本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。
紹介
サイバーセキュリティはどのくらい重要ですか?修辞的な質問のように思えるかもしれませんが、答えは驚くほど深いです。この質問の背後にあるさまざまな層を解き明かすには、専任のサイバーセキュリティ専門家から経営者、中小企業から多国籍企業まで、いくつかの異なるコホートの視点をふるいにかける必要があります。さまざまな目的に基づいてさまざまな意見があり、すべての要素をまとめることで、より広範な経済全体のセンチメントとベストプラクティスの全体像を構築するのに役立ちます。
CompTIAの調査で以前に確立されているように、最高レベルでは、サイバーセキュリティはビジネス上の必須事項です。サイバーセキュリティは、もはやIT運用の二次的な要素ではなく、組織の資産と運用を保護するために、技術的専門知識、規制遵守、企業行動を融合する分野となっています。現代のビジネス環境ではデジタルワークフローに依存していることを考えると、サイバーセキュリティは、組織の健全性と成功を維持するという点で、財務や法務と同等の重要性を帯びています。
ただし、何かが重要だからといって、焦点、人員配置、予算が常に増加する必要があるわけではありません。サイバーセキュリティの動的な性質により、状況上のあらゆる脅威に対抗するために企業が何をすべきかについて、絶え間なく提案が寄せられる可能性があります。この情報の猛攻撃は、ビジネスリーダーとITスタッフの両方が、すべてを把握する方法を決定しようとするときに疲労につながる可能性があります。同時に、リスク分析の改善により、サイバー攻撃の漠然とした幽霊と各組織の実際の制約を調和させることができ、企業は最も関連性の高い脅威にリソースをどのように適用するかをより快適に理解できるようになりました。
理由が何であれ、サイバーセキュリティの一般的な状態に関する感情と組織体制に対する満足度の両方に顕著な改善が見られます。これら 2 つの分野で数年間定常的な視点を経て、CompTIA の 2025 年データは前向きな動きを示しています。サイバーセキュリティは、テクノロジーイニシアチブの中で依然として優先順位リストのトップにランクされていますが(81%がサイバーセキュリティを優先度が高いと評価しています)、組織の能力に関してもリストのトップにランクされています(68%が組織を非常に有能であると評価)。優先順位と能力の間にはまだギャップがありますが、企業は専用のサイバーセキュリティ活動と包括的なテクノロジー戦略の間のより大きなバランスを追求しています。
このバランスを見つける 1 つの方法は、より広範なテクノロジー システムに適用されているのと同じアーキテクチャ アプローチをサイバーセキュリティに適用し続けることです。エンタープライズアーキテクチャフレームワークのトップダウンアプローチは、実装とスキルの戦術的な詳細に入る前に、サイバーセキュリティに関する企業文化とポリシーを設定するための貴重なツールです。また、サイバーセキュリティ戦術が組織の目標を達成するのに役立つフィードバックループも提供します。
おそらく、サイバーセキュリティの重要性の問題は、その優先順位よりも、オペレーショナルエクセレンスの確保に関するものかもしれません。企業は自分たちのアプローチに満足しているようですが、脅威の状況は変化し続けています。マッキンゼーは、2022年後半に生成AIが台頭して以来、フィッシング攻撃が1200%増加したと報告しています。サイバーセキュリティソフトウェア会社Veeamの一部門であるCovewearは、2025年第2四半期のランサムウェアの平均支払い額が、わずか1四半期から2倍になったことを発見しました。Ponemon Institute は、インサイダー脅威の年間平均コストを $17.4M と推定しています。新しいアプローチが完全に効果を発揮するには、ビジネスの要求を適切にナビゲートしながら、進行中の攻撃から防御するのに十分な柔軟性が必要です。
推進力、決定、困難
サイバーセキュリティ戦略を構築するための出発点は、リスクと対応を形作っている力を理解することです。サイバーセキュリティが純粋な技術活動を超えて拡大するにつれ、企業のリスク評価、ポリシー、スキル開発に影響を与える要因は数多くあります。
