最前線から：Fortune 100企業のCISOが語るサイバーセキュリティの未来

Thyaga Vasudevan 著 - 製品担当エグゼクティブバイスプレジデント

2025年4月3日 4 分で読めます

ここ数週間、私は世界中のFortune 100企業や高度に規制された業界（医療、金融サービス、公共部門）のCISOやCIOと会う機会がありました。これらの組織は世界の経済と公共インフラの中心に位置しているため、サイバーセキュリティの将来を理解したいのであれば、これらのリーダーの声に耳を傾けることから始めるのが最適です。

すべての会話において、3つの共通のテーマがありました。

• ハイブリッドは今後も定着するでしょう
• DSPM (Data Security Posture Management) の緊急性が高まっています
• AIは課題であると同時に機会でもあります

それぞれについて詳しく説明し、それが今後の動向について何を意味するのか、私の考えを共有します。

1. ハイブリッドの現実は避けられません

クラウドのみの環境という予測にもかかわらず、現実世界はハイブリッドであり、それは予見可能な将来にわたって続くでしょう。私が話したすべての顧客は、一部のワークロードはクラウドに、一部はプライベートデータセンターに、そして一部は依然としてレガシーインフラストラクチャ上で稼働しているという、複雑なフットプリントを持っています。彼らは規律を持って近代化を進めています。

重要性：
セキュリティチームはもはやクラウドのリスクだけを管理しているわけではありません。環境を横断するデータの移動という複雑な迷路を乗り越えています。その複雑さは、死角、ポリシー適用の一貫性の欠如、そして統一された可視性の実現における課題を生み出します。

今後の動向：
成功するアプローチは「クラウドのみ」でも「オンプレミス永遠」でもありません。それは場所にとらわれないインテリジェントなセキュリティです。運用上のオーバーヘッドを追加することなく、ハイブリッドインフラストラクチャ全体にわたって制御、コンテキスト、および可視性をシームレスに拡張できるソリューションは、急速に不可欠なものとなっています。

2. DSPM：データセキュリティポスチャが新たな境界となる

セキュリティの焦点が、インフラストラクチャの保護からデータの保護へと変化しているのを目の当たりにしています。そして、もはや暗号化やDLPだけの問題ではありません。CISOは次のように問いかけています。

• 今、私の機密データはどこにありますか？
• 誰がそれにアクセスできますか？
• どのように使用され、共有され、または移動されていますか？
• 設定ミス、シャドウデータ、またはサードパーティのSaaSアプリに関連するリスクは何ですか？

ここにData Security Posture Management (DSPM)の出番です。

重要性：
データがSaaS、IaaS、PaaS全体に拡散するにつれて、従来の「設定したらあとは放置」という制御では不十分です。DSPMは、セキュリティチームがデータリスクをプロアクティブに理解し管理するために必要な可視性、コンテキスト、および自動化を提供します。

今後の動向：
DSPMは単なる別のツールではなく、セキュリティスタックにおける基盤となるレイヤーになりつつあります。クラウドセキュリティ、ID、およびアナリティクスと統合し、組織にデータリスクサーフェスのリアルタイムビューを提供します。

3. AIセキュリティ：リスクの速度が変化する

AIはこれから来るものではなく、すでに企業に組み込まれています。マーケティングからエンジニアリングまで、あらゆるチームが生成AIツールを試しています。そして、それに伴い、人間の行動を模倣し、意思決定を行い、データを移動できるエージェント型アプリケーションという新たなリスクのカテゴリが生まれています。

CISOが私に語ったこと：
彼らはモデルの精度よりも、データ漏洩、悪意のあるプロンプト、そしてガードレールの欠如を懸念しています。そして、彼らは緊急に問いかけています：

• 機密データが公開AIモデルに漏洩するのをどのように防ぐべきでしょうか？
• ビジネスシステムにアクセスするAIを活用したワークフローを、どのように制御・監視すべきでしょうか？

なぜそれが重要なのか：
AIは単なる新しいワークロードではなく、新しいアクターです。それは高速に動き、休むことなく、大規模に悪用される可能性があります。

今後の方向性：
AIのセキュリティは、その場限りのポリシーから継続的な信頼評価へと進化するでしょう。これには、AIツールが何にアクセスしているかのリアルタイムな可視化、行動分析、そして誰が（何が）機密データを見ることを許可されるかについての厳格な実施が含まれます。

Zero Trust Network AccessからZero Trust Data Accessへ

Zero Trustの概念は広く理解されています。しかし、多くの組織はZero Trust Network Access (ZTNA)からZero Trust Data Access (ZTDA)へと進化し始めています。

違いは何でしょうか？
ZTNAは、適切な人物が適切なアプリケーションにアクセスできることを保証します。
ZTDAは、より深い問いを投げかけます：一度アクセスした後、そのデータで何を行うことが許可されるべきでしょうか？

この変化は、より成熟したリスクの見方を反映しています。それは、侵害は避けられないものであり、制御はユーザーだけでなくデータにも追従しなければならないという考え方です。

なぜそれが重要なのか：
データは最も貴重な資産です。私が交わしたすべての会話は、この高まる現実を反映していました：境界を保護するだけでは不十分です。ペイロードを保護しなければなりません。

最終的な要点

今日のCISOは、ハイブリッド、AI駆動型、データ中心の世界に対応しています。私が交わした会話は、一つの真実を裏付けました：セキュリティはインフラストラクチャを意識したものから、データインテリジェントなものへと進化しなければなりません。

脅威の一歩先を行くためには、ユーザーがどこから来ているかだけに焦点を当てるのをやめ、データがどこへ向かっているかに焦点を当て始める必要があります。

引き続き議論を続けましょう。