地政学的緊張やAIがサイバー空間を複雑化する今、知っておくべきこととは 

世界経済フォーラムが発表した「グローバル・サイバーセキュリティ・アウトルック2025（Global Cybersecurity Outlook 2025）」によると、世界経済はますます複雑化するサイバー空間で運営されており、急速に進歩するテクノロジーと進化する規制が新たな課題と機会を生み出しています。

「サイバーセキュリティは、これまでにない複雑な時代を迎えている」と報告書は述べ、「これまで以上にリスクが高まっている」と付け加えています。

スイスのダボスで開催される同フォーラムの年次総会に先立って発表されたこの報告書は、業界の専門家への調査をもとに、サイバー空間を複雑にしているさまざまな傾向を明らかにしています。

以下は、特に重要とされる6つの課題分野です。

「グローバル・サイバーセキュリティ・アウトルック2025（Global Cybersecurity Outlook 2025）」は、経営最高責任者（CEO）の3分の1が、現在起こっている世界的な紛争に伴うサイバースパイや機密情報の流出を懸念していることを明らかにしました。

さらに、地政学的緊張は、60%近くの組織におけるサイバーセキュリティ戦略に影響を与えています。一部の組織では保険契約を見直し、他の多くの組織ではベンダーや取引方針を変更、もしくは特定の国における事業を完全に停止しています。

「地政学的緊張の高まりと巧妙化するサイバー脅威は、相互接続されたデバイスやレガシーシステムのネットワークに依存する、重要インフラに重大なリスクをもたらしている」と報告書は指摘しています。

同報告書では、AIに関連するサイバーセキュリティリスクへの認識と、必要な安全対策が整備されずにAIツールが急速に導入されている現状との間にギャップがあることを指摘しています。

企業の3分の2が、2025年にAIがサイバーセキュリティに影響を与えると予測する一方、セキュリティリスクを評価するために必要なツールを備えていると回答した企業はわずか37%にとどまっています。この課題は中小規模の組織においてさらに顕著であり、69%がAI技術を安全に展開するための十分な対策を欠いているとしています。

「AIの導入が進む中、AIシステムのセキュリティ（またはその欠如）は、広範囲に影響を及ぼす可能性があります」と、シンガポールサイバーセキュリティ庁長官兼局長であるデビッド・コー氏は述べています。「地政学的緊張が続き、重要かつ新興の技術における戦略的競争に直面する中においても、AIの安全を確保するために協力し、連携しなければなりません」。

現在、サイバーセキュリティ分野では最大480万人の専門家が不足している状況です。現在のサイバー環境において必要なスキルを持つ人材がいると回答した組織は、わずか14%にとどまっています。また、同報告書によれば、2024年にはサイバー・スキルギャップが8%増えており、その増加は、主にパブリックセクターで顕著です。

さらに、パブリックセクターの約半数（49％）が、サイバーセキュリティの目標を達成するために必要な人材を確保できていないと述べています。

「拡大するサイバー・スキルギャップを解消するためには、サイバーセキュリティ人材の研修、再教育、採用、維持に注力することが極めて重要」であると、シスコの会長兼最高経営責任者（CEO）であるチャック・ロビンス氏は述べています。

大規模組織の半数以上（54％）が、複雑なサプライチェーンがサイバーレジリエンスを高める上で最大の障壁となっている、と回答しています。

さらに、ソフトウェアの脆弱性、サプライチェーンを狙ったサイバー攻撃、サードパーティのセキュリティに関する可視性の制限への懸念が高まっており、最高情報セキュリティ責任者（CISO）の48%が、セキュリティ基準の実施や重要なプロバイダーへの依存に伴うリスク管理が困難であると報告しています。

「賢い敵はサードパーティの脆弱性を悪用するため、連携が不可欠」だと、クラウドストライクのCEO兼創設者であるジョージ・カーツ氏は述べています。

ランサムウェアが依然として組織にとって最大の懸念事項である一方、生成AIツールの普及により、犯罪者が手口を洗練し、攻撃を自動化および個別化することが可能になり、サイバー犯罪の様相が変化しています。

同報告書によれば、2024年には組織の42%が、フィッシング、ビッシング、ディープフェイクなどのソーシャルエンジニアリング攻撃を受けたと報告しています。

フィリピン情報通信技術省大臣であるアイバン・ジョン・E・ウイ氏は、「デジタルフットプリントが広がるにつれ、悪意のある攻撃者が利用できる潜在的な攻撃対象も拡大します」と、述べています。

サイバースペースにおいてガードレールが不可欠であることは誰もが認めている一方、どのようなものを採用すべきかについては合意が得られていません。規制の増加とそれらの不調和は、企業にさらなる課題をもたらしています。

調査回答者の70%近くが、規制が複雑すぎる、または入り組んでいると感じていることを認めており、サイバーセキュリティ年次会議（AMC）に参加したCISOの4分の3以上が、規制の混乱が組織のコンプライアンス維持能力に大きな影響を与えていると述べています。

上記で指摘した複合的な要因は、サイバー環境の複雑性と予測不能性を高め、組織にいくつかの影響を与えています。

第一に、サイバー不公平を悪化させ、適応するためのリソースと手段を持つ組織と適応が困難な組織との間の格差を深めることで、エコシステムのレジリエンスを弱めています。こうした不均衡は、エコシステム全体のレジリエンスに影響を及ぼします。これは、多くの場合、大規模な組織が小規模かつ成熟度の低いサプライヤーに依存し、こうしたサプライヤーの業務における混乱がサプライチェーン全体に波及する可能性があるためです。

第二に、複雑さが増すにつれ、サイバーセキュリティにおける専門的なスキルへの需要が増大し、スキルギャップがさらに拡大します。技術の進歩に対応するには、サイバーセキュリティ分野でますます求められる専門知識が必要であり、同時に、既に過重な負担を抱えるセキュリティチームへの圧力も増大し続けているのです。

こうした課題に対処するためには、組織およびエコシステムレベルでのサイバーセキュリティ戦略の再評価が求められます。リーダーはサイバーセキュリティを戦略的な投資と捉え、新たな脅威に対するレジリエンスを確保し、組織全体の連隊責任として認識する必要があります。

強力なリーダーシップが重要であり、技術的側面だけでなく、サイバーリスクの経済的な影響にも注力しなければなりません。複雑化するサイバーセキュリティを管理するためには、ビジネスリーダーとサイバーリーダーが一体となったアプローチが不可欠なのです。