サイバーセキュリティ計画を形作る問題のリスト全体で、企業規模ごとに懸念のレベルに概ね一貫性があります。ただし、各セグメントの最大の懸念事項は、予算とリソースの範囲に関連する課題を浮き彫りにしています。小規模な企業は、脅威の状況を理解したり、幅広い悪意のあるアクティビティに対応したりするためのリソースが最も少ないため、さまざまな攻撃に最も関心を持っています。中規模企業は、生成AIの出現に最も注力しており、これにより、新たな脅威ベクトルや脅威ベクトルが拡大する可能性がありますが、これらの企業は、スタッフにいる可能性のある限られた専門家を基盤に構築することもできます。
スケールの大きい端では、懸念はデータに集中しています。大企業はプライバシーを正しく扱っていることを確認したいと考えており、非常に大きなセグメントは、巨大な組織の多くの部分をつなぐ重要な要素であるデータへの依存によって動機付けられています。これらの企業にとって、サイバーセキュリティ戦略とデータ戦略を結び付けることは最も重要です。
対処する必要がある多くの懸念事項により、サイバーセキュリティの実装において多くの変更が加えられています。サイバーセキュリティ体制に満足しているということは、立ち止まっていることを意味するものではありません。これは、継続的な調整と新しい手法の採用が組織の視点に沿っていることを意味します。それでも、多くの企業が行っている変化は、さらなる改善と改良の余地を示唆しています。
サイバーセキュリティは伝統的に、企業がより広範な技術戦略のために組み立てるツールやスキルのサブセットである技術的な取り組みと見なされてきました。ただし、行われている主な変更はプロセス指向です。インシデント対応プロセスの改善、規制環境の理解の深まり、より堅牢なリスク管理アプローチの開発など、サイバーセキュリティの手続き的側面を理解する人材の需要が高まっています。
もちろん、強力な技術要素はまだあります。新しいツールは、特に大企業によって購入され続けており、これらのツールには、それらをまとまりのある構造に統合し、自動化のレイヤーを効率的に適用できる専門家が必要です。AIは引き続き支配的な新興テクノロジーですが、多くの企業は部門横断的なチームを活用して、今後のすべての新しいトレンドを評価しており、これらの取り組みには依然として追加のサイバーセキュリティ監視が必要である可能性があります。
最も実施されていない変更は、新しいサイバーセキュリティ指標の開発であり、これは、経営陣が投資や運用がビジネスに適切に役立っていると確信しているのではなく、サイバーセキュリティに対して疲労を感じている可能性があることを示す別の証拠を提供します。テクノロジーが従来のコストセンターではなく戦略的推進力になるにつれ、テクノロジー専門家が自分の取り組みを企業の成功と成長に結びつける需要が高まっています。サイバーセキュリティについても同じことが言えますが、サイバーセキュリティ活動は多くの場合、収益の増加や製品の拡大の要素ではなく、保護または予防的なものであるという課題もあります。
サイバーセキュリティの取り組みとビジネス上の必須事項との関連性というテーマは、企業がサイバーセキュリティのアジェンダを追求する際に直面する課題のリストにも見られます。脅威をより深く理解する必要性や指標の欠如など、一部の課題は、IT スタッフ、ビジネス スタッフ、経営幹部の間で均等に共有されます。しかし、ほとんどの場合、経営陣は、特にITスタッフと比較した場合、サイバーセキュリティのハードルについて低い見方をしています。技術専門家がスキルギャップや予算不足を懸念している場合、経営陣が理解できる観点からこれらのリスクを組み立てる方法を見つける必要があります。
経営陣がITプロフェッショナルやビジネススタッフの両方よりも強く感じている分野の1つは、他のテクノロジーイニシアチブをより優先することです。もちろん、経営陣はこれをそれ自体を課題とは見なさないかもしれません。彼らの見解は、収益を生み出す可能性があるのであれば、他のテクノロジーはもっと注目に値するというものかもしれません。サイバーセキュリティは、生産性を向上させたり、開発サイクルを短縮したりできるテクノロジーと比較して、常に投資収益率の課題を抱えていますが、新しいテクノロジーの実装を評価する際には、セキュリティへの配慮を考慮することが不可欠です。
