オルタナティブ・ブログ > 『ビジネス2.0』の視点 >
RSS
『ビジネス2.0』の視点

ICT、クラウドコンピューティングをビジネスそして日本の力に!

Gartner、2025年の日本におけるセキュリティのハイプ・サイクルを発表

»

ガートナージャパン株式会社(以下Gartner)は2025年9月24日、「日本におけるセキュリティ(リスク管理、アプリ/データ、プライバシー)のハイプ・サイクル:2025年」を発表しました。

近年、AIの急速な普及やサイバー・フィジカル・システム(CPS)、量子コンピューティングといった新領域の広がりを背景に、従来の枠組みを超えたリスクが浮上しています。特に生成AIの業務利用拡大に伴い、AI特有のリスク管理や倫理的課題が世界的に注目されています。さらに、クラウド利用の深化やデジタル・サプライチェーンの複雑化により、サードパーティや外部サービスを起点とするリスクが急速に拡大しています。

Gartnerは本サイクルで、こうした変化を踏まえ、SRM(セキュリティ/リスク・マネジメント)リーダーが注視すべき領域として8つの新項目を追加しました。

今回は、その中でもAIガバナンスや組織レジリエンスを中心に、今後の方向性や企業が取るべき戦略を検討したいと思います。

セキュリティの地殻変動:AIと規制強化の波

セキュリティの前提条件は今、大きく変わりつつあります。これまで情報漏洩やマルウェアといった技術的リスクが中心でしたが、現在はAIやサイバー・フィジカル・システムの台頭により、社会制度や倫理を巻き込んだ複雑なリスクへと拡張しています。

例えば生成AIの利用は、生産性向上の一方で、知的財産権の侵害や誤情報拡散の温床にもなり得ます。AIエージェントが人間と協働する未来像が現実化する中で、説明責任や意思決定の透明性を確保する必要性は急速に高まっています。

同時に、世界各国ではAIやサイバーセキュリティに関する規制が相次いで整備されています。EUのAI規制法、米国のAIガイドライン、日本国内でもIPAや経産省が関連施策を強化しており、グローバル企業にとっては多層的な規制対応が不可避です。こうした状況下では、単なる技術導入ではなく、ガバナンスや倫理を組み込んだ包括的なリスク戦略が重要となっています。

ハイプ・サイクルが示す注目領域

今回のハイプ・サイクルでは、新たに「組織のレジリエンス」「AIガバナンス」「AIランタイム・ディフェンス」「AIセキュリティ・テスト」「AIゲートウェイ」「サードパーティ・サイバーリスク・マネジメント」など8項目が追加されました。

その中でもAIガバナンスは、今後の企業戦略における核心的なテーマと位置づけられます。AIガバナンスは、AIのリスクを適切に管理しつつ、業務効率化や新規サービス創出に活用する「ガードレール」の役割を果たします。法務、倫理、リスク、セキュリティなど多様な専門家を参画させることで、透明性の高いAI利用体制を築くことが求められています。

一方、組織のレジリエンスは、サイバー攻撃や自然災害、サプライチェーン混乱など、あらゆる危機に適応し回復する力を意味します。企業は従来のITシステムに限らず、製造ラインや物流ネットワークといったCPSの領域にまで視野を広げて防御体制を強化する必要があります。

Gartnerの礒田優一氏が指摘するように、セキュリティはもはや「IT部門だけの課題」ではなく、全社戦略の中核に位置づけられる時代に入ったといえるでしょう。

変化する脅威と企業の備え

AIの普及に伴い、従来型の攻撃に加えて新しいリスクが登場しています。深層偽造(ディープフェイク)による社会的混乱、AIモデルへの悪意あるプロンプト注入、AIエージェントの誤作動などは、従業員や顧客の信頼を揺るがしかねません。

また、クラウド利用の進展は利便性と拡張性をもたらす一方、マルチクラウドやサードパーティの依存度を高めています。特にデジタル・サプライチェーンを通じた攻撃は、企業単体では制御が難しく、産業全体のセキュリティ水準に依存する傾向が強まっています。

