めている可能性がある。SB C&Sの調査によると、ユーザー企業がセキュリティ対策を進める上での最大の障壁として「経営層の理解・投資意欲の不足」を挙げたセキュリティベンダーは、わずか1社にとどまった(図1)。
ユーザー企業側も、セキュリティに対する経営層の理解は進んでいるという認識だ。ITmedia エンタープライズの調査では、65.9%が「経営層がセキュリティを経営課題として捉えている」と答えた。SB C&Sの調査結果と比べるとインパクトは劣るものの、前年度調査(65.2%)と比べてもわずかながら向上している。少なくとも経営層の理解不足は、セキュリティ対策を阻む主因ではなくなりつつある。
アサヒグループホールディングスやアスクルをはじめ、国内ではランサムウェア(身代金要求型マルウェア)被害がさまざまな業種に広がり、ビジネスの停止に追い込まれるなどの実害が深刻化している。サイバー攻撃が事業継続リスクに直結することが明確になる中、経営層はセキュリティ対策を軽視できなくなっている。
製品選定に悩むベンダー、悩まないユーザー その裏で進む「知識・スキル不足」の影響は
SB C&Sの調査では、ユーザー企業におけるセキュリティ対策の最大の障壁として、26社中20社(77%)のセキュリティベンダーが「製品選定の難しさ」を挙げ、これがトップとなった。同社でネットワーク&セキュリティ推進本部を率いる山名広朗氏は「IT環境の変化に応じてセキュリティ対策が複雑化した結果、製品分野が多様化し、選択肢が多くなり過ぎている」と、セキュリティ製品選定が難しくなった背景を語る。
ユーザー企業の見方はどうか。ITmedia エンタープライズの調査では、セキュリティ対策の課題のうち「製品分野が多過ぎて、何を導入すればよいのか分からない」は11.3%にとどまった。トップとなった「エンドユーザーの利便性が低下する」(37.3%)の3分の1以下だ。ユーザー企業にとっては、製品選択の難しさは課題の一つではあるものの「重要な課題」という位置付けではない。
なぜこうした違いが生じるのか。ユーザー企業の間では、セキュリティ製品の具体的な選定や比較検討を、システムインテグレーター(SIer)や販売会社などに委ねることが往々にしてある。その結果、製品分野の多さや選択肢の複雑さは、ユーザー企業自身の課題としては顕在化しにくい。一方でSIerや販売会社、そしてそれらと取引するセキュリティベンダーは、複数の製品分野や競合製品を横断的に把握し、ユーザー企業の要件に応じた選択肢を整理・提示する役割を担う。こうした実態が、両調査における認識の差として表れていると考えられる。
SB C&Sの調査では、6社(23%)のセキュリティベンダーは、製品選定の難しさを課題として挙げなかった。同社によると、これらのセキュリティベンダーは以下の特徴を持っていたという。
- ファイアウォールなど、市場や製品像が比較的確立しており、評価軸や導入目的を説明しやすい製品分野を扱うセキュリティベンダー
- 用途や適用範囲が明確な、特定領域に特化した製品分野を扱うセキュリティベンダー
ユーザー企業にとって導入目的や用途が明確なセキュリティ製品であれば、SIer・販売会社やセキュリティベンダーにとっても提案や意思決定のプロセスを整理しやすく、結果として製品選定が比較的大きな障壁になりにくくなる。
他社の支援があるからといって、製品選定を他社に委ねたままセキュリティ製品の導入を進めることは、ユーザー企業にとって望ましくない。選定の背景や前提条件を十分に把握しないまま導入を重ねれば、自社の業務やリスクと整合しないセキュリティ対策が積み上がる恐れがあるからだ。少なくともIT・セキュリティ部門には、提案の意図を理解し、自社の実態に照らして導入目的を整理できるだけの知識やスキルが求められる。
ユーザー企業のセキュリティに関する知識やスキルについては、やや気になる調査結果がある。ITmedia エンタープライズの調査では「スキルアップが追い付かない」(33.1%)や「情報収集が追い付かない」(25.4%)、「最新動向についていけない」(20.1%)といった知識やスキルに関する課題が、セキュリティ対策における主な悩みとして挙がっているのだ。それぞれ前年調査から7.5、4.7、4.6ポイント増加している点は無視できない。