スキルギャップ、予算の制約、脅威の理解に加えて、サイバーセキュリティの最も重要な課題の 1 つは、包括的な戦略を構築する際に考慮しなければならないさまざまな側面です。標準的なシステム資産の周囲に安全な境界を構築する時代は遠い過去のものであり、サイバーセキュリティは多くの異なる重点分野に分かれています。企業が業務とワークフローの変革を続ける中、AI、運用テクノロジー、データのトピックは、従来のネットワークおよびエンドポイント セキュリティと並んで最も差し迫った問題となっています。
AI: 運用と防衛 の変革
人工知能はテクノロジーの議論を支配し続けており、企業は従業員の間で AI の流暢さを強調し、自動化の機会を理解するためにワークフローを調査しています。サイバーセキュリティの専門家は、AI に関して 2 つの懸念を抱えています。他の従業員と同様に、彼らは AI を使用して日常業務を改善したいと考えています。さらに、AI が新しい脅威ベクトルを作成し、以前の脅威の質と量を変えることによって、脅威の状況をどのように変化させるかについても知らなければなりません。
AIをめぐる誇大宣伝を考えると、企業は依然として導入曲線を経ており、新しいテクノロジーを信じられないほど複雑になっているデジタルアーキテクチャやワークフローに統合する必要があるという事実を見失いがちです。実際、テクノロジーが破壊的である可能性が高ければ高いほど、導入サイクルは長くなる可能性があります。この傾向は CompTIA のデータで裏付けられており、企業の 70% が早期教育段階または優先度の低いシステムでの AI 実装をテストする段階にあります。CompTIAの調査では、企業がテクノロジー導入の初期に自社の能力を過大評価していることが歴史的に判明しているため、この数字は実際には低い可能性があります。たとえば、AI は技術トピックの中で最も習熟度が低いと評価されていますが、52% の企業が自らが高い能力を持っていると評価しています。これは採用数とは矛盾しており、実装に新たな課題が生じるにつれて、能力に関する新しい視点が生まれることは間違いありません。
サイバーセキュリティの観点から見ると、内部改善に重点を置く組織と、新しい脅威からの防御に重点を置く組織の間には比較的均等に分かれています。中小企業は、限られたリソースを最大限に活用しようとし、内部効率に偏っている可能性がありますが、大企業は、おそらく各分野の専門家が AI を適切に活用することを前提として、バランスの取れた視点を取る傾向があります。セキュリティアプローチに満足していると主張する企業の間では、新たな脅威に対する防御にわずかに傾いており、これらの企業は社内の取り組みへの投資にそれほど不安を感じていない可能性があることを示唆しています。
組織が AI の導入を加速するのに役立つものは何ですか?AI スキルが課題リストの一番上にあるのは驚くべきことではありません。過去 3 年間、AI が労働力にどのような影響を与えるかに重点が当てられており、新しい職務が生まれる可能性があることや、あらゆるキャリア分野の従業員が要求する AI の流暢さのレベルについての憶測も含まれてきました。
しかし、これらすべての推測は、スキル構築の重層的な性質を見落としています。これまでの新興テクノロジーと同様に、AIの新しいスタンドアロンスキルが現在、職務の重要な要素である状況はほとんどありません(これらの状況は主にソフトウェア開発に集中しています)。大多数の労働者にとって、AI スキルは成功するために必要な基礎知識の延長線上にあります。
これは、リストの次の課題で明らかです。AI固有のスキルに続いて、企業はサイバーセキュリティの基礎スキルを向上させる必要があります。これらのスキルは、サイバーセキュリティ アプローチがベスト プラクティスに従っていることを保証するだけでなく、AI システムを適切にトレーニングするために必要な入力も提供します。AI ツールの欠点の 1 つは、ブラック ボックスとして機能し、意思決定アルゴリズムを不明瞭にし、最適化を複雑にする可能性があることです。サイバーセキュリティの実践における前提条件となるスキルがなければ、組織の目標を満たす AI を完全に実装することがより困難になります。
