約9割の組織がサイバー被害に遭う時代、調査で分かったリスク拡大の“主要因”：セキュリティニュースアラート

フォーティネットジャパンは「サイバーセキュリティスキルギャップレポート2025年度版」を発表した。企業のサイバー被害の現状に加えて、セキュリティ業務におけるAI導入の進捗と課題を明らかにした。

[後藤大地，ITmedia]

　フォーティネットジャパンは2025年11月24日、「サイバーセキュリティスキルギャップレポート 2025年度版」を公表した。日本を含む29の国と地域のITおよびサイバーセキュリティ関連の意思決定者1850人を対象に、2025年2月に実施された調査結果がまとめられている。

約9割の組織が1度はサイバー被害に　侵害の主要因は何か？

　同レポートの主なトピックは次の通りだ。

• セキュリティ態勢の強化やギャップ解消のため、組織でAIの導入が進んでいる。ただし、AIが最新かつ高度化するサイバー攻撃の原動力となる中においてチームのAIスキルが未熟なため、自社に不利な形で悪用されるリスクが潜んでいる
• サイバーセキュリティの認識やトレーニング不足は、依然として侵害の最大の要因となっている
• 取締役会はサイバーセキュリティの優先度を高めているにもかかわらず、理解が不足している
• 多くの組織が認定資格を持つサイバーセキュリティ人材確保に奔走している

　世界的なスキル不足が依然として深刻とされ、十分な専門家を確保できない状態が続く中、各組織はサイバー攻撃を不可避の事象と認識せざるを得ない状況にあるという。2024年では86％の組織が1回以上のサイバー侵害を受け、約3分の1（28％）は5回以上の侵害があった。2021年の調査では80％の組織で侵害が確認されたが、侵害が5回以上の組織は19％で増加傾向にある。この他、侵害によって100万ドル以上のコストが発生した組織は52％であり、高水準のまま推移している。

　侵害の主要因としては、「従業員のセキュリティ認識不足」が56％、「訓練を受けたサイバーセキュリティスタッフの不足」が54％で、人的要素に起因する問題が顕著になっていることが示された。適切なスキルを持つ専門家の不足は、各組織が直面するリスクを拡大させる構造的な課題となっている。

　AIの導入状況と課題も調査の焦点となっている。AIを活用したサイバーセキュリティソリューションは97％の組織が「利用中」または「導入予定」と回答し、脅威検知や防御領域での利用意欲が強い結果となった。サイバーセキュリティ専門家の87％が、「AIによって職務の強化や効率化が進む」との見方を示している。他方で、AI導入における課題として、IT意思決定者の約半数（48％）が「スタッフのAIに関する専門知識の不足」を挙げている。適切な知識がなければ、AIツールを導入しても防御力向上に必ずしも直結しない点が浮き彫りにされている。

　AIに関連する理解の偏りは取締役会にも見られる。サイバーセキュリティへの注目度は高まっており、2024年は76％の取締役会で重要な議題として扱われている。半面、サイバーセキュリティが経営判断における重要要素と捉えられているにもかかわらず、「AIが生む潜在的リスクを十分に把握している」と答えた割合は49％にとどまり、判断材料の不足が課題として示されている。

　スキル育成に関しては、IT意思決定者の89％が「認定資格を持つ候補者を優先的に採用」と回答している。認定資格を重視する理由について、「サイバーセキュリティの知識を実証」（67％）、「急速に進化する分野に素早く対応できる能力を証明」（61％）、「主要なベンダーツールへの習熟度を示す」（56％）と答えている。ただし、従業員の資格取得に費用を支給する組織は73％に減少し、前年の89％から低下している結果となった。

　FortinetのCISO（最高情報セキュリティ責任者）であるカール・ウィンザー氏は、調査結果に基づき、サイバーセキュリティ分野への投資が急務だと指摘している。スキル不足が放置されれば侵害率とコストの増加が続く可能性が高く、官民双方が専門性維持のための施策を強化する必要があると述べている。

　今回のレポートは、AI活用の進展と人材不足の深刻化が並行して進む現状を示し、教育や認定資格、先進技術の適切な活用が組織のレジリエンス確保につながる姿を提示した内容となっている。