SIer・販売会社やセキュリティベンダーと協働しながらも、製品選定の主導権を手放さず、導入の方向性や優先順位を主体的に決める――。ユーザー企業のIT・セキュリティ部門には、こうした姿勢が不可欠だ。個々のセキュリティ製品を細かく把握すること以上に、自社のセキュリティ対策全体を俯瞰(ふかん)し、何に注力すべきか、どこに過不足があるのかを見極める視点を磨く必要がある。
導入するも生かせず――「AIでセキュリティ対策」の表と裏
ユーザー企業のセキュリティにおけるAIの影響について、SB C&Sの調査では半数である13社(50%)のセキュリティベンダーが「攻撃と防御の両方に影響が出ている」と答え、それに迫る12社(46%)が「攻撃手法が高度化し、脅威が増加している」と回答した(図2)。注目すべきは「防御技術(AI for Security)の進化により、防御が強化されている」と答えたセキュリティベンダーがなかったことだ。攻撃者がAIを積極的に悪用する一方、ユーザー企業のセキュリティ対策におけるAIの活用には、ベンダー各社はまだ確かな手応えを感じていない。
ITmedia エンタープライズの調査では、導入済みのセキュリティ対策として「AI/機械学習を使ったセキュリティ」を挙げたのは18.0%だった。決して多数派ではないものの「シンクライアント」(17.6%)や「ゼロトラストセキュリティ」(16.2%)を上回っており、新技術としては一定程度の導入が進んでいるという見方もできる。導入予定のセキュリティ対策でも「AI/機械学習を使ったセキュリティ」(48.2%)が唯一40%を超え、トップとなった。AIを生かしたセキュリティ対策の導入そのものは、今後さらに進む可能性がある。
AIを活用したセキュリティ対策を導入しただけで、セキュリティが自動的に高まるわけではない。AIによる検知結果を「どの業務プロセスで、誰が、どのように判断・対処するのか」といった運用の整理が不十分なままでは、導入効果を実感しにくい。結果として「AIを使ったセキュリティ対策を導入したものの、実際のセキュリティ強化につながらない」という認識に陥りやすくなる。
前述の通り経営層の理解が進んだことで、セキュリティ投資そのものは進めやすくなっていると言える。せっかくの投資を“安心料”で終わらせず、実効性のあるセキュリティ対策へと転換するためには、ユーザー企業のIT・セキュリティ部門が中心となって運用設計と活用方針を主導することが不可欠だ。
| セキュリティベンダー名 | |
|---|---|
| 国内ベンダーおよび海外ベンダー国内法人 | エムオーテックス、Okta Japan、Keeper Security APAC、キヤノンITソリューションズ、クラウドストライク、Cato Networks、シスコシステムズ、ジュニパーネットワークス、GMOサイバーセキュリティ byイエラエ、ゼットスケーラー、ソニックウォール・ジャパン、ソリトンシステムズ、ソフォス、タニウム、ダークトレース・ジャパン、チェック・ポイント・ソフトウェア・テクノロジーズ、デジタルアーツ、バラクーダネットワークスジャパン、パロアルトネットワークス、フォーティネットジャパン、BLACKPANDA JAPAN、HENNGE |
| 海外ベンダー | XM Cyber、Claroty、SentinelOne、TXOne Networks |
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 守ったつもりが、守れていなかった アスクルのランサム被害報告書の衝撃
- アサヒのランサムウェア被害はなぜ起きたのか? 凶悪グループ「Qilin」のリアル
- 高校が「Wi-Fi 6」無線LANを導入した切実な理由 “教員の残業”を招いた問題とは?
- IT人材の偏りが招く「国難」 IPA登氏、労働価値がスケールする領域への人材転換を提言
- アスクル、ランサムウェア被害の全容公表 流出した顧客情報と侵入経路が判明
- iPhoneなどApple製品にゼロデイ脆弱性 悪用も確認済みのため注意
- ITエンジニア3200人が選ぶ、オフィス出社が「肯定」できる条件【調査】
- セキュリティ担当に年収3000万 「事務員扱い」の日本とは違う、米国病院の人材獲得法
- AIエージェントは本当に戦力になるのか “AI部下”育成術をSakana AI研究者に聞いた
- 復旧できない「7割の企業」で何が起きている? ランサムウェア被害からの“復旧力”を考える
ITmediaはアイティメディア株式会社の登録商標です。