~シャドーAI(承認されていないAIツールの使用)、人材不足、攻撃数の増加によって、企業のセキュリティチームはこれまで以上に大きなプレッシャーを受けている~

Dicembre 2, 2025 —

サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区代表取締役社長足立達矢)は本日、第5版となる「アジア太平洋地域のサイバーセキュリティの展望」を発表しました。本レポートは、現在Omdiaグループの一員であるTech Research Asiaとの協力の下で作成されたものです。

調査結果によると、サイバーセキュリティ担当者の燃え尽き症候群の状態は、アジア太平洋地域全体で依然として高い水準にあり、回答企業の86%(日本では80%)が何らかの問題を抱えていることが明らかになりました。これは2024年の85%(日本では69%)からそれぞれ増加しています。燃え尽き症候群の主な要因として、脅威の増加、人材不足、そして複雑なコンプライアンス要件が挙げられています。

ソフォスのアジア太平洋日本地区担当シニアバイスプレジデントのGavin Struthers(ギャビン・ストラザーズ)は、次のように述べています。「脅威の増加、規制要件の強化、リソースの制限という三重苦が、多くのセキュリティチームの持続可能な運用を困難にしています。今回の調査結果は、ソフォスが現場で実際に目の当たりにしてきた状況を裏付けています。サイバーセキュリティにおけるストレスや燃え尽き症候群は、単なる運用上の課題にとどまらず、組織文化や戦略、さらには人に深く関わる本質的な問題であることが明らかになっています。AIツールを適切かつ慎重に導入することで、業務能力の拡張やインシデント対応の迅速化が可能となり、結果として担当者の負担軽減にもつながります。しかし同時に、従業員によるシャドーAI(未承認かつ規制されていないAIツール)の急増は新たなリスクを生み出しており、多くの組織がいまだ十分な対応を講じられていません。私たちは今、従来のフィッシングメール対策にとどまらず、AIツールを介したデータの取り扱いや共有方法にまでセキュリティ意識を広げる必要がある、新たな時代の入口に立っています。AIの利用にはガバナンスと明確なルールが不可欠です」

  • レポートから得られる主な洞察
    • 増大するシャドーAIのリスク:調査対象となった組織の46%(日本では47%)が、未承認のAIツールが社内で使用されていると報告しています。一方で、72%(日本では63%)の組織は正式なAI利用ポリシーを導入しているにもかかわらず、従業員が遵守していません。さらに12%(日本でも12%)の組織は、「自社でシャドーAIアプリが使用されているかどうか分からない」と回答しています。
    • 深刻化する燃え尽き症候群:ストレスと疲労により、従業員1人あたり週平均4.6時間(日本では4.7時間)の業務時間が失われています。これは前年(2024年)と比べて12%(日本では30%)増加しています。
    • サイバーセキュリティ予算は堅調:85%(日本では76%)の組織が、今後1年間でサイバーセキュリティ予算を増額する予定です。そのうち24%(日本では21%)は10%以上の増額を計画しています。
    • 法規制は「諸刃の剣」:調査対象の83%の組織が何らかの規制を受けており、そのうち56%は、これらの規制が組織のレジリエンス強化やセキュリティ戦略の向上に役立っていると回答しています。
  • サイバーセキュリティの燃え尽き症候群は運営上の重大課題

今回のレポートは、サイバーセキュリティにおけるストレスや燃え尽き症候群が、もはや単なる技術的な問題ではなく、組織運営に深く関わる重要な課題であることを浮き彫りにしています。燃え尽き症候群は、生産性の低下やインシデント対応の遅れ、従業員の離職を引き起こすだけでなく、セキュリティ侵害の要因にもなります。実際に、調査対象企業の31%が「燃え尽き症候群が原因でセキュリティ侵害が発生した」と回答しています。

  • AI:味方か、それとも脅威か?

    AIがもたらす可能性は否定することはできません。AIを活用したサイバーセキュリティツールを導入している組織の56%が、ストレスが軽減され、インシデント優先付けが迅速化されたと報告しています。

    しかしその一方で、未承認の「シャドーAI」ツールの利用拡大が、急速に深刻な懸念事項として浮上しています。全体の72%の組織が正式なAIガバナンスポリシーを導入しているにもかかわらず、46%の組織が、従業員による未承認AIツールの利用を確認しています。特に、以下の国々ではその割合がさらに高い傾向にあります。

    • インド:62%
    • シンガポール:60%
    • 日本:47%


    シャドーAIのリスクは、可視化と管理が不十分である場合に、以下のようにさらに悪化します。

    • 38%の組織は、自社でどのようなAIツールが使われているのかを把握できていない。
    • 35%の組織は、それらのAIツールがどのデータにアクセスしているのかを把握していない。
    • 31%の組織は、導入したAIアプリケーションに脆弱性を発見している。


    これらの調査結果は、明確なポリシーを定めるだけでなく、監視・管理ができる強固なAIガバナンス体制が必要であることを示しています。AIが企業の中核業務に組み込まれ続ける中で、その重要性がさらに高まっています。

  • 本レポートについて

    この調査は、ソフォスの委託によりTech Research Asiaが実施しました。2025年の調査では、オーストラリア、インド、日本、マレーシア、フィリピン、シンガポールの6か国において、926人のサイバーセキュリティおよびITプロフェッショナルを対象に調査が行われました。本レポートは第5版となり、技術的な評価だけではなく、サイバーセキュリティがビジネスに与えている影響にも引き続き焦点を当てて分析しています。

    レポート全文は、[こちらのリンク]からご覧いただけます。

  • Tech Research Asiaについて

    Tech Research Asia(TRA)(現在はOmdia傘下)は、アジア太平洋全域の企業を対象として、テクノロジーリサーチ、コンサルティング、アドバイザリーサービスを提供しており、テクノロジートレンドとビジネスバリューへの影響の分析を専門としています。Tech Research Asiaは、これらの地域のあらゆる組織、テクノロジーベンダー、チャネルパートナーが、市場の状況を詳細に読み解き、業績を向上できるように支援しています。TRAのアプローチは厳格で、事実に基づき、オープンで透明です。リサーチ、コンサルティング、エンゲージメント、アドバイザリーの各種サービスを提供し、最新のテクノロジーを活用することを検討している経営幹部などのリーダーにとって重要な課題、トレンド、および戦略に関するTRA独自のリサーチも実施しています。

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.