CSA クラウドとAIセキュリティの現状 2025 (2025.09.09)

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [CSA クラウドとAIセキュリティの現状 2025 (2025.09.09)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-fa5447.html)【まるちゃんの情報セキュリティ気まぐれ日記】() --- > [!NOTE] この記事の要約（箇条書き） - Cloud Security Alliance (CSA)がTenableと協力し「The State of Cloud and AI Security 2025」報告書を公表。 - 大多数の組織（82%）がハイブリッド環境、半数以上（63%）がマルチクラウドを利用。 - クラウドインフラ最大のセキュリティリスクは「不安全なID」と「危険な権限設定」（59%が識別）。 - クラウドセキュリティ確保における最大の課題は「専門知識の不足」。 - AIワークロードを有する組織の3分の1以上（34%）が既にAI関連の侵害を経験。 - 統合リスクアセスメントを優先する組織は20%、ツール統合に注力する組織は13%に過ぎない。 - セキュリティプログラムは依然として事後対応的で、予防よりもインシデント（頻度・深刻度）に焦点。 - 提言として、統合された可視性と制御、IDガバナンスの成熟、予防とレジリエンスに焦点を当てたKPI設定、経営陣の理解向上、コンプライアンスをAIセキュリティの基盤とすることなどが挙げられている。 > [!NOTE] 要約おわり --- [« カナダ政府向け耐量子暗号移行ロードマップ (ITSM.40.001) (2025.06.23)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-1da522.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [GAO 新たに就任したONCD（国家サイバー長官室）局長に対する過去の勧告のリマインド (2025.09.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-5c1c8e.html) ## 2025.09.13 ### CSA クラウドとAIセキュリティの現状 2025 (2025.09.09) こんにちは、丸山満彦です Cloud Security Allianceが、クラウドとAIセキュリティの現状2025という報告書をTenableの協力？のもと、公表していますね... マルチクラウド環境におけるAIの活用はこれからさらに進んでいくと思うので、参考になる部分もあるかなと思います。 **● Cloud Security Alliance：CSA** ・2025.09.09 [**The State of Cloud and AI Security 2025**](https://cloudsecurityalliance.org/artifacts/the-state-of-cloud-and-ai-security-2025) | **The State of Cloud and AI Security 2025** | **クラウドとAIセキュリティの現状 2025** | | --- | --- | | This global survey report, developed in partnership with Tenable, examines how organizations are adapting security strategies for hybrid, multi-cloud, and AI-driven environments. Drawing on insights from more than 1,000 professionals, it highlights the widening gap between rapid adoption and security readiness. | 本グローバル調査レポートは、Tenableとの共同開発により、組織がハイブリッド環境、マルチクラウド環境、AI駆動環境においてセキュリティ戦略をどのように適応させているかを検証する。1,000人以上の専門家からの知見に基づき、急速な導入とセキュリティ準備態勢との間の拡大するギャップを浮き彫りにする。 | | Today, the majority of organizations operate hybrid environments and use multiple cloud providers. At the same time, AI workloads are moving quickly into production. Over half of organizations are deploying AI and 34% already report AI-related breaches. Despite this, security programs remain reactive by focusing on incidents rather than prevention and relying on basic identity controls. | 現在、大多数の組織がハイブリッド環境を運用し、複数のクラウドプロバイダーを利用している。同時に、AIワークロードは急速に本番環境へ移行している。半数以上の組織がAIを展開しており、34%は既にAI関連の侵害を報告している。にもかかわらず、セキュリティプログラムは依然として事後対応的であり、予防よりもインシデントに焦点を当て、基本的なID管理に依存している。 | | This report reveals that identity is the biggest cloud risk. It also highlights the growing skills gap and the many ways organizations leave AI systems unprotected. It offers practical recommendations for resetting security strategies around unified visibility, identity governance, and proactive risk management. | 本レポートは、アイデンティティが最大のクラウドリスクであることを明らかにする。また、拡大するスキルギャップと、組織がAIシステムを無防備なまま放置する多様な実態を浮き彫りにする。統一された可視性、アイデンティティガバナンス、積極的なリスクマネジメントを軸にセキュリティ戦略を再構築するための実践的提言を提供する。 | | **Key Takeaways:** | **主なポイント：** | | Over half of organizations (63%) report using more than one cloud provider. Even more (82%) maintain a hybrid infrastructure of some kind. | **半数以上の組織（63%）が複数のクラウドプロバイダーを利用** していると報告している。