本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。
当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。
長年にわたり、サイバーセキュリティは特殊な機能、つまり企業システムの周囲に強力で安全な境界を構築するために展開される技術的制御の層として扱われてきました。そんな時代は終わりました。今日のデジタル変革が進む組織では、サイバーセキュリティはもはやテクノロジーチームにとって二次的な目標ではありません。これは、あらゆるビジネスイニシアチブに織り込まれた全社的な機能です。
CompTIA の 2025 年サイバーセキュリティの現状レポートでは 、人工知能 (AI)、運用テクノロジー (OT)、データ セキュリティという 3 つの力が現在、この状況をどのように再構築しているかについて説明しています。これらが共に、効率性とイノベーションの新たな可能性を生み出すだけでなく、攻撃対象領域も拡大します。この新しい環境で成功する組織は、サイバーセキュリティのスペシャリスト全体で強力なスキル開発を行ってこれら 3 つの領域にアプローチする組織です。
AI:大規模な約束と危険
人工知能は誇大広告から実践へと移行しつつあります。現在、ほとんどの組織は、ワークフローを自動化し、分析を合理化し、意思決定を強化するために、AI 主導のツールをテストしています。しかし、サイバーセキュリティの専門家にとって、AI は諸刃の剣です。
機会の面では、AIは防御作戦を強化することができます。機械学習は、大量のログをふるいにかけ、異常を検出し、インシデント対応における反復的なタスクを自動化し、予測分析を改善できます。これにより、人間の専門家は、脅威モデリングや企業戦略など、より価値の高い活動に集中できます。
リスク面では、同じテクノロジーにより、攻撃者は業務をスケールアップできます。生成 AI は、説得力のあるフィッシング キャンペーンを作成したり、経営陣の声を偽装したり、ランサムウェア攻撃チェーン全体を自動化したりできます。また、機械学習モデルが敵対的な入力によって操作される可能性があり、AI システム自体がデータ ポイズニングの標的になる可能性があるという新たな脆弱性も導入されます。
これら 2 つのダイナミクスがサイバーセキュリティの将来を左右しますが、ほとんどの組織はまだ AI への取り組みの初期段階にあります。CompTIAの調査によると、70%の企業がAI導入の「教育」または「テスト」段階にあり、セキュリティ機能はせいぜい不均一です。その結果、AI の導入方法だけでなく、AI の防御方法にもスキルのギャップが生じます。
CIOにとって重要なポイント: AI セキュリティを将来のアドオンではなく、コア コンピテンシーとして扱います。サイバーセキュリティの専門家が AI システムの知識とともに 、基本的なサイバーセキュリティ スキルのスキルを向上させ、リスクを特定し、ツールを適切に構成できるようにします。AIガバナンス、データ整合性、敵対的テストに関する社内専門知識を今すぐ構築します。
運用技術:工場の現場から役員室の優先事項まで
物理インフラストラクチャのデジタル化により、IT と運用テクノロジー (OT) の間の境界線が曖昧になっています。製造工場や公益事業における孤立した監視制御システムとして始まったものは、スマートビルディング、物流追跡、産業オートメーションなど、ほぼすべての分野に広がっています。
これらのシステムが企業ネットワークやクラウドに接続されると、攻撃対象領域は劇的に拡大します。OTの侵害は、単にデータ損失を意味するわけではありません。これは、物理的損傷、安全上の問題、または公共サービスの中断を意味する可能性があります。その結果、94%の企業がOT戦略に中程度または高度の重点を置いています。
OTセキュリティには考え方の転換が必要です。従来のITツールは産業環境では機能しない可能性があり、OTチームは多くの場合、ITチームとは異なる優先順位(稼働時間、安全性)を持っています(機密性、パッチ適用、スケーラビリティ)。このギャップを埋めるには、クロストレーニングと共同ガバナンスが必要です。
CIOにとって重要なポイント: OTセキュリティをエンタープライズ セキュリティ戦略に統合します。OTチームとITチームの共同トレーニングを奨励し、産業用プロトコルに合わせた ネットワークセグメンテーション と監視に投資し、リスク評価に物理システムをファーストクラスの資産として含めるようにします。
