終わらない「火消し貧乏」からの脱却――AI時代にサイバーレジリエンスを高める4つの鉄則：CIO調査が示すAI時代のレジリエンス経営

Cybereasonは、IT・セキュリティ責任者を対象とした調査レポートを公開した。自社の防御態勢を「極めて効果的」と評価した企業は20％にとどまり、AI時代の防御体制構築に苦慮する実態が明らかになった。

[TechTargetジャパン]

　Cybereasonは2026年4月、調査レポート「ペルソナ スポットライト：CIO（最高情報責任者）」を公開した。

　レポートからは、AI技術の進化によってサイバー攻撃が高度化、高速化する中、技術的にはAIの必要性を理解しつつも、組織の体制や予算が追いついておらず、実戦防衛に強い危機感を抱くCIOの苦悩が数値として明示された。

CIOが抱える苦悩　その内容は

併せて読みたいお薦め記事

サイバーレジリエンスの関連記事

• AIで巧妙化するサイバー攻撃　情シスが向き合うべきAI時代の国家級リスク
• Commvault、Cohesity、Rubrikも動く　「バックアップ」に押し寄せる変革の波

　調査対象は、米国や英国、ドイツ、インド、韓国など12カ国のIT・セキュリティ責任者ら1500人。CIOやCISO（最高情報セキュリティ責任者）、ITアーキテクト、ITエンジニアなどを対象に、2025年1月に実施した。

　レポートによると、51％のCIOおよびIT部門関係者が「今後12カ月以内にAIを活用した攻撃が発生する」と予測していることが分かった。一方で、「AIを活用した攻撃者への防御が極めて効果的」と回答した企業は20％にとどまっており、多くの企業が“AI時代の防御”に不安を抱えている実態が浮き彫りになった。

「AIセキュリティは必要」でも、成果を実感できない企業

　調査によると、回答者の72％は「脅威検知やインシデント対応能力を向上させるには、AI駆動型サイバーセキュリティツールが必要」と回答した。さらに71％は、「適応型セキュリティを整備すれば、企業はより大胆なイノベーションに挑戦できる」と考えている。

　一方で、実際にAIセキュリティ対策が機能していると感じている企業は少ない。

　AIを活用した攻撃への自社防御について、「極めて効果的」と答えたのは20％だった。つまり、多くの企業は「AI活用は必要」と理解しながらも、現場レベルでは“どう守ればいいか分からない”状態にあるとみられる。

　背景には、AI時代特有の防御難易度の上昇がある。生成AIによって攻撃メールやマルウェアが高速かつ大量に生成されるようになったことで、従来型の対策だけでは十分に対応できなくなっている。

「予防」より“火消し”に追われる企業

　さらに調査では、多くの企業が依然として“事後対応型”のセキュリティ運用から脱却できていないことも明らかになった。

　回答者の62％は、過去2年間で「脅威の予防や検知」よりも、「発生したインシデントの火消し」に多くのコストを費やしたと回答した。

　46％の回答者は、「セキュリティ戦略がよりプロアクティブ（予防型）にならなければ、被害はさらに拡大する」と考えている。

　内部運用されるセキュリティソリューションについて、「効果的」と答えたのは41％。全社的なサイバーセキュリティ文化について「効果的」と回答した割合も47％にとどまった。

　これは、単に製品導入だけでは防御力は高まらず、組織全体の運用や文化改革が必要になっていることを示している。

「セキュリティはIT部門の仕事」が限界に

　調査では、事業部門とセキュリティ部門の連携不足も課題として浮上した。

　セキュリティチームと事業部門の連携について尋ねた質問では、「連携することが非常に効果的である」と評価したのは33％だった。セキュリティをIT部門だけの課題にせず、ビジネス全体に統合する上での障壁を尋ねたところ、「経営層がサイバーレジリエンスを優先していないこと」と47％が回答した。今後12カ月以内に「サイバーセキュリティを事業部門や全プロジェクトに統合する」ことを優先事項として挙げている回答者は49％だった。

　AI時代となり、セキュリティをIT部門だけの問題として扱うことは困難となりつつある。営業や開発、マーケティング、人事などあらゆる部門が生成AIやAIエージェントを利用するためだ。その結果、セキュリティ部門だけではリスクを管理し切れず、「事業部門を含めたレジリエンス設計」が必要となりつつある。

AI時代に警戒高まる「ソフトウェアサプライチェーン」

　調査からは、ソフトウェアのサプライチェーンを狙う攻撃に対してCIOが強い警戒感を示していることも分かった。

　回答者の56％以上はソフトウェアサプライチェーン攻撃を“差し迫った脅威”だと認識しており、59％は「ソフトウェアの流通チャネル」、57％は「第三者リスク管理」に高いリスクを感じていると回答した。

　一方で、ソフトウェアのサプライチェーンに対する攻撃に「非常に効果的に対応できている」と回答したのは22％のみだった。一方、回答者の70％は中程度以上の投資を始めているという。

　AIの導入とサプライチェーンのリスク管理について尋ねた質問では、「AIの導入がサプライチェーンの新たなリスクになる」と回答したのは25％にとどまった。CIOの大半は、AIを“新たなリスク”としてだけではなく、「サプライチェーンリスク管理を強化する技術」として期待しているとCybereasonは指摘する。

AI時代のCIOに求められる「レジリエンス経営」

　Cybereasonは、AI時代にサイバーレジリエンスを強化するに当たって、企業に以下の実施を勧めている。

• ビジネス価値への翻訳
  • AIセキュリティが「損失を防ぐだけでなく、企業がイノベーションを起こす（攻めのリスクを取る）ための事業継続基盤である」という利点を経営層に説明する。
• 経営層の意識改革
  • セキュリティをITの話に矮小化せず、組織全体のサイバーレジリエンス強化に向けて、経営幹部全体で方針を一本化する。
• 外部専門家のレバレッジ
  • 新たなAI駆動型攻撃のスピードに自社だけで対抗しようとせず、インシデント対応や脅威インテリジェンスの外部専門家とあらかじめ連携する。
• 徹底したサプライチェーン管理
  • 第三者やパートナー企業に関連する脆弱性を特定し、厳格なデューデリジェンス（事前の安全審査）を導入してサプライチェーン全体を強化する。