CxOプレイブック：サイバーセキュリティレジリエンスにおけるギャップの解消

生成AIの急速な進歩によって、幅広い産業で新しい機会が生み出されています。しかし、それと同時にサイバーセキュリティリスクも高まっています。生成AIなどの新技術の導入が進むにつれて、組織のCxOは、より複雑で予見が困難なさまざまな課題に直面しています。このような課題として、攻撃ベクトルや統合への障害に加え、生成AIがサイバーセキュリティにおいてディフェンスとオフェンスの双方の性質を有していることも挙げられます。

サイバーセキュリティディフェンスにおける生成AIの活用：機会と課題

生成AIに起因するサイバーセキュリティリスクのアタックサーフェスの拡大は大半の組織が経験していますが、CxOは、生成AI技術をサイバーセキュリティディフェンスの目的でも利用しています。生成AIの活用事例としては、脅威の検知と対応、脅威インテリジェンス、マルウェアフィッシング検知がトップ3を占めています。

規制の枠組みで定められる要件は増加をたどっていますが、企業は速やかにこれに適合しなければなりません。デジタル・オペレーショナル・レジリエンス法（DORA）、サイバーレジリエンス法、欧州AI規制法（AI Act）、重要インフラに関するサイバーインシデント報告法（CIRCIA）、シンガポール・サイバーセキュリティ法をはじめ、新たな規制が次々と打ち出されています。こうした事実からも、組織における旧来の慣行を、高度化する要件に整合させることが急務とされている状況が分かります。規制に基づく監視と新たな脅威の双方に応えることができる、レジリエントで規制適合的なサイバーセキュリティ体制を整備するには、このような課題への取り組みが不可欠です。

自信のギャップ：サイバーセキュリティの遵守能力に関して、CISOは、CEOほど自信を持っていない

サイバーセキュリティに関する規制は組織に有益であると確信している場合でも、自社がこのような規制をどの程度まで遵守できるかという点において、CEOとCISO/CSOとの間には、顕著な自信の相違が存在します。

このような相違は、AI、レジリエンス、重要インフラの要件の遵守に関する認識で特に目立っています。サイバーセキュリティの最前線に立つCISOは、自らの組織がこのような規制の要件を満たせるかに関して、CEOよりも悲観的な見方をしています。

組織の規制遵守に関する信頼度

遵守できると強く確信するCEOとCISO/CSOの構成比（％）

サイバーセキュリティの脅威は急速に範囲を拡大し、ますます巧妙になっています。こうした中で、サイバーセキュリティリスク定量化は、組織にとって看過できない必須のツールになっています。そのメリットは広く認識されていますが、データの質の問題やアウトプットの信頼性など、いくつかの課題も残されていることから、幅広く採用されるには至っていません。

サイバーセキュリティリスクの計測は不可欠ながら限定的

サイバーセキュリティリスクに関する重点投資分野の決定に当たりリスクの計測が不可欠とする回答が全体の88％、最もリスクの高い分野にリソースを配分するとの回答が全体の87％に達するなど、CxOの見解は大筋で一致しています。しかし、かなりの程度までこれらを実行（例：自動化および広範囲にわたるレポート作成による大規模なサイバーセキュリティリスク定量化）していると回答した組織は15％に過ぎません。

事業において看過し得ない重点項目として、サイバーセキュリティの位置づけは上昇し続けています。また、組織では、サイバーセキュリティは差別化の秘訣であり、企業の評判とトラストを向上させる手段としての可能性を有していると考えられ始めています。これに備えて、特にデータの保護とデータのトラストを中心に、多くの組織がサイバーセキュリティ予算を増額しています。このような分野に戦略的な投資を行うことで、企業はレジリエンスを強化するだけではなく、顧客とのポジティブな関係性も築いているのです。

最も問題の多い分野に投資：クラウドとデータのトラストは密接に関連

各組織では、今後12カ月にわたり、他のサイバーセキュリティ投資に優先して、データの保護・トラストとクラウドセキュリティに注力するとしています。ステークホルダーの信頼とブランドインテグリティを維持するためには、センシティブ情報の保護が不可欠であると認識されています。

ビジネスリーダーやセキュリティリーダーは、その職務に応じて具体的に取り組むべき項目の優先順位を整理しています。

• ビジネスリーダーの48％は、サイバーセキュリティ投資における最重点項目はデータの保護やトラストであると回答しています。これに次いで、技術の近代化や最適化とする回答が43％となっています。
• セキュリティリーダーについては、昨年の傾向と変わらず、クラウドセキュリティが34％で最上位を占め、次いで、データの保護とトラスト（28％）となっています。