データ: 共通項
データは現代の組織の燃料となっています。予測分析の強化から AI モデルのトレーニングまで、デジタル変革の中心に位置しています。そのため、 データセキュリティ はこれまで以上に複雑かつ重要になっています。
アプリケーションやエンドポイントとは異なり、データはすべての部門とシステムに流れます。これは、あるビジネスユニットによって作成され、別のビジネスユニットに保存され、さらに別のビジネスユニットによって分析される場合があります。この分散所有権は説明責任をめぐる混乱を引き起こし、防御を弱める可能性があります。CompTIAの調査で企業が報告した主な課題は、データの場所の認識、データ保持に関する意思決定プロセス、規制環境に関する知識など、本質的に技術的なものではなくプロセス指向です。
主要な組織は、作成から保存、分析までのデータの保護、機密レベルの分類、明確なアクセス ポリシーの定義など、ライフサイクル アプローチを採用しています。また、あらゆる段階でプライバシーとコンプライアンスの要件を組み込んでおり、世界的に規制が強化される中で必要となっています。
CIOにとって重要なポイント: データセキュリティを取締役会レベルの議論にまで引き上げます。専用のデータセキュリティロールまたはチームを確立し、ビジネスユニット全体のポリシーを統合し、自動化されたデータ分類および損失防止ツールを実装します。すべての従業員が自分の役割がデータ セキュリティにどのような影響を与えるかを理解していることを確認します。
スキルの必須事項: 将来に向けたチームの構築
AI、OT、データ全体で、人材という問題が最も大きく浮かび上がっています。テクノロジーは、それを展開、監視、改善する熟練した人材がなければ、ここまでしかできません。しかし、サイバーセキュリティの専門家に対する需要は供給をはるかに上回っています。NISTおよびLightcastと共同で開発したCompTIAのCyberSeekツールによると、2024年5月から2025年4月の間に、サイバーセキュリティ関連のスキルを持つ米国の求人情報が51万4,000件を超えていたことが判明した。これは、前年の約47万件の投稿から9%増加したことになります。
多くの組織は今でも中堅のインフラストラクチャ専門家からサイバーセキュリティ人材を採用していますが、このアプローチはもはや持続可能ではありません。専門化が深まるにつれて、企業は、スキルギャップを埋めるための若手人材のパイプライン、他の分野の再教育を受けた従業員、部門横断的なトレーニングを必要としています。
スキルベースのアプローチが進むべき道です。これはですね:
- 時代遅れの職務記述書に頼るのではなく、現在のスキルをより正確に評価します。
- きめ細かなコンピテンシーを検証する認定資格とトレーニングに投資します。
- 従業員が基本的なセキュリティの役割から、サイバーセキュリティ分析やペネトレーションテストの専門職に成長できるキャリアパスを作成します。
- サイバーセキュリティスタッフ間のコミュニケーションスキルを向上させて、技術的なリスクとビジネス目標を結び付け、経営陣の賛同を高めます。
CIOにとって重要なポイント: 人事チームや学習チームと提携して、サイバーセキュリティの人材パイプラインを構築します。可能な限り 既存のスタッフのスキルアップ を行い、認定資格を使用して進捗状況を検証します。サイバーセキュリティの人材育成は、1回限りのプロジェクトではなく、継続的な戦略的イニシアチブとして扱います。
新しいサイバーセキュリティの義務
サイバーセキュリティは常に機密性、完全性、可用性を保護することです。しかし、AI を活用した脅威、デジタル化された物理システム、データ主導の意思決定の時代では、その範囲はより広く、リスクは高くなります。成功する組織は、堅牢な人材パイプラインを開発しながら、新しいテクノロジートレンドの影響を理解するために迅速に行動する組織です。
これは単なる IT の課題ではありません。それはリーダーシップの課題です。サイバーセキュリティ戦略をビジネス目標に合わせ、スキル開発を優先し、デジタルアーキテクチャのあらゆるレイヤーにセキュリティを組み込むCIOは、今後の脅威と機会を乗り越えるのに最適な立場にあります。
新たな脅威の先を行く。 CompTIA の 2025 年サイバーセキュリティの現状レポートをダウンロード して、AI、OT、データ セキュリティに関する重要な洞察をご覧ください。