世界4大会計事務所の一角「EY」は「EYサイバーセキュリティ・ロードマップ調査」と題するセキュリティレポートを公表。
この「EYサイバーセキュリティ・ロードマップ調査」は、年商5億ドル以上の米国企業に所属する500名のシニアセキュリティリーダーを対象に実施された。
調査結果によると、回答者の96%がAIを悪用したサイバー攻撃を自組織にとっての重大な脅威と位置づけている。
さらに、48%のリーダーが過去1年間に発生したサイバーインシデントの4分の1以上がAIに関連するものだったと見積もっており、AIによる脅威がすでに現実のものとなっていることが示された。
その一方で、AIを活用した大規模な侵害行為に対して自社の防御力に高い自信を持っているリーダーは半数に満たず、従来のセキュリティ対策だけでは進化する脅威に対応しきれないこともわかっている。
調査に参加したリーダーの99%が、AIの戦略的な導入は、事前対応型および防御型のサイバーセキュリティ戦略を根本から変革すると確信していると回答。
すでにAIをセキュリティ対策に活用しているリーダーのうち85%は、現在の予算ではAI関連の脅威に十分に対処できないと指摘している。
課題に対応するため、「今後2年以内にサイバーセキュリティ予算の4分の1以上をAI関連ソリューションに割り当てる組織」の割合は、現在の9%から48%へと約5倍に急増すると予測されており、AIへの投資シフトが組織の競争力維持に不可欠な動きと見なされている。
特に注目を集めているのが「agentic AI(自律的に行動するAI)」の活用拡大で、回答者の97%が2年後の組織の競争優位性はagentic AIを基盤としたサイバー防御の成熟度に依存すると考えている。
その適用範囲は大幅に拡大する見通しで、具体的には特定の組織や国家を標的とした高度なサイバー攻撃手法である「APT」の検知での活用は現在の30%から62%へ、そしてユーザー認証とアクセス制御を担うID管理では23%から51%へと軒並み倍増することが期待されている。
しかし、AI技術の積極的な導入が進む一方で、ガバナンス体制の構築という課題も明らかになった。
ほぼ全てのリーダーがAIサイバーセキュリティ向けのガバナンスフレームワーク(組織がビジネス目標を達成するために用いる方針、ルール、手順、役割分担、監督メカニズムなどを体系的にまとめた構造化された枠組み)を導入済みであるものの、そのフレームワークが完全に最適化され、組織文化として定着していると回答したのはわずか20%に留まった。
多くがまだ導入・展開段階にあり、この成熟度のギャップがAIによる脅威への迅速な対応の足かせとなる可能性が懸念される。
EYによる今回の調査は、AIが攻撃側と防御側の双方で急速に進化する「AI対AI」のサイバー攻防時代において、企業が生き残るために積極的な変革を迫られている実態を如実に示したものと言える。