サイバーセキュリティとトラスト：新たな競争力の源泉

サイバーセキュリティは、より多くの組織で、競争上優位に立つための差別化の重要な手段であると見なされるようになっています。例えば、影響をもたらす要素として、CxOの57％が顧客の信頼を、また49％がブランドインテグリティとブランドロイヤリティを挙げています。サイバーセキュリティの脅威がエスカレートする中で、強力なサイバーセキュリティ体制を構築することは、単なる防護の強化にとどまるものではありません。それは、顧客や利害関係者から頼りにされる評判を築くことでもあるのです。

競争上のアドバンテージとしてのサイバーセキュリティの位置づけ

（「かなりの程度」を選択した回答者の構成比％）

レジリエンスへの取り組みが停滞していることから、戦略的意思決定へのCISOの参画が進捗しないことに至るまで、戦略的な調整を要する分野が残されていることは明らかです。レベルアップを図るには、サイバーセキュリティの最先端を走る組織において実行されている手法を取り入れるべきです。さらに、既知の脅威に対処するにとどまらず、アジャイルでセキュア・バイ・デザインの手法をビジネスに取り入れることにより、トラストを構築し、永続的なレジリエンスを目指すことが重要です。

部分的な実装だけでは不十分

サイバーセキュリティリスクに対する懸念は高っているものの、自社の主要な活動全体をカバーするサイバーセキュリティレジリエンスを完全に実行することは、多くの企業にとって依然として容易ではありません。関係者、プロセス、テクノロジーの全般をカバーする12項目のレジリエンス活動について実施した調査において、自らの組織ではこのような活動のいずれか1つを完全に実行していると回答したCxOは全体の42％（またはそれ以下）にとどまりました。さらに懸念されることは、この12項目のレジリエンス活動が組織全体にわたって完全に実行されているという回答がわずか2％しかないことです。このような状況から、顕著な脆弱性が手つかずのまま残されていることがうかがえます。すなわち、企業全体をカバーするレジリエンスがなければ、活動の全てを危険に陥れかねない脅威の増大という、憂慮すべき事態に晒され続けるということです。

以下に例示するのは、組織横断的に検討すれば効果が高いと期待される主な分野です。

• レジリエンスチームを編成（組織横断的にこれを実行していると回答したCxOは、全体の34％のみ）
• ITロスの可能性に備えたサイバー・リカバリー・プレイブックの作成（組織横断的に実行しているとの回答は全体の35％のみ）
• テクノロジー依存状況のマッピング（組織横断的に実行しているとの回答は全体の31％のみ）

組織全体をカバーするサイバーセキュリティ
レジリエンス活動の実行

CISOの地位の向上：戦略とセキュリティの整合化

組織の重要な取り組みにCISOを十分に参画させていないことにより、多くの組織が、またとない機会を逃しています。サイバーセキュリティ投資に関する戦略的な計画の策定、取締役会への報告、テクノロジーの導入管理にCISOが概ね参画していると回答したCxOは、全体の半数を下回ります。このような齟齬が存在すると、組織における戦略の整合性が損なわれ、セキュリティ体制の弱体化につながります。

事業活動にCISOが「かなりの程度」参画

本調査について

「Global Digital Trust Insights 2025」は、2024年5月から7月にかけて、ビジネスリーダーおよびセキュリティリーダー4,042名を対象に実施した調査です。

回答者の4分の1は売上高50億米ドル以上の大企業のCxOです。回答企業の業種は、製造・サービス業（21％）、テクノロジー・メディア・通信（20％）、金融サービス（19％）、小売・消費財（17％）、エネルギー・ユーティリティ・資源（11％）、ヘルスケア（7％）、政府・公共サービス（4％）と多岐にわたっています。

回答者は77カ国に拠点を置いており、その地域別分布は、西欧（30％）、北米（25％）、アジア太平洋（18％）、中南米（12％）、中・東欧（6％）、アフリカ（5％）、中東（3％）となっています。

「Global Digital Trust Insights」調査は、以前は「グローバル情報セキュリティ調査（GSISS）」として知られていたものです。今年で27年目を迎える本調査は、サイバーセキュリティの動向に関する年次調査として最も長い歴史を有しています。また、サイバーセキュリティ業界で最大規模の調査でもあり、セキュリティリーダーだけでなく、シニアビジネスリーダーの参画を得ている調査としても他に類を見ないものです。

本調査は、PwCで世界の市場調査とインサイト提供を担当するCentre of ExcellenceであるPwCリサーチが実施しました。