企業を取り巻くデジタルリスクはますます多様化。サイバー攻撃や内部からの情報漏えいのような従来型リスクが進展の様相を見せる一方で、生成 AI のような最新テクノロジーの登場や、国際政治の再編による世界的なパワーバランスの変動への対応が求められている。2025 年のデジタルリスク管理における重要ポイントはどこか。ガートナージャパンでセキュリティーとプライバシー領域の調査、分析を担当する礒田優一氏に聞いた。
 

礒田優一氏(提供:ガートナー)

――ガートナーは、日本企業が押さえておくべきセキュリティーとプライバシーに関する重要論点を昨年に続いて公表しました。新たに加わった論点を教えてください。
2025年に新しく加わった論点は、サイバー・フィジカル・システム(CPS)のリスク対応になります。CPS は IT/OTの相互接続、モノのインターネット (IoT)、産業用 IoT、またはスマートX プログラムといった種類に関わらず、サイバー領域と物理領域が相互に接続されるため、セキュリティーの脅威と影響がこれまで以上に拡大します。

AIとも連動し、ロボティクス、自動運転なども含めた対応の必要性がグローバルで高まっています。日本のCPSの集積地としては静岡県裾野市でトヨタが進めている実験都市であるウーブンシティが挙げられます。欧州におけるNIS2やサイバーレジリエンス法への対応もあることから、日本の製造業から製品セキュリティーの問い合わせも増加しています。CPSのセキュリティーもさまざまあります。今後は一層の対策が必要と考えています。
 

画像を拡大 図1:セキュリティーとプライバシー領域の 2025 年の重要論点(1)
提供:ガートナー

――重要論点のなかで、特に優先順位が高いのはどれでしょうか?
企業によって異なりますので一概に言えませんが、成熟度のそこまで高くない組織は図2の左半分、つまり一般的なセキュリティー脅威への対応を基礎から進めるべきです。一方、成熟度の高い組織ほど、図2の右半分の論点に対する具体的な取り組みの重要性が高 まっていると考えるべきです。

画像を拡大 図2:セキュリティーとプライバシー領域の 2025 年の重要論点(2)
提供:ガートナー

セキュリティーに閉じた議論のみではなく、クラウド、AI、CPS、法規制、地政学的リスクなどと組み合わせ、最適解を求める必要性が高まっていることがその背景にあります。

なお、広範囲に影響を及ぼすものとして一番に挙げられるのは、やはりAI 関連です。「ChatGPT」の登場を発端とした普及と進歩は目覚ましく、数年以内にAGI(汎用人工知能)、ASI(人口超知能)が登場すると言われます。人間のような汎用的な知能、あるいはそれをはるかに超えた知能を持つAI の登場によって、セキュリティー領域も大きな影響を受けるでしょう。

AI、特に生成 AI セキュリティーへの影響は、4つのポイントに整理できます。第1はセキュリティーのリスクマネジメント、現場における改善自動化やリソースの最適化、サイバー攻撃に対する防御での使用。第2はサイバー攻撃を仕掛ける側での利用。新たな攻撃方法やツールの開発に生成 AIを用いて攻撃力をレベルアップさせています。

第3は、各社が生成 AIアプリケーションの利用を急ぐあまり、セキュリティーやリスクの対応が後回しになっており、対応が急務となっていること。第4は生成 AIアプリケーションを構築運用(あるいは提供)する立場としてのセキュリティーやリスクの対応です。