「セキュリティ対策はしているのに、なぜか自信が持てない」 CIOの“悩みの正体”と打開策：AI時代のセキュリティ対策、投資だけでは解決できない課題とは

CIOはセキュリティ対策を進めているにもかかわらず、その効果に十分な自信を持てていない実態が、サイバーリーズンの調査から明らかになった。それはなぜなのか。調査結果から、その理由と改善のヒントを探る。

[＠IT]

　セキュリティベンダーのサイバーリーズンは2026年4月23日、AI時代のセキュリティ課題や対策の実態を調査したレポート「ペルソナ スポットライト：CIO（最高情報責任者）」を公開した。12カ国の経営幹部（直属の担当者を含む）1500人を対象に調査を実施し、本レポートではCIO（最高情報責任者）の回答を基に分析している。

　調査では「今後12カ月以内に、AIを活用した攻撃が発生する」と予測するCIOは51％に上った。一方でこうした攻撃に対する防御について、自社の取り組みが「極めて効果的」だと評価したのは20％のみだった。

　ソフトウェアの製造／提供工程を侵害するソフトウェアサプライチェーン攻撃を「差し迫った脅威」だと認識しているCIOは56％を超え、その対策に中程度以上の投資をしているとの回答は70％に達した。ただしソフトウェアサプライチェーンのリスクについて「非常に効果的に対処できている」との回答は22％にとどまった。

　社内で運用するセキュリティ対策が「効果的」だと回答したCIOは41％にとどまった。46％は、より先回りしたセキュリティ対策を講じなければ、サイバー侵害による被害はさらに拡大すると予測した。

対策をしても拭えない不安、その理由と対処法は？

　このようにCIOは新しい脅威を認識し、セキュリティ対策を進めているものの、自社の対策に対する評価は総じて高くない。その背景にはどのような課題があり、CIOは何を見直すべきなのだろうか。調査結果を基に、それらの答えを探る。

“火消し”に回るセキュリティ予算、経営層との連携不足も

　過去2年間のセキュリティ関連コストについて、CIOの62％は脅威の予防や検知よりも、発生後のインシデント対処に多くを費やしたと答えた。企業は限られたセキュリティ予算を事後の“火消し”に費やす傾向があり、予防や検知への投資とのバランスが課題になっている。

　他の事業部門や経営層との連携不足も課題だ。サイバーセキュリティ部門と他の事業部門の連携を「非常に効果的」だと評価したCIOは33％にとどまった。47％は「経営層がサイバーレジリエンス（サイバー攻撃を受けても事業を継続し、速やかに復旧する能力）を優先していないことが、セキュリティ体制の改善を妨げている」と回答した。

事業成果につながるセキュリティ対策を

　調査結果を受けて、サイバーリーズンはCIOに対して、サイバーレジリエンスの強化に向けて経営層の理解を得ると同時に、セキュリティ戦略を事業成果につなげることが重要だと提言する。具体策として以下を挙げる。

• サイバーレジリエンスに関連する戦略を事業価値向上に結び付ける
• 組織全体のサイバーレジリエンス向上に向けて、経営層の意識を改革する
• 新たな攻撃に備えて、インシデント対処や脅威インテリジェンスの専門家との連携を進める
• 取引先に関連する脆弱性の特定など、サプライチェーン全体のリスク管理を強化する