■緊急性の高い戦略的意思決定において意見を求められた、あるいは初期段階から関与したと回答したCISOの割合はわずか13%
■AIによるサイバーセキュリティの自動化と簡素化で、170万米ドルのコスト削減効果
EYは、最新のグローバル調査レポート「EY Global Cybersecurity Leadership Insights Study 2025(EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査2025)」を発表しました。サイバーセキュリティ部門がどのように企業に価値をもたらしているのかについて洞察を提供しています。
本調査は、日本を含む米国、アジア・パシフィック、EMEIA(欧州、中東、インド、アフリカ)などを含む19カ国、16業界、年間売上高が10億米ドル以上の企業に所属する551名の経営幹部およびサイバーセキュリティ責任者を対象に実施されました。
デジタル変革、クラウドベースの分散型ITインフラへの移行、AI導入の加速などを背景に、近年、先進的なサイバーセキュリティ部門は、ビジネス成長をけん引する重要な推進役も担うようになっています。本調査によると、サイバーセキュリティ部門は、新製品・新サービスの開発、顧客体験の向上、全社的な変革の推進など社内の主要なビジネス上の取り組みにおいて、一般的に11~20%に相当する価値を創出しており、金額ベースでは、プロジェクト1件あたり中央値で3,600万米ドルの付加価値をもたらしています。 一方で、本調査では、サイバーセキュリティ予算の売上高比率が、過去2年間で1.1%から0.6%へと減少傾向にあることを明らかにしています。
緊急性の高い戦略的意思決定において初期段階で意見を求められたと回答したCISO(Chief Information Security Officer、最高情報セキュリティ責任者)は、全体のわずか13%にとどまっています。CISOの58%が、サイバーセキュリティの価値をリスク軽減以外の観点から明確に示すことが難しいと感じており、サイバーセキュリティがもたらす価値を社内で明確に示すことに苦慮しています。CISOが意思決定の初期段階から実質的に関与することで、企業全体に新たな価値をもたらすことができるため、サイバーセキュリティの自動化・簡素化によって得られるコスト最適化の効果を定量的に評価するなど、CISOが自社にもたらすことができる価値を明確に示し、組織内での影響力を高める対応策も提示しています。
AIによるサイバーセキュリティの自動化と簡素化は、企業に年間中央値で170万米ドルのコスト削減効果をもたらすと考えられます。AIの活用は、サイバーセキュリティ業務の効率化とコスト削減に大きく貢献しています。多くの企業が、ツールの統合や自動化によって、重複を排除し、可視性を高める取り組みを進めています。
以下の図は、費用最適化に向けた施策の実施状況を示しています。
【画像:https://kyodonewsprwire.jp/img/202508213871-O1-75Fzt4bg】
また、AI投資においては、検知・監視や予防的リスク管理が最も優先されている領域であることが明らかになりました。これは、企業が脅威への迅速な対応とリスクの未然防止を重視していることを示しています。
以下の図は、企業がAI投資において重視している領域を示しています。
【画像:https://kyodonewsprwire.jp/img/202508213871-O2-I0ClaHZv】
本調査では、CISOが戦略的意思決定の場でより大きな影響力を発揮するために、以下の3つの行動が重要であると示されています。
1. CISOの役割の在り方を見直す
CISOは、自身の役割を部門内の技術的実務者から、企業全体に戦略的に価値をもたらすセキュアクリエイター*へと進化させる必要があります。
*セキュアクリエイター:EYが2023年度および2024年度の調査結果をもとに統計モデリングを用いて特定した、サイバーセキュリティ分野で優れた成果を挙げている企業
2. サイバーセキュリティ予算の枠と配分を見直す
CISOは、サイバーセキュリティ部門を価値の向上に貢献する機能として社内に位置付けるとともに、サイバーセキュリティ予算の配分においても的確に判断を下す必要があります。
3. AI導入を推進し、経営層や取締役との信頼関係を深める
CISOは、AI導入を推進する戦略的パートナーとしての立場を確立することで、社内で高い信頼を得ることができ、その結果、全社的な変革の取り組みにおいて意思決定の場に加わり、影響力を発揮できます。
EYストラテジー・アンド・コンサルティング株式会社 サイバーセキュリティ共同リーダー パートナー 小川 真毅のコメント:
「本調査は、サイバーセキュリティが企業の成長戦略において、単なる防御機能ではなく、価値創出の中核を担う存在へと進化していることを示しています。CISOが戦略的な意思決定の初期段階から関与することで、セキュリティは事業計画の根幹に組み込まれ、施策の迅速な展開や顧客との信頼構築を通じて、企業に新たな競争力をもたらします。
一方で、依然として多くの企業において、CISOは他のCxOと比べて戦略的な意思決定の場に十分に関与できていないのが現状です。しかし、成果を上げているCISOには共通する成功要因が存在しており、EYではそれらを体系化し、フレームワークとして整理しました。AIの導入やテクノロジーの統合を通じて、コスト最適化とスピードの両立を実現する企業が増える中、CISOの役割は今後ますます重要性を増していくと考えています」
本調査の詳細は、以下をご覧ください。
https://www.ey.com/ja_jp/insights/consulting/how-can-cybersecurity-go-beyond-value-protection-to-value-creation
〈EYについて〉
EYは、クライアント、EYのメンバー、社会、そして地球のために新たな価値を創出するとともに、資本市場における信頼を確立していくことで、より良い社会の構築を目指しています。 データ、AI、および先進テクノロジーの活用により、EYのチームはクライアントが確信を持って未来を形づくるための支援を行い、現在、そして未来における喫緊の課題への解決策を導き出します。 EYのチームの活動領域は、アシュアランス、コンサルティング、税務、ストラテジー、トランザクションの全領域にわたります。蓄積した業界の知見やグローバルに連携したさまざまな分野にわたるネットワーク、多様なエコシステムパートナーに支えられ、150以上の国と地域でサービスを提供しています。
All in to shape the future with confidence.
EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。EYによる個人情報の取得・利用の方法や、データ保護に関する法令により個人情報の主体が有する権利については、ey.com/privacyをご確認ください。EYのメンバーファームは、現地の法令により禁止されている場合、法務サービスを提供することはありません。EYについて詳しくは、ey.comをご覧ください。
〈EYのコンサルティングサービスについて〉
EYのコンサルティングサービスは、人、テクノロジー、イノベーションの力でビジネスを変革し、より良い社会を構築していきます。私たちは、変革、すなわちトランスフォーメーションの領域で世界トップクラスのコンサルタントになることを目指しています。7万人を超えるEYのコンサルタントは、その多様性とスキルを生かして、人を中心に据え(humans@center)、迅速にテクノロジーを実用化し(technology@speed)、大規模にイノベーションを推進し(innovation@scale)、クライアントのトランスフォーメーションを支援します。これらの変革を推進することにより、人、クライアント、社会にとっての長期的価値を創造していきます。詳しくはey.com/ja_jp/consultingをご覧ください。
