AI時代のSRM重要論点を提示
ガートナージャパン株式会社(以下、Gartner)は、国内のセキュリティ/リスク・マネジメント(SRM)リーダーが2025年に押さえるべき重要論点を発表した。発表は「ガートナー セキュリティ&リスク・マネジメント サミット」(7月23~25日)の2日目基調講演で行われ、新たな時代のセキュリティ・ガバナンスと生存戦略/AIエージェントによる新たな働き方とセキュリティ/セキュリティ・オペレーションの進化の3観点から示された。登壇は礒田優一氏(バイス プレジデント アナリスト)、矢野薫氏(シニア ディレクター アナリスト)、鈴木弘之氏(ディレクター アナリスト)である。
新時代のガバナンスと“生存戦略”
2025年はAI開発競争の加速、地政学、サードパーティ/サプライチェーン、サイバー・フィジカル・システムなどの要因により、SRM領域の複雑さが一段と増す。世界のCEOの85%が、サイバーセキュリティを企業成長の不可欠要素と認識しており、投資家の企業評価も財務諸表偏重から新たな評価軸へと変化しつつある。礒田氏は、デジタル・リスク対応が企業の「生存能力」と「成長戦略」の中核となるとし、レジリエンスを掲げた生存戦略の有無が明暗を分けると述べた。
さらに人材面では、今後3年でセキュリティ人材の在り方が大きく変化すると指摘。採用・育成・アウトソーシングのうち育成を第一に挙げる企業が増加傾向にあるが、従来型の育成方法には限界があるため、新しい時代の人材育成へ刷新する必要がある。AIは短期的に幻滅期を経る可能性を認めつつも、その「短期」が従来より短いことから、セキュリティ人材の再定義と育成手法の転換が急務であるとした。
AIエージェント台頭と情報漏洩対策
AIエージェントの普及により、情報漏洩の懸念が拡大している。2025年2月の国内調査では、59.3%の企業が情報漏洩対策で「何から始めればよいか分からない」と回答した。矢野氏は、AIエージェントの導入がアイデンティティの爆発的増加とデータ取引の多様化/複雑化をもたらし、対策の見直しを迫っていると解説した。
AIエージェントに付与されるID(マシンID)は、新たな管理対象として過剰権限の付与を避ける運用が必要である。従業員がマシンIDの「オーナー」として役割と責任を果たす体制づくり、ならびに新たなプロセスの確立と浸透が求められる。さらに、AIエージェントの活用に伴い、「データ管理者」と「データ利用者」の関係は明確化され、両者が保護したい理由/活用目的を相互に明確化する関係性が生まれる。DXを止めないために、理由が明確なAIプロジェクトを優先するリーダーシップの重要性が示された。
セキュリティ・オペレーションの進化
攻撃側では生成AIにより不自然さのない攻撃や自動化攻撃が増加。一方、防御側でも検知能力の向上、インシデント・レポート自動作成、脅威分析の迅速化など、AI活用が実装段階にある。鈴木氏は、AIセキュリティ・オペレーション戦略の保有をリーダーに求め、AIのテクノロジ情報を①攻撃分析 ②検知強化 ③脅威インテリジェンス ④運用課題解決の4観点で整理し、自社影響を分析することが重要であるとした。
体制面は、CAIO(最高AI責任者)を中心とする明確な体制が理想だが、CISOやCIOの不在・兼任などで理想通りに構築できない企業も多い。その場合でも、前記4つの重要タスクは必ず意識し、少人数でも役割分担やチーム連携で継続運用すべきである。脅威インテリジェンスの運用には課題が残るため、GartnerはCTEM(継続的な脅威エクスポージャ管理)のフレームワークで「どこまで、どう対処するか」を判断することを推奨。収集や分析はAIに、判断と改善は人が担うという役割分担が強調された。