こうした背景から、リスク管理の焦点は「予防」から「レジリエンス」へとシフトしています。完全な防御は不可能であるという前提に立ち、被害を最小限にとどめ、迅速に復旧する体制を築くことが現実的な戦略となっています。

日本企業に求められる戦略転換

日本企業はこれまで、規制対応や顧客データ保護といった「守りのセキュリティ」に重点を置く傾向がありました。しかし今後は、攻めの視点を取り入れ、セキュリティを競争優位の源泉とする戦略転換が必要です。

たとえば、AIガバナンスを通じて「信頼できるAI」を実装できれば、消費者や取引先からの信用を高め、新市場の開拓につながります。また、組織のレジリエンスを高めることは、災害大国である日本においてサステナブルな経営基盤を築く意味を持ちます。

重要なのは、セキュリティをコストではなく「投資」と捉える発想の転換です。リスク対応は、将来的に市場シェアやブランド価値に直結します。ガートナーの指摘する「倫理」「人中心」の視点も含め、日本企業が世界市場で存在感を維持するための条件といえるでしょう。

今後の展望

2025年以降、AIとクラウドの進展はさらに加速し、セキュリティ環境の複雑性は一層増すと予想されます。企業は規制遵守に加え、透明性と倫理性を備えたAIガバナンスを整備し、顧客や社会からの信頼を獲得することが必要となるでしょう。

同時に、組織のレジリエンス強化は不可欠です。自然災害や地政学リスクが多発する中で、サプライチェーンやCPSを含めた全社的な防御力を高めることが、経営の持続可能性を左右します。

課題は、こうした取り組みが一部の大企業にとどまりがちな点です。中堅・中小企業にとってもサイバー攻撃や規制違反のリスクは等しく存在するため、産業横断的な協力やガイドラインの共有が求められています。また、政府・規制当局も支援策を通じて、全体の底上げを促進する必要があるでしょう。

スクリーンショット 2025-09-24 22.16.44.png

出展:ガートナージャパン 2025.9

黎明期(Innovation Trigger)

  • AIセキュリティ・テスト

  • AIガバナンス・プラットフォーム

  • ポスト量子暗号

  • サイバー・フィジカル・システムのリスク・マネジメント

  • データ・セキュリティ・プラットフォーム

  • サイバーリスク・マネジメントにおけるAI

  • AIゲートウェイ

  • AI SPM(セキュリティ・ポスチャ・マネジメント)

  • サードパーティ・サイバーリスク・マネジメント

  • AIアシスタント

  • サイバーセキュリティのレジリエンス

  • AIランタイム・ディフェンス

  • ソフトウェア・サプライチェーン・セキュリティ

  • ゼロトラスト・クラウドネットワーク

  • AIガバナンス

  • AI TRiSM

  • 組織のレジリエンス

過度な期待のピーク期(Peak of Inflated Expectations)

  • サイバーセキュリティの継続的なコンプライアンスの自動化

  • PET(プライバシー強化技術)

  • SBOM(ソフトウェア部品表)

  • サーバレス・ファンクション・セキュリティ

  • CNAPP(クラウドネイティブアプリ保護プラットフォーム)

  • マルチクラウドKMaas

  • コンテナ/K8sセキュリティ

幻滅期(Trough of Disillusionment)

  • デジタル倫理

  • クラウドWAAP(Web Application and API Protection)

  • PIA(プライバシー影響評価)

  • クラウド・ネイティブDLP(Data Loss Prevention)

  • プライバシー・バイ・デザイン

  • データ分類

  • DevSecOps

  • プライバシー・マネジメント・ツール

啓発期(Slope of Enlightenment)

  • なし

生産の安定期(Plateau of Productivity)

  • EDRM(エンタープライズ・デジタル・ライツ・マネジメント)

林 雅之 2025/09/25 05:16:06 Comment(0)