さらに **多くの組織（82%）が何らかのハイブリッドインフラ** を維持している。 | | Many organizations (59%) identified insecure identities and risky permissions as the top security risk to their cloud infrastructure. However, many of these same organizations lack the structure or workflows to address these issues at scale. | 多くの組織（59％）が、クラウドインフラに対する最大のセキュリティリスクとして **「不安全なID」** と「 **危険な権限設定」** を識別している。しかし、これらの問題に対処する体制やワークフローを大規模に構築できていない組織も少なくない。 | | Lack of expertise is the top challenge to securing cloud infrastructure. | クラウドインフラのセキュリティ確保における最大の課題は「 **専門知識の不足」** である。 | | The most commonly tracked cloud security KPI is security incident frequency and severity. In IAM, the top metric is MFA/SSO adoption rates. Organizations remain focused on surface-level indicators rather than forward-looking measures of performance. | 最も一般的に追跡されているクラウドセキュリティ **KPIは、セキュリティインシデントの頻度と深刻度** である。IAM分野では、 **多要素認証（MFA）/シングルサインオン（SSO）の導入率が** 主要指標となっている。組織は依然として、将来を見据えたパフォーマンス測定ではなく、表面的な指標に焦点を当て続けている。 | | More than a third of organizations with AI workloads (34%) have already experienced an AI-related breach. | AIワークロードを有する組織の **3分の1以上（34%）が、既にAI関連の侵害を経験** している。 | | Only 20% of organizations prioritize unified risk assessment, and only 13% focus on tool consolidation. | **統合リスクアセスメントを優先している組織はわずか20%** 、 **ツール統合に注力している組織は13%** に過ぎない。 | 登録すると入手できます... ・\[PDF\] [![20250911-52903](https://maruyama-mitsuhiko.cocolog-nifty.com/security/images/20250911-52903.png "20250911-52903")](https://maruyama-mitsuhiko.cocolog-nifty.com/photos/uncategorized/20250911-52903.png) 目次... | **Acknowledgments** | **謝辞** | | --- | --- | | Lead Author | 主執筆者 | | Contributors | 協力者 | | Graphic Design | グラフィックデザイン | | About the Sponsor | スポンサーについて | | **Executive Summary** | **エグゼクティブサマリー** | | **Key Findings** | **主な調査結果** | | Key Finding 1: Hybrid and Multi-Cloud Dominate | 主な調査結果 1：ハイブリッドクラウドとマルチクラウドが主流 | | Key Finding 2: Identity Has Become the Cloud’s Weakest (and Organizations’ Most Watched) Link | 主な調査結果 2：アイデンティティはクラウドの最も脆弱な（そして組織が最も注視する）リンクとなった | | Key Finding 3: The Expertise Gap Creates a Leadership Alignment Challenge | 主な調査結果 3：専門知識の不足がリーダーシップの連携課題を生む | | Key Finding 4: Fighting Fires Instead of Preventing Them–Measuring Breaches, Not Prevention | 主要な発見 4：予防ではなく消火活動－侵害の測定に終始し、予防が軽視されている | | Key Finding 5: AI Adoption Accelerates While Security Targets the Wrong Risks | 主要な発見 5：AI導入が加速する一方、セキュリティ対策は誤ったリスクを標的としている | | Key Finding 6: Time for a Security Strategy Reset | 主要な発見 6：セキュリティ戦略の再構築が必要な時期 | | **Conclusion** | **結論** | | **Full Survey Results** | **調査結果全文** | | **Demographics** | **調査対象者の属性** | | **Survey Methodology and Creation** | **調査方法と設計** | | Goals of the Study | 調査の目的 | エグゼクティブサマリー... | **Executive Summary** | **エグゼクティブサマリー** | | --- | --- | | Hybrid and multi-cloud architectures have become the standard for most organizations, with 82% operating hybrid environments and 63% using multiple cloud providers. At the same time, AI adoption is accelerating, with over half of organizations deploying AI for business needs—and 34% of those with AI workloads already experiencing breaches. Yet security strategies have not kept pace, leaving teams reactive and fragmented. | ハイブリッドおよびマルチクラウドアーキテクチャは、ほとんどの組織にとって標準となっている。