CISOの76％が今後1年以内に重大なサイバー攻撃を受けると予想、最も懸念される事項は人に起因するリスクや生成AIによる情報漏えい

サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都千代田区、代表取締役社長：茂木正之、以下プルーフポイント)は本日、「2025 Voice of the CISO (CISO意識調査レポート)」の日本語版を発表しました。本レポートは、世界16か国における1,600人の情報セキュリティ最高責任者（CISO）を対象に実施された調査結果をもとに、CISOが直面する主要課題、優先事項、そして急速に変化する脅威環境への対応状況を明らかにしています。第5回目となる今回の調査では、2つの重要なトレンドが浮き彫りになりました。サイバー攻撃の急増はCISOの不安を高めており、インシデント発生時には身代金の支払いに応じる意向も高まっています。また、生成AIの急速な普及により、セキュリティ担当者は情報漏えいや不正利用の懸念が増す中で、イノベーションとリスク低減のバランスを取る必要に迫られています。

サイバー脅威がますます頻繁かつ多様化する中で、世界のCISOは自社が重大な攻撃に耐えられるかに強い懸念を抱いています。世界のCISOの76％が今後12か月以内に重大なサイバー攻撃を受けるリスクがあると感じている一方で、58％は対応の準備が整っていないと回答しています。過去1年間でCISOの3分の2が重大な情報漏えいを経験しており、その原因のトップは内部関係者によるものでした。少なくとも一部の情報漏えいが退職者に起因すると回答したCISOは92％に達しており、人的要因が依然として重大な脆弱性であることが浮き彫りになりました。このようなプレッシャーを反映し、66％のCISOは情報漏えいを防ぐ、またはシステムを復旧させるために身代金の支払いを検討すると回答しています。

また、AIはCISOにとって、最重要課題であると同時に最大の懸念事項として急速に浮上しています。世界のCISOの64％は、今後2年間で生成AIツールの利用を可能にすることを戦略的優先事項と考えています。しかし、セキュリティ上の懸念は依然として存在します。米国では、CISOの80％がパブリックな生成AIプラットフォームによる顧客データの流出を懸念しています。生成AIの導入が加速する中、組織は単なる利用制限からガバナンスへと方針を転換しており、世界の組織の67％が利用ガイドラインを導入し、68％がAIを活用した防御策を検討しています。ただし、生成AI活用に対する関心は、昨年の87％からはやや低下しています。

調査概要：

「2025 Voice of the CISO」レポートは、人とデータを守る最前線に立つCISOの視点から、サイバーセキュリティの現状を示す重要なデータです。本調査では、従業員1,000人以上の組織に所属する1,600人以上のCISOを対象にアンケートを実施（2025年3月4日～3月14日）し、セキュリティリーダーと取締役会との連携の変化が、セキュリティの優先事項にどのような影響を与えるかについても分析しました。また、2025年第1四半期にかけて、16か国の各市場で100人のCISOにインタビューを実施しました（米国、カナダ、ブラジル、メキシコ、英国、フランス、ドイツ、イタリア、スペイン、オランダ、UAE、サウジアラビア王国、オーストラリア、日本、シンガポール、インド）。

プルーフポイントのグローバル レジデントCISO、パトリック・ジョイス（Patrick Joyce）は、次のように警鐘を鳴らしています。「今年の調査結果は、CISOの自信と実際の能力の間に拡大するギャップを明らかにしています。多くのセキュリティリーダーが自社のサイバー体制に楽観的な見方を示している一方で、現実は異なります。情報漏えいの増加、対応準備の不足、そして人為的リスクの持続は、組織のレジリエンスを脅かしています。生成AIの導入が加速する中で、CISOはより少ないリソースでより多くをこなし、前例のない複雑性を乗り越えながら、最も重要な資産を守らなければなりません。CISOの役割がこれほど重要で、同時にこれほど大きなプレッシャーにさらされている時期、これまでにありませんでした」

 

日本における主な調査結果：

• 自信を揺るがす懸念事項：CISOは増加する情報漏えいと対応準備不足に直面している

2025年、日本のCISOの69％（世界平均：76％）は、今後1年の間に重大なサイバー攻撃を受けるリスクがあると考えています。これは昨年の60％（世界平均：70％）から増加しています。しかし、45％（世界平均：58%）は自組織の対応準備が整っていないと認めています。また、過去1年間で日本のCISOの35％（世界平均：66％）が重大な情報漏えいを経験しています（2024年は34％／世界平均：46％）。一方、日本のCISOの64%（世界平均：67%）のCISOがサイバーセキュリティ文化に自信を示しています。

図1：過去1年間で組織が機密情報の重要な漏えいに対処したCISOの割合

 