CompTIA の AI フレームワークは、AI 時代に必要なスキル構築の種類のモデルを提供します。AI フレームワークのさまざまな要素は、テクノロジー労働力を構成するさまざまな職種にまたがっています。サイバーセキュリティの専門家は確かに AI セキュリティ スキルの深さと広さの両方を必要としますが、AI インタラクション、AI システム、AI データ分析、AI アーキテクチャ、AI DevOps の他の領域でもある程度のスキルが必要になります。
AIがサイバーセキュリティをどのように変えるか
他の新しいテクノロジーと同様に、AI に関する主な問題は、AI が企業のユースケースでどのように現れるかです。生成 AI が市場に出回ってから 3 年が経ちましたが、チャット ツールを使用して情報を見つけたり、コンテンツを作成したり、タスクを実行したりする個人に依然として大きな注目が集まっています。チームや組織に拡張できるワークフローに AI を統合する動きは遅いですが、その統合が生産性を大幅に向上させる鍵となります。
企業がシステムアーキテクチャにAIを組み込む方法を見つけるにつれて、初期の兆候は、ユースケースがスキル開発と同様のパターンに従うことを示唆しています。新しい活動は、既存の慣行に基づいて構築されます。AI は、適切なガイダンスがあれば最も効果的なツールであり、そのガイダンスは基礎に関する深い知識と確立されたワークフローから得られます。AI とサイバーセキュリティの最初の交差点は、この階層的な状況を示しています。
スーパーチャージ攻撃
サイバー攻撃の現実の 1 つは、古い攻撃がまだ有効であれば、何か新しいものは必要ないということです。生成 AI の性質上、攻撃者は LLM の入力やアルゴリズムの動作に影響を与えることで、システムを攻撃する新しい方法を模索することを意味します。しかし、当面の懸念は、攻撃者が AI を使用して既存の攻撃をより手ごわいものにすることです。ニューヨーク大学の研究者グループは最近、ランサムウェア攻撃のすべての段階を実行する AI システムを構築し、AI が生成したディープフェイクがソーシャル エンジニアリングに定期的に使用されています。
脅威の検出
非常に多くの種類の脅威に対処する必要があるため、サイバーセキュリティの専門家は、ネットワーク分析とパターン認識に依存して悪意のある動作を発見します。これらのアクティビティは通常、サイバーセキュリティ チームによって定義されたルールによって推進され、AI は過去のアクティビティから学習し、厳格なルールを超えた新しい不審なアクティビティにフラグを立てることで機能を強化できます。
運用の自動化
間違いなく、サイバーセキュリティは非常に複雑です。サイバーセキュリティの専門家は長年にわたり、セキュリティ情報およびイベント管理(SIEM)ツールとスクリプトを使用して、その複雑さを整理することに取り組んできました。AI は自動化の取り組みを加速し、サイバー スペシャリストが戦略的な作業に集中できるようにします。しかし、最終的には、自動化と脅威の検出は、他のサイバーセキュリティ活動とともに、トレーニングと継続的な監視のためのある程度の専門知識を必要とします。
オペレーショナルテクノロジー:デジタルとフィジカルの融合
デジタルトランスフォーメーションはITシステムに影響を与えるだけではありません。また、物理的なインフラストラクチャにも影響を与えています。モノのインターネット(IoT)をめぐる会話は、デジタルセンサーと制御がニッチなアプリケーションを超えて組織の現実世界の資産に組み込まれるようになったため、オペレーショナルテクノロジー(OT)をめぐる会話の大部分になっています。
OTの分野は、送電網や水道プラントなどの重要なインフラや製造施設にルーツがあります。これらの業界では、デジタル システムの導入により、安全性と中核業務に重大な脅威が生じています。OTチームが使用するテクノロジーは、プログラマブルロジックコントローラー(PLC)などのコンポーネントや、監視制御やデータ収集(SCADA)などのフレームワークを備えた従来のITとは大きく異なります。このテクノロジーを保護するには、明らかに異なる知識と新しいアプローチが必要です。
しかし、OTは現在、企業がビル管理機能や物理的なセキュリティシステムをデジタル化するにつれて、これらの重要なインフラストラクチャの例をはるかに超えています。OTアーキテクチャの脆弱性について懸念を抱く組織が増えており、58%の企業がOTに重点を置いていると回答し、36%が現在中程度の重点を置いていると回答しています。