82%がハイブリッド環境を運用し、63%が複数のクラウドプロバイダーを利用している。同時にAI導入は加速しており、半数以上の組織がビジネスニーズにAIを展開している。そしてAIワークロードを持つ組織の34%は、すでに侵害を経験している。しかしセキュリティ戦略は追いついておらず、チームは対応的かつ断片的な状態に置かれている。 | | **This survey reveals six critical insights: ** | **この調査は六つの重要な知見を明らかにしている： ** | | **1\. Hybrid and Multi-Cloud Dominate:** Flexible infrastructure demands unified security visibility and policy enforcement— still lacking for most. | **1\. ハイブリッドとマルチクラウドが主流：** 柔軟なインフラには統一されたセキュリティ可視性とポリシー適用が求められるが、大半の組織では未達成である。 | | **2\. Identity Risks Lead But Remain Under-Managed:** Identity is now the top risk and breach cause, but many organizations rely on basic controls and metrics, missing deeper governance gaps. | **2\. IDリスクが首位だが管理不足：** ID関連リスクが最大の脅威かつ侵害原因となっているが、多くの組織は基本的な制御と指標に依存し、より深いガバナンスの欠陥を見逃している。 | | **3\. Expertise Gap Stalls Progress:** Limited cloud security expertise undermines leadership alignment, strategy, and investment. | **3\. 専門知識の不足が進展を阻害：** クラウドセキュリティの専門知識不足が、経営陣の合意形成、戦略策定、投資判断を損なっている。 | | **4\. Measuring Breaches, Not Prevention:** KPIs remain reactive, focused on incidents instead of risk reduction and resilience. | **4\. 侵害の測定に偏り、予防が軽視される：** KPIは依然として事後対応型で、リスク低減やレジリエンスではなくインシデントに焦点が当てられている。 | | **5\. AI Adoption Outpaces Security Readiness:** Organizations prioritize compliance and novel AI risks over proven cloud and identity controls. | **5\. AI導入がセキュリティ準備を上回る：** 組織は実績あるクラウド・ID管理よりも、コンプライアンスや新たなAIリスクを優先する。 | | **6\. Leadership Must Reset Strategy:** Outdated assumptions and underinvestment leave security teams without the structural support to mature. | **6\. 経営陣は戦略を再構築すべき：** 時代遅れの仮定と投資不足により、セキュリティチームは成熟するための構造的支援を得られていない。 | | **To address these gaps, organizations should:** | **これらのギャップに対処するため、組織は以下の措置を取るべきだ：** | | • Build integrated visibility and controls across hybrid and multi-cloud infrastructures | • ハイブリッドおよびマルチクラウドインフラ全体で統合された可視性と制御を構築する | | • Mature identity governance for human and non-human identities | • 人間および非人間のアイデンティティに対するアイデンティティガバナンスを成熟させる | | • Focus KPIs on prevention and resilience | • KPIを予防とレジリエンスに焦点を当てる | | • Improve leadership’s understanding of the true operational needs | • リーダーシップが真の運用ニーズを理解するよう促す | | • Treat compliance as a baseline for AI security, not the endpoint | • コンプライアンスをAIセキュリティの終点ではなく基盤として扱う | | Security maturity depends on strategic alignment and risk-driven planning. Organizations that move beyond point solutions and reactive operations will be better equipped to secure evolving cloud and AI environments. | セキュリティの成熟度は、戦略的整合性とリスク主導の計画に依存する。点在するソリューションや事後対応型運用を超越する組織こそ、進化するクラウドとAI環境を保護する態勢を整えられる。 | | [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-fa5447.html) [« カナダ政府向け耐量子暗号移行ロードマップ (ITSM.40.001) (2025.06.23)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-1da522.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [GAO 新たに就任したONCD（国家サイバー長官室）局長に対する過去の勧告のリマインド (2025.09.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-5c1c8e.html) [« カナダ政府向け耐量子暗号移行ロードマップ (ITSM.40.001) (2025.06.23)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-1da522.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [GAO 新たに就任したONCD（国家サイバー長官室）局長に対する過去の勧告のリマインド (2025.09.09) »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-5c1c8e.html)