• 攻撃手法は多様化、結果は同じ

今日CISOは、特定の攻撃経路だけでなく、ますます断片化した脅威環境に直面しています。ランサムウェア攻撃、メール詐欺、内部関係者による脅威、サプライチェーン攻撃などがすべて主要な懸念事項です。攻撃手法はさまざまですが、その結果はほとんど同じで、情報漏えいにつながります。このような高リスクを反映して、日本のCISOの63％（世界平均：66％）がシステム復旧や情報漏えい防止のために身代金の支払いを検討する可能性があると回答しています。

 

• 情報漏えいの背後に人がいる

情報漏えいを経験した日本のCISOの89％（世界平均：92％）は、退職した従業員が関与していたと回答しており、昨年の71％（世界平均：73％）から増加しました。ほぼすべての組織で情報漏えい対策（DLP）ツールが導入されているにもかかわらず、41％はデータの保護が不十分だと感じています。生成AIの普及に伴い、情報保護とガバナンスを最優先事項として挙げるCISOは65％（世界平均：67％）に達しており、セキュリティは「静的な保護」から「状況に応じた柔軟な保護」へと進化しています。

 

• 変わらず続く「人」の問題

2025年においても、ヒューマンエラーはサイバーセキュリティ上の最大の脆弱性です。日本のCISOの63％（世界平均：66％）が「人」を最大のリスクと挙げています。一方で、67％（世界平均：68％）は従業員がサイバーセキュリティのベストプラクティスを十分に理解していると考えています。このギャップは重要な課題を示しており、意識だけでは不十分であることを浮き彫りにしています。さらに日本の組織の41％では、知識と行動のギャップを埋めるための、内部脅威対策のリソースが依然として不足しています。

 

• AI：味方でもあり敵でもある

生成AIの急速な普及は、「人」に起因するリスクへの懸念を一層高めています。日本のCISOの45％(世界平均：60%)は、生成AIが組織にセキュリティリスクをもたらすと考えています。また、41％(世界平均：60%)は、パブリック生成AIプラットフォーム／ツールによる顧客データの流出を懸念しており、コラボレーションプラットフォームや生成AIチャットボットが主要なセキュリティ脅威と見なされています。

それでも、日本のCISOの73％(世界平均：64%)は、安全な生成AIの利用を可能にすることを最優先課題と考えており、制限からガバナンスへのシフトが進んでいます。多くはガードレールを設けて対応しており、67％が利用ガイドラインを導入し、69％がAIを活用した防御策を検討していますが、昨年の93％からは関心がやや低下しています。43％(世界平均：59%)は従業員による生成AIツールの使用を全面的に制限しています。

図2：生成AIが組織にセキュリティリスクをもたらすと考えているCISOの割合

 

• 取締役会におけるCISOの位置

日本のCISOと取締役会の連携は、2024年の82％(世界平均：84%)から今年は54％(世界平均：64%)へと大きく低下しました。それでも、サイバー攻撃後の業務停止（重大なダウンタイム）が取締役会の最大の懸念事項として浮上しており、サイバーリスクが戦略的優先事項として注目されていることを示しています。

 

• 年は代わるもCISOへのプレッシャーは続く

日本のCISOは、増大する脅威と限られたリソースの中で依然として大きなプレッシャーに直面しています。62％（世界平均：66％）が過剰な期待にさらされていると報告し、50％（世界平均：63％）は過去1年以内に自身または同僚の燃え尽き症候群を経験または目撃したと回答しています。また、61％（世界平均：65％）は組織が個人的責任から守るための対策を講じていると回答している一方で、37％はサイバーセキュリティ目標を達成するための十分なリソースが不足していると感じています。

プルーフポイントの最高戦略責任者、ライアン・カレンバー（Ryan Kalember）は、次のように述べています。「人工知能は概念段階を超え、コア技術へと進化し、防御側と攻撃側の双方の活動を変革しています。CISOは今、二重の責任に直面しています。AIを活用してセキュリティ体制を強化すると同時に、その倫理的かつ責任ある利用を確保することです。このバランスを取る役割により、CISOは戦略的意思決定の中心的存在になっています。しかし、AIはCISOの役割を再構築する数ある要因のひとつに過ぎません。脅威が激化し、環境が複雑化する中で、組織は今日の企業におけるサイバーセキュリティリーダーシップのあり方を再評価しています」

 

「2025 Voice of the CISO」レポート（日本語版）は以下リンクよりダウンロードしてください：

https://www.proofpoint.com/jp/resources/white-papers/voice-of-the-ciso-report

 

Proofpoint | プルーフポイントについて

Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の85%を含むさまざまな規模の大手企業が、メールやクラウド、ソーシャルメディア、Webにおける最も重要なリスクを軽減する人を中心としたセキュリティおよびコンプライアンスのソリューションとして、プルーフポイントに信頼を寄せています。

詳細は www.proofpoint.com/jp にてご確認ください。