新たにデジタル化されたOTを保護する上での最も重要な課題は、従来、OT機能とIT機能が別々に管理されてきたことです。伝統的に重複がはるかに少なかったため、これは完全に理にかなっています。しかし今日、両国はもっと頻繁に話し合い、互いの言語を話す必要がある。これが、組織が包括的な戦略を構築しようとする際に、OTワーカーとITワーカーの両方に平等なトレーニングニーズを挙げる理由です。
必要なトレーニング トピックのリストは、情報が双方向に流れる必要があることを明らかに示しています。OTチームは、脅威マトリックスに追加する必要がある脅威についてサイバーセキュリティ機能を教育する必要があります。IT部門によって構築されたアクセス制御は、OTシステムに拡張する必要があります。OT コンポーネントをネットワーク マップに追加して、運用と攻撃対象領域の全体像を提供する必要があります。
最終的に、OTとITは、ビジネスにとって意味のある用語でリスクと運用を説明する必要があります。これは、意思決定者が組織のニーズに最も適した戦略を承認できるように、優先順位と緩和計画を共同で決定することを意味します。オプションの完全なスイートを提示するには、専門スタッフ向けの詳細な技術トレーニングと、チームリーダーとマネージャー向けのリスク分析機能が必要です。
データ: 企業知識を守る
データの重要性は、過去10年間で着実に高まっています。予測と市場洞察のための分析能力の向上を推進することから始まり、企業は現在、AIツールをトレーニングするための広範で整理されたデータセットを構築する必要があります。企業が業務をデジタル化しているため、データは豊富にありますが、適切に管理および保護できなければ、そのデータは何の役にも立ちません。
データセキュリティは、アプリケーションセキュリティとともに、クラウドベースの経済における専門的な実践となっています。安全な境界の解消は、データとアプリケーションの両方に専用の焦点が必要になることを意味します。ただし、アプリケーションは社内チームまたはベンダーによって安全に構築できますが、データにはさらに別のプロセスが必要です。
データは、さまざまなソースによる作成から保存/操作、そして最終的な分析まで、組織内を流れる際に多くの段階を経ます。あらゆる点でのセキュリティは多くの企業にとって最優先事項であり、したがって、データセキュリティは、ほとんどの企業が自らが高い能力を持っていると評価している分野です。中小企業は、データセキュリティ能力において大企業や超大規模企業に遅れをとっており、サイバー犯罪者が弱いリンクを見つけることにますます熟達している世界では危険な立場にあります。
能力の構築や改善に際して、企業はデータ活動を処理するための専任のチームや個人を創設することがよくあります。これはデータセキュリティで最も一般的で、データベース管理(60%)やデータ分析(58%)などの他の注目度の高い活動と比較して、企業の66%が専任の従業員を擁しています。
データの保護が IT アーキテクチャの他の部分の保護と異なる重要な点の 1 つは、データは組織全体が直接関心を持つ資産であることです。ビジネスユニットは、機能や可用性以外のエンドポイント、アプリケーション、バックエンドインフラストラクチャには関心がないかもしれませんが、通常、アクセシビリティや意思決定への影響など、データに関するより差し迫った要求があります。このため、データセキュリティは、データの収集、管理、優先順位付けの方法について、組織全体のコンセンサスを構築することに依存しています。このコンセンサスは、セキュリティ戦略を推進します。
AI、OT、データの重点分野とは別に、従来のサイバーセキュリティには、進化するにつれて機能やプロセスの改善が必要な多くの側面が残っています。例年と同様に、特定の分野で評価されたスキルレベルと望ましい改善レベルとの間には相関関係が低くなります。自動化とAIは最大の断絶として際立っていますが、データセキュリティ、ネットワークセキュリティ、エンドポイントセキュリティなどの他の分野での小さなギャップは、現在の能力をより詳細に評価し、対象分野の専門知識が日常業務にどのように関連しているかについて、より詳細な定義が必要であることを示しています。
