毎年、プルーフポイントのVoice of the CISOレポートでは、最前線で活躍するサイバーセキュリティ リーダーの知見を集めています。2025年、情報セキュリティ最高責任者(CISO)は、絶え間ないサイバー脅威、複雑なデータ環境、生成AI(GenAI)などの新しいテクノロジー、個人的なプレッシャーや仕事上のプレッシャーが取り巻く状況への対応に追われています。
世界16か国1,600人のCISOを対象に行ったアンケート調査をもとに作成された最新のレポートは、課題、優先事項、役割の進化する性質に関する知見を提供しています。7つの主要テーマに関して、最も注目したい所見を紹介します。
1:自信と相反する懸念事項
CISOの67%が、サイバーセキュリティ文化が強力であると回答しているものの、76%は今後1年の間に重大なサイバー攻撃を受けるリスクがあると感じており、2024年の70%より上昇しています。こうした矛盾は、侵害はもはや避けられないものとみなされている心情を反映しています。
懸念が高まっているのには理由があります。CISOの3分の2(66%)が昨年、機密情報の重大な漏えいがあったと回答しており、2024年の46%から大幅に上昇しています。セキュリティポスチャやセキュリティ意識向上への投資が行われているにもかかわらず、CISOの半数以上(58%)が2025年、依然としてサイバー攻撃に対する備えが整っていないと感じています。
2:あらゆる角度から発生するサイバー脅威
何をもって最大のサイバー脅威と考えるかは、考慮すべき要素があまりに多いため、CISOの意見は分かれています。メール詐欺と内部脅威が同率でトップを占め(37%)、ランサムウェア(36%)、クラウドアカウント乗っ取り(34%)、サプライチェーン攻撃(33%)が僅差でこれに続きます。
これらすべての脅威において共通する要素は何でしょうか?情報漏えいです。どの攻撃経路かにかかわらず、機密情報の窃取は、変わらずサイバー犯罪者にとっての最終目的です。アンケート調査の回答によると、CISOの3分の2(66%)が、システムを復元する、またはデータを流出させないために、身代金を支払うであろうと回答していることも驚きではありません。
3:セキュリティ制御が間に合わないデータスプロール
データはただ成長しているだけでなく、クラウド、デバイス、新しい生成AIツールにまたがって拡散し、スプロール現象が発生しています。このように広範囲に分散しているため、データの分類、ガバナンス、保護はこれまで以上に難しくなっています。CISOの98%が情報漏えい対策(DLP)プログラムを導入していると回答しているものの、これを管理するための専門のリソースがいるのはわずか6%です。
また、次のような結果が確認されています。回答したCISOの66%が過去12か月で重大な情報漏えいを経験しています。注目すべき点は、主な原因は人に起因するということです。不注意な内部関係者、侵害された内部関係者、そして悪意のある内部関係者によるものです。ニュージーランド航空のCISOであるPhil Ross氏はこう述べています。「データは勝手に流出するものではありません。必ず「人」の行為によって失われます。」
4:変わらず続く「人」の問題
「人」は組織の最大の資産でありながらも、同時に最大のサイバー脆弱性でもあります。CISOの68%が、従業員はデータを保護する自分の役割を理解している、と感じているものの、66%は、組織が直面している最大のサイバーセキュリティ脅威は人的リスクであると回答しています。
こうした状況にもかかわらず、多くの組織は、「人」を中心とした適切な保護を導入していません。従業員セキュリティ トレーニングは、導入されたテクノロジーのリストの中でもランクが低くなっています。専用の内部リスク管理プログラムを導入している組織はわずか70%です。従業員の意識が向上しているという認識と実際の行動の間にあるこのような隔たりは、現在も盲点となっています。
5:AIの制限からガバナンスへと移行
生成AIは企業にとって欠かせないものであり、サイバー脅威状況を語る上でも重要な位置を占めるようになっています。CISOの60%が生成AIをセキュリティリスクであるととらえており、昨年の54%から上昇しています。CISOにとって最大の懸念は、パブリック生成AIツール、SlackやTeamsのようなコラボレーション プラットフォームの使用、そして従来の保護機能の枠外で従業員が機密データを簡単に作成し、共有できることによる情報漏えいです。
それでも、CISOはAIのポテンシャルを認めてもいます。CISOの64%が、AIツールを安全に使用できるようにすることが、今後2年間の最優先事項であると述べており、68%がヒューマンエラーや高度な脅威への対策としてAIを活用した機能について調べています。
6:取締役会において変わるポジション
2024年のピークを境に、CISOと取締役会において見解があまり一致しなくなっています。今年、サイバーセキュリティに関して、取締役会と見解が一致していると感じるCISOはわずか64%でした。これは昨年の84%より大幅に低下しています。また、取締役員がサイバーセキュリティに関する専門知識を備えていると考えるCISOはわずか66%で、こちらも84%から大幅に低下しています。
とはいえ、進歩も見られます。今回初めて、取締役会にとって、サイバー攻撃が発生した場合の最大の懸念は企業価値への影響である、という結果となりました。これは、サイバーリスクが経営幹部レベルで戦略的に考慮されていることを示しています。
7:高まるプレッシャーと限られた安心材料
CISOに対する要求は高まるばかりです。66%が、過度に期待されていると回答しています。これは昨年から見ると変わっていませんが、過去数年と比べればやはり高くなっています。さらに困ったことに、67%が、サイバーインシデントが発生すれば自分が責任を負うと感じているにもかかわらず、目標を達成するために十分な予算、ツール、スタッフが用意されていると考えるCISOは67%にとどまっています。
しかし明るい兆しもあります。CISOの65%が、組織が個人的な責任から自分を保護するための対策を導入していると述べています。これは、前年と比べて増加傾向にある燃え尽き症候群に対処するための重要な一歩です。
最後に
2025 Voice of the CISOは、複雑な状況を描いています。セキュリティリーダーは、これまで以上に知識を身につけ、存在感が増しているものの、攻撃、燃え尽き症候群、途方もない期待に対しては、より脆弱になっています。
課題はいまや、組織の自信を真のレジリエンスへと変えることです。スマートなテクノロジーは確かに必要ですが、ガバナンスの強化、従業員へのさらなる投資、そして取締役会の積極的な関与が求められます。脅威状況が進化するにつれて、従業員とデータという、最も重要なものを保護するためのアプローチも進化しなければなりません。
2025 Voice of the CISO レポート完全版 ダウンロード
https://www.proofpoint.com/jp/resources/white-papers/voice-of-the-ciso-report
