AI時代の"守り方" ガートナーが示すこれからのセキュリティ戦略

ガートナーは2025年のセキュリティとリスク・マネジメントにおける重要課題を3つ挙げた。企業の成長にはこれが基盤になるという。

[後藤大地，有限会社オングス]

　ガートナージャパン（以下、ガートナー）は2025年7月24日、「ガートナー セキュリティ＆リスク・マネジメント サミット」の基調講演において、日本のセキュリティ分野とリスク・マネジメント（SRM）分野のリーダーが2025年に把握しなければならない主要な論点を発表した。

AI時代の"守り方"

　論点は3つある。「新たな時代のセキュリティ・ガバナンスと生存戦略」「AIエージェントによる働き方の変化とセキュリティ」「セキュリティ・オペレーションの進化」だ。

　講演ではバイスプレジデントアナリストの礒田優一氏、シニアディレクターアナリストの矢野薫氏、ディレクターアナリストの鈴木弘之氏の3人が登壇し、この3点に焦点を当てて解説した。

セキュリティを企業成長の基盤と捉えるCEO

　礒田氏は地政学的リスクやサイバーフィジカルシステムの拡大、サプライチェーンの複雑化といった要因が、2025年のセキュリティ環境における重大な課題だと指摘した。2025年のGartnerの調査によれば、世界のCEOの85％がサイバーセキュリティを企業成長の基盤と捉えていた。投資家の企業評価でも、従来の財務中心の視点から、デジタル・リスクへの対応力が新たな基準となりつつある。

　同氏は「新たなデジタル革命の時代においては、レジリエンスを標榜（ひょうぼう）した生存戦略のある企業と、ない企業で明暗が分かれることになる」と述べ、セキュリティ人材の育成についても、新たなアプローチが求められるとして、「AIの進化によって、人材育成の前提そのものを見直す必要がある」と語った。

AIエージェントとマシンIDの管理課題

　矢野氏はAIエージェントの導入が進む現場において、情報漏えいのリスクが増加していると指摘した。2025年2月に国内のセキュリティ責任者を対象に実施したガートナーの調査では、企業の59.3％が情報漏えい対策を何から始めればよいのか分からないと回答している。

ユーザーID以外にマシンIDを管理しなければならない（提供：ガートナー）

　この背景には、AIに付与される「マシンID」の存在がある。同氏は「マシンIDは新たな管理対象であり、アクセス権の適切な制御が不可欠だ」と述べ、従業員が管理責任を担う体制構築の必要性を強調した。データの管理者と利用者の関係が明確化されることで、新たな責任と役割が生じている現状にも言及した。

AIによるセキュリティ・オペレーションの進化

　鈴木氏はAI技術の高度化によって、攻撃手法が巧妙化している現状を踏まえて、防御側もAIを活用した戦略的な対応が必要だと述べた。AIによる検知精度の向上や脅威分析の迅速化、レポート作成の自動化といった取り組みを挙げた。

　AIセキュリティ・オペレーション戦略の策定においては、「攻撃分析」「検知強化」「脅威インテリジェンス」「運用課題の整理」の4つの観点から、影響範囲を評価する必要があるとした。同氏は「理想的にはCAIO（最高AI責任者）を中心とした体制が望ましいが、CISO（最高情報セキュリティ責任者）やCIOがそもそも不在だったり、兼務していたりするのが現実だ。人数に関係なく、役割を明確に分担して戦略的視点を持ち続けることが重要だ」と述べた。脅威インテリジェンスの運用上の課題についても言及し、「CTEM」（継続的な脅威エクスポージャ管理）の枠組みを活用した判断が有効だと説明した。

　ガートナーの発表はセキュリティとリスク管理に携わる企業に役立つ。今後の施策に具体的な示唆を与えるからだ。複雑化する環境において、技術・人材・体制の各側面で、迅速かつ実践的な対応が求められている。