リスクの管理とインシデントの処理
このレポートと以前のサイバーセキュリティの現状レポート全体で浮かび上がってきた2つの共通のテーマは、リスク管理に焦点を当てることと指標の必要性です。サイバーセキュリティの専門家は、組織でのリスク管理活動を主導し、リスクが管理されていることを証明する適切な測定値を提供する必要があるため、これら 2 つのテーマは結びついています。
リスク管理は、サイバーセキュリティ戦略の目標と制約を定義するため、非常に重要です。サイバーセキュリティが急速に複雑化するにつれ、企業は完璧さなど存在しないことに気づきました(あるいは、完璧さがあったとしても、実装するにはコストがかかりすぎます)。非常に多くの角度から考慮し、インシデントゼロという目標が非現実的であるため、リスク管理により、意思決定者はビジネスに対する脅威を評価および定量化し、軽減と対応のための最適な投資を決定できます。
良いニュースは、ほとんどの組織が何らかのスタイルのリスク管理を実行すると主張していることです。調査対象企業の半数以上(56%)が、NISTリスク管理フレームワーク(RMF)やIRGCリスクガバナンスフレームワークなどの正式なリスク管理フレームワークを使用していると回答しています。別の3分の1は、リスクは非公式に評価されると述べています。これは、最も関連性が高いと考えられる脅威を考慮した最新のサイバーセキュリティ戦略の基礎を提供します。
ただし、問題は、リスク軽減が実行されているように見える方法です。リスクが特定されると、大多数の企業はこれらの懸念をテクノロジー部門に委ねているようで、49%が特にサイバーセキュリティ部門に責任があると考えています。たとえこれがオーナーシップに関する声明であり、リスクを軽減するために組織全体の協力があったとしても、考え方は限定的である可能性があり、状況は昨年、テクノロジー/サイバーセキュリティのオーナーシップにシフトしています。
リスク分析で一般的にトップに上がる運用要素をレビューすると、リスクをテクノロジー中心と見なすことの誤りが浮き彫りになります。クラウドコンピューティングの実装は、主にインフラストラクチャチームによって推進される可能性がありますが、多くの企業が依然として苦労している重要な財務要素があります。テクノロジー調達は、シャドーITの西部開拓時代から、より多くのテクノロジー監視へと移行しましたが、ビジネスユニットがある程度の自律性を持っている場合、依然として最も柔軟性があります。データの分類と所有権は、ストレージ アーキテクチャや災害復旧などの技術的な活動を推進しますが、組織全体がこれらの問題に取り組む必要があります。テクノロジー/サイバーセキュリティ部門がリスク管理活動を主導する必要がありますが、プロセス全体を組織の懸念事項として捉える必要があります。
もちろん、リスクの特定と分類の一部は、サイバー脅威が非常に現実的であり、依然として驚くべき規則性で発生していることを認識することです。IBM/Ponemonのベンチマークデータ侵害コストレポートによると、2025年のデータ侵害の平均コストは米国企業で1,022万ドル(世界では444万ドル)です。これらのコストには、侵害を封じ込めて回復するための時間と労力、潜在的な規制上の罰金や訴訟費用、風評被害が含まれます。当然のことながら、AI関連のセキュリティインシデントの97%は、AI制御が定義されていない組織で発生していることがレポートで判明しているため、AIは企業がまだ完全に理解していない新しいテクノロジーとして顕著に特徴づけられています。企業が従業員に AI の使用を奨励する中で、その影響を熟考しなければ、サイバーセキュリティ インシデントへの扉が開かれています。
エンドポイントセキュリティは確立された慣行ですが、エンドポイントインシデントが非常に一般的であるため、評価された機能のリストでは下位にランクされる可能性があります。デバイスの紛失/盗難とデバイス上のマルウェアは、CompTIAのサンプルで企業によって報告された上位2つのインシデントです。次の 3 つのインシデントは、ネットワーク セキュリティにおける別の確立された慣行を対象としています。バックエンドインフラストラクチャのマルウェアと不正なインフラストラクチャアクセスは、ランサムウェアのすぐ上位にランク付けされています。
