「AI対応セキュリティチームは今や必須要件」 2025年グローバルサイバーセキュリティスキルギャップレポートより

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「AIはサイバーセキュリティを変革しているが、スキルギャップは依然として重大なリスクをもたらす」を再編集したものです。

人工知能(AI)は現在、最新のサイバーセキュリティ戦略の中心に位置し、脅威検知を加速し、自動化を可能にし、セキュリティチームが前例のない量のデータを管理するのを支援しています。しかし、AIは攻撃者の参入障壁を下げ、攻撃の規模と巧妙さを増幅することで、サイバー犯罪も加速させています。

2025年グローバルサイバーセキュリティスキルギャップレポートは、この二重の現実を明確に捉えています。AIは、強力な機会であると同時に、増大する課題であり、高まるリスクの源として見られています。差別化要因は、組織がAIを導入するかどうかではなく(それは当然のことです)、それを効果的に使用するためのセキュリティスキルとポリシーを備えているかどうかです。

AIの導入はほぼ普遍的だが、専門知識はそうではない

サイバーセキュリティにおけるAIの導入は、もはや願望ではありません。レポートによると、 97%の組織がAI搭載のサイバーセキュリティソリューションを使用しているか、使用する予定です。この導入レベルは、必要性と緊急性の両方を反映しており、脅威がより高速化し、より自動化され、手動の方法だけでは検知が困難になっているためです。

しかし、この広範な導入は、より深刻な問題を覆い隠しています。 ITの意思決定者の48%が、サイバーセキュリティにAIを導入する際に直面する最大の課題は、十分なAI専門知識を持つスタッフの不足であると述べています。言い換えれば、組織はAIで強化されたソリューションの購入に苦労しているわけではありません。それらを適切に使用することに苦労しているのです。

このギャップが重要なのは、AIシステムが単独で動作するわけではないからです。AIシステムには、チューニング、検証、監視、既存のワークフローへの統合、そして重要なことに、他のAI対応ソリューションとの連携が必要です。サイバーセキュリティの基礎とAI駆動型システムの両方を理解する熟練した専門家がいなければ、組織は設定ミス、自動化への過度の依存、防御能力に対する誤った自信というリスクに直面します。

AIはサイバー犯罪と防御の両方を加速させる

AIは脅威動向の両側を再構築しています。セキュリティチームは、検知の改善、対応の自動化、脅威インテリジェンスの強化にAIを使用しています。同時に、攻撃者はフィッシングキャンペーンの規模拡大、説得力のあるソーシャルエンジニアリングコンテンツの生成、より効率的な防御の調査にAIを使用しています。

このレポートは、この懸念を直接反映しています。回答者の49%が、悪意のある行為者によるAIの使用がサイバーセキュリティ攻撃を増加させることを懸念しています。この懸念には十分な根拠があります。AI駆動型の攻撃は検知が困難で、実行が迅速であり、多くの場合よりパーソナライズされているため、すでに逼迫しているセキュリティチームにさらなる圧力をかけています。

この力学は、重要なポイントを強調しています。AIは熟練した専門家の必要性を減らすものではありません。むしろ増やすのです。

AIは人を補強します。人に取って代わるものではありません。

自動化に対する懸念にもかかわらず、本レポートは労働力におけるAIの役割について強いコンセンサスがあることを示しています。回答者の87%が、AIは一部またはほとんどのサイバーセキュリティの役割を強化すると考えており、一方でAIがサイバーセキュリティの仕事を完全に置き換えると考えているのはわずか2%でした。この調査結果は、AIを労働力への脅威としてではなく、労働力の増幅器として再定義するため、重要です。

AIは、反復的なタスクから焦点を移し、調査、戦略、意思決定などのより高い価値を持つ活動に向けることで、セキュリティ専門家の働き方を変えています。しかし、この変化には継続的なスキルアップが必要です。専門家は、AI駆動型ツールがどのように機能するか、その限界がどこにあるか、そして実際の運用コンテキストで出力をどのように解釈するかを理解する必要があります。

AIの採用は、労働力削減の話ではありません。それは労働力変革の話です。

組織がAIを最も活用したい領域

本レポートは、組織がAI対応セキュリティ機能に最大の価値を見出している領域を強調しています:

・脅威検知と防止(66%)
・セキュリティ自動化(55%)
・脅威インテリジェンス(52%)