4社に3社近くが、昨年のサイバーインシデントの影響を重度または中程度と報告していますが、経営幹部と他の従業員の間には興味深い隔たりがあります。経営陣はインシデントを深刻な影響を与えると評価する可能性がはるかに高く、インシデント対応に関係する典型的な要素がこの見解の理由となる可能性があります。上位 7 つの要素のうち 3 つは、新しいソフトウェア、新しいハードウェア、または顧客向けの詐欺/クレジット サービスなど、何らかの購入に関係しています。ビジネススタッフにとっては、この事件が日常業務に与えた影響は最小限に思えるかもしれません。ITスタッフにとっては、技術的な問題は妥当な方法で解決されたように見えるかもしれません。経営陣にとっては、収益に直接的な影響があります。
予算不足がサイバーセキュリティ運用の課題であるという同様の断絶を考えると、サイバー専門家はサイバーセキュリティ戦略の全体範囲を伝えるためのより良い方法を見つける必要があるという点が引き続き強調されています。1オンスの予防が1ポンドの治療に値すると言うだけでは十分ではありません。彼らは、この点を証明するための過去のデータ、またはそれを主張する統計モデルを持っている必要があります。これは、サイバーセキュリティの専門家がスキルを構築する必要がある可能性のある別の領域、つまりデータ管理と分析を浮き彫りにしています。
教育は、必要なコミュニケーションの大部分を占めています。これは経営幹部レベルだけでなく、サイバーセキュリティ チームがスタッフに適切な脅威を知らせ、適切な行動に対する意識を高めようとしているため、他の従業員にも当てはまります。攻撃対象領域には考慮すべき多くの側面があるのと同じように、サイバー犯罪者が情報を入手したり、システムを混乱させたりするために使用する脅威も数多くあります。
脅威のリストは、この分野における AI の可能性も示しています。AI がこれらの脅威の作成または効率化を促進する可能性があるため、このリストには「AI 攻撃」のエントリはありません。AIがエンタープライズテクノロジースタックの一部としてより確立されるにつれて、サイバーセキュリティの専門家が対処しなければならない新しい形態の攻撃が生まれることは間違いありません。今のところ、彼らの手は、はるかに強力になっている既存の脅威に対処することに全力を注いでいます。
熟練したサイバーセキュリティチームの育成
強力なサイバーセキュリティ戦略を構築して実行する際には、考慮すべき要素が数多くあることは明らかです。圧倒的な脅威の状況、デジタルトランスフォーメーションの影響、規制環境の変化はすべて、最適なアプローチを決定しようとするビジネスリーダーにとって大きな課題となっています。
これらすべての複雑さに直面しても、リーダーはサイバーセキュリティの変革にすでに多大な努力を払っており、合理的な戦略を構築したと感じ始めているため、現在の戦術に対する満足度の上昇は理解できるかもしれません。実際、現在のアプローチが「十分」であるという感覚は、実行を改善する上で 2 番目に大きな課題です。
ただし、課題のリストに戻って、最大のハードルについてさらに議論する価値があります。サイバーセキュリティに対するより前向きな感情があっても、経営幹部、ビジネススタッフ、ITスタッフによると、スキルの必要性は最も差し迫った問題です。労働市場が逼迫している場合でも、サイバーセキュリティスキルの需要を解決するのは困難です。NISTおよびLightcastと提携して開発されたCompTIAの サイバーシーク ツールは、2024年5月から2025年4月までにサイバーセキュリティ関連の求人情報が51万4,000件以上報告されており、前年の約47万件から増加している。
需要が依然として高い根本的な理由の1つは、企業がサイバーセキュリティチームを構築しようとしている方法です。CompTIA の IT 業界見通し 2025 では、サイバーセキュリティは、採用計画を立てている企業が若手キャリアの候補者をターゲットにしている企業が最も少ない分野であることがわかりました。これは、サイバーセキュリティ専任の従業員を創設する以前の方法、つまり中堅のインフラストラクチャ専門家を選抜し、専門化に導くことに起因している可能性があります。
その考え方は、特に埋める必要があるスキルギャップが広範囲にある今、持続可能ではありません。中途採用者は専門性が深まっているかもしれませんが、需要を満たすには現状では十分ではありません。企業は、キャリアの成長やリスキリングの機会を可能にするための若手キャリアスペシャリストの雇用と社内トレーニングの提供を組み合わせて、サイバーセキュリティ人材のパイプラインを構築することをより検討する必要があります。
この多面的なアプローチには、多くの企業が採用し始めているスキルベースの方法論をさらに改良する必要があります。最初に改良すべき領域はスキル評価です。現在の評価と大幅な改善への欲求との相関関係が低いことに加えて、大幅または中程度の改善を必要とするスキルの緊密なグループ化は、スキルの状況をよりよく理解する必要性を示しています。
企業は、評価を超えて、必要なスキルを実際に採用または開発していることを確認する方法を理解する必要があります。業界で認められた認定資格は、ここでは重要な役割を果たし、一般的な 4 年制の学位よりも詳細なスキル検証を提供し、社内トレーニングの完了後にベスト プラクティスと業界標準への準拠を証明します。
ただし、適切な人材を採用することは最初のステップにすぎません。サイバーセキュリティのようなプレッシャーのかかる分野では、これらの希少なリソースから最大限の生産性を引き出し、モチベーションを維持することに重点を置く必要があります。企業がサイバーセキュリティチームの有効性を向上させるために模索しているのは、組織構造から強制力のあるポリシー、サイバーセキュリティの取り組みをビジネスの成功に結びつけるコミュニケーションフローに至るまで、いくつかのアクションです。モチベーションと定着のためには、企業は競争力のある給与と福利厚生とともに、適切なツールセットとスキル開発の機会を提供する必要があるため、サイバーセキュリティの総コストが関係します。
ある意味、サイバーセキュリティの分野はこれまでと同じであり、サイバーセキュリティの取り組みは機密性、完全性、可用性を確保する必要があります。その単純に述べられた目的は、組織を誤った自信の感覚に陥らせるべきではありません。テクノロジー導入の限界を押し広げようとする意欲は、攻撃やインサイダー脅威の絶え間なく変化する性質と相まって、定量化は難しいが組織の健全性にとって不可欠な規律につながります。企業がAI、OT、データセキュリティに必要なスキルの開発に奔走する中、次のトレンド、そして次の脅威は常に地平線上に迫っています。
方法論
この定量的研究は、2025年第3四半期にサイバーセキュリティに携わるビジネスおよびIT専門家を対象に実施されたオンライン調査で構成されていました。米国を拠点とする合計1,026人の専門家が調査に参加し、サンプリング誤差の全体的なマージンは+/-3.1パーセントポイントの95%の信頼度でした。サンプリング誤差は、データのサブグループほど大きくなります。
他の調査と同様に、サンプリング誤差は誤差の原因の1つにすぎません。非サンプリング誤差を正確に計算することはできませんが、調査の設計、収集、およびデータの処理のすべての段階で予防措置が講じられ、その影響を最小限に抑えました。
CompTIAは、すべてのコンテンツと分析に責任を負います。この調査に関するご質問は、research@comptia.org のCompTIA ResearchおよびMarket Intelligenceスタッフにお問い合わせください。
CompTIAは、市場調査業界のInsights Associationのメンバーであり、国際的に尊敬されている基準と倫理の規定を遵守しています。
付録 – AI フレームワーク
これまでの破壊的テクノロジーの波のパターンを反映して、人工知能 (AI) はさまざまな面で職場を変革します。タスクの自動化から人間の努力の強化まで、AI は同時に職務と機能を作成、再構築、置き換えます。組織は、急速に変化する未来の働き方の複雑さを乗り越える上で、新たな課題に直面しています。
CompTIA の技術職の分類法は、技術労働力の職種、職種、および基礎となる詳細を定義します。CompTIA の AI フレームワークは、このアプローチを拡張します。実現テクノロジーとして、AI とそれに付随するスキルは、フレームワークのあらゆるコンポーネントに浸透します。
サイバーセキュリティの詳細 をご覧ください。