これらの領域はデータ集約的で時間的制約があり、まさにAIが有意義な優位性を提供できる分野です。しかし、これらは不適切な実装や誤った解釈が新たなリスクをもたらす可能性がある領域でもあります。AIモデルは、トレーニング、監視され、組織環境に合わせて調整される必要があります。人間の判断は依然として不可欠です。

AI時代において従業員の意識がより重要になる

AI強化型脅威は、セキュリティチームだけに影響を与えるものではありません。すべての従業員にとってリスクが増大します。そのため、リーダーの62%が、従業員がより高度なAI駆動型攻撃、特に非常に説得力のあるフィッシングやソーシャルエンジニアリングキャンペーンに引っかかることを懸念していると述べています。

これにより、セキュリティ意識向上トレーニングの重要性が高まっています。一般的なフィッシングの例に焦点を当てた従来の意識向上プログラムは、もはや十分ではありません。トレーニングは、AI生成の脅威シナリオ、現実的なシミュレーション、継続的な強化を含むように進化する必要があります。

スキルギャップレポートは一貫して、サイバーセキュリティ意識の欠如が侵害の主な原因であり続けていることを示しています。そして、AI生成の攻撃がより高度になるにつれて、意識向上トレーニングは、補助的な対策ではなく、最前線の管理策としてますます重要になります。

AI対応セキュリティチームは今や必須要件

レポートから得られる最も明確な結論の1つは、AI対応セキュリティチームが、あれば良いというものではなく、リスク管理の必須要件になったということです。スキル向上への対応する投資なしにAIを導入する組織は、エクスポージャーを削減するのではなく、増加させます。

そのため、トレーニングは複数のレベルでAIスキルギャップを埋める必要があります。

・セキュリティ専門家向けのAI概念の基礎的理解
・AI対応セキュリティツールに関する役割ベースのトレーニング
・AI駆動型攻撃の標的となる従業員向けの意識向上トレーニング
・AI機能と脅威の進化に伴う継続的な学習

AI単独ではスキルギャップを埋めることはできません。人材、トレーニング、認定資格が、AIが優位性となるか負債となるかを決定します。

トレーニングと認定資格によるAIスキルギャップの解消

認定資格は、サイバーセキュリティの専門知識を検証する最も信頼できる方法の1つであり続けています。スキルギャップレポートによると、IT意思決定者の89%が専門資格を持つ候補者を好むことが示されており、組織の86%がすでに認定資格保持者を雇用しています

AI駆動型のセキュリティ環境において、資格認定はいくつかのクリティカルな機能を果たします。

・最新のAI対応セキュリティ技術に関するクリティカルな理解を検証します。
・急速に変化する脅威環境に対応できる能力を実証します。
・AIと共に役割が進化する中で、体系的な進歩をサポートします。

実際の役割に沿ったトレーニングおよび認定プログラムは、組織がAIを責任を持って、効果的に、そして安全に展開することを保証するのに役立ちます。

AIセキュリティの成功は人材から始まる

2025年グローバルサイバーセキュリティスキルギャップレポートは、一貫したメッセージを強調しています。AIはすでにサイバーセキュリティに組み込まれています。ここからの差別化要因は人間の専門知識です。

AI技術に投資しても、それを管理する人材に投資しない組織は、価値を実現するのに苦労し、実際にリスクを増大させる可能性があります。一方、AIの導入をトレーニング、意識向上、認定と積極的に組み合わせる組織は、検知を改善し、対応時間を短縮し、レジリエンスを強化するためのより良い立場にあります。

AIがサイバーセキュリティの状況を再構築する中、スキルギャップを埋めるには、技術だけでなく、人材、スキル、準備態勢に意図的に焦点を当てる必要があります。 そして、フォーティネットはスキルギャップに正面から取り組んでいます。フォーティネット セキュリティ ファブリックにおける50以上の統合ソリューションと、フォーティネット トレーニング インスティテュートを通じた業界で最も幅広いトレーニングおよび認定プログラムの1つにより、フォーティネットは組織と個人の両方を支援し、サイバーセキュリティ意識へのアクセスを拡大し、専門スキルを向上させ、グローバルなサイバー人材を強化しています。

AI、スキル不足、人材の準備状況がどのように交差するか、そして組織がそれらに対処するために何をしているかを探るには、2025年グローバル サイバーセキュリティ スキルギャップ レポートをダウンロードしてください。

■関連サイト

Fortinet トップへ