プレスリリース

フォーティネット、2025年度版のスキルギャップレポートを発表：AI導入における最大の課題は、AIに関する専門知識の不足

サイバーセキュリティ専門家の87%が、AIによる職務の強化、業務効率化と負担軽減を期待する一方、AIの可能性を最大限に活用するには、継続的なスキル向上が不可欠

2025年11月24日 - フォーティネットジャパン合同会社

米国時間2025年10月8日に発表されたプレスリリースの抄訳です。

サイバーセキュリティの世界的リーダーで、ネットワークとセキュリティの融合を牽引するフォーティネット（Fortinet®）は、「サイバーセキュリティスキルギャップレポート 2025年度版」を発表しました。本レポートは、フォーティネットが2021年以降、第三者調査機関に委託し、年次で継続実施している報告書の最新版で、日本を含む29の国と地域の、テクノロジー、製造業、金融サービスはじめ多岐にわたる業種、規模の組織に所属するITおよびサイバーセキュリティ関連の意思決定者1,850人を対象に、2025年2月に実施した調査結果を分析したものです。

今回のグローバル調査が示唆する主な洞察は、次の通りです。

セキュリティ態勢の強化やギャップ解消のため、組織はAIの導入を加速中。一方、AIが最新かつ高度化するサイバー攻撃の原動力となる中、特にチームのAIスキルが未熟な状態では、自社に不利な形で悪用されるリスクが潜む
サイバーセキュリティの認識およびトレーニング不足は、依然として侵害の最大の要因
取締役会は、サイバーセキュリティの優先度を高めているにもかかわらず、それに対する理解が不足
多くの組織が認定資格を持つサイバーセキュリティ人材の確保に奔走

サイバースキルギャップと、セキュリティおよび経済的リスク拡大との連関

サイバー脅威が深刻化する中、組織はセキュリティ攻撃が単なる可能性の問題ではなく、確実に起こるものという現実に直面しています。一方、世界では適格なスキルを持つ専門家が470万人以上不足していると推定され、重要なセキュリティ関連の職務に従事できる人材が、最も必要とされる局面で十分に確保されていない状況が生じています。スキルギャップが世界中の組織に与える影響に関する主な調査結果は、次の通りです。

組織に対する侵害の規模は年々拡大：「サイバーセキュリティスキルギャップレポート2025年度版」によると、2024年は86%の組織で1回以上のサイバー侵害が発生し、約3分の1（28%）は5回以上の侵害を報告しています。この数字は同レポートの初版が発行された2021年から大幅に増加しています。当時、80%の組織で侵害が発生しましたが、侵害が5回以上の組織はわずか19%でした。
侵害による経済的影響は依然として甚大：半数以上（52%）の組織は、2024年のサイバーインシデントによるコストを100万ドル以上と回答しました。これは前年度の調査結果と変わらず、2021年の38%からは急増しています。

<出展：「Fortinetサイバーセキュリティスキルギャップレポート 2025」　p.17>

サイバーセキュリティのスキル不足は侵害増加の主な要因：組織で発生した侵害の主な要因として、回答者の半数以上（54%）がITセキュリティのスキルおよびトレーニング不足を挙げました。

<出展：「Fortinetサイバーセキュリティスキルギャップレポート 2025」　p.24>

AIはセキュリティチームの負担を軽減できるが、AI専門知識の不足はリスクとして深刻化

AIは、現在のサイバースキル不足を緩和する重要な手段となりますが、組織がAIの潜在能力を安全に活用するための準備は十分に整っていません。最新の調査では以下のことが判明しました。

AI機能を備えたセキュリティ技術を広く採用：97%もの組織が、AIを活用したサイバーセキュリティソリューションをすでに使用しているか、導入を予定しており、サイバーセキュリティにおいてAIを活用したい分野としては、脅威の検知と防御が1位に挙げられました。

＜出展：「Fortinetサイバーセキュリティスキルギャップレポート 2025」　p.8＞

AIが人員不足のセキュリティチームの負担を軽減：サイバーセキュリティ専門家の87%は、AIに取って代わられるのではなく、AIにより個々の職務遂行能力が強化され、スキル不足の中でも業務の効率化と負担軽減を実現できると期待しています。
AIはセキュリティチームに貢献するが、その可能性を最大限に引き出すためのチームのAIスキルセットが未熟：回答者の大多数（80%）は、AIがIT / セキュリティチームの強化に役立つと答えましたが、IT意思決定者の約半数（48%）は、AIの導入における最大の課題として、AIに関するスタッフの専門知識の不足を挙げています。2024年に9回以上のサイバー攻撃を受けた組織のうち、76%が既にAIツールを利用していました。これは、正しい専門知識がなければ、AIを導入するだけでは不十分であることを示唆しています。
AIの影響と課題についての関連データ

＜出展：「Fortinetサイバーセキュリティスキルギャップレポート 2025」　p.9＞

取締役会レベルでサイバーセキュリティへの関心が高まる一方、AIの影響に対する理解は不十分

組織におけるサイバーセキュリティの役割に関し、取締役会および各取締役がどの程度の理解度を示しているかについては、次のように回答されています。

取締役会レベルでのサイバーセキュリティの優先度は上昇傾向：2024年は、76%の取締役会でサイバーセキュリティへの注目度が高まりました。現在、ほぼすべての組織がビジネス（96%）と財務（95%）の両面で、サイバーセキュリティを優先事項と認識しています。また今回、取締役会の動向を知る回答者の半数超（55%）が、取締役会において、AI を活用したソリューションへの更新または追加購入が検討または実施された、と回答した点は注目されます。
AI使用が組織にもたらす潜在的リスクに対する個々の取締役の認識が不十分：取締役会を構成する各メンバーがAIによるリスクを十分に理解していると答えた回答者は、全体の半数以下（49%）でした。AIに対する認識は、組織がサイバーセキュリティプログラムにAIを導入しているかどうかと密接に関係しています。

スキルギャップ解消に向けたスキルアップの必要性は重点施策として継続

サイバーセキュリティのスキル不足が続く中、調査では以下のような結果も示されました。

認定資格保有者の優先的採用意欲は継続：IT意思決定者の89%は、認定資格を持つ候補者を優先的に採用しています。多くの回答者は認定資格を重視する理由について、サイバーセキュリティの知識を実証（67%）、急速に進化する分野に素早く対応できる能力を証明（61%）、主要なベンダーツールへの習熟度を示す（56%）と答えています。
資格取得に対する組織の資金援助は後退：本年の調査において、従業員の資格取得に費用を支給すると答えた回答者は73%で、2023年の89%から減少しました。

＜出展：「Fortinetサイバーセキュリティスキルギャップレポート 2025」　p.31＞

スキルギャップの解消はビジネスレジリエンスに不可欠

「サイバーセキュリティスキルギャップレポート 2025年度版」では、AIの台頭や事業運営へのリスク拡大を受けて、サイバーセキュリティが取締役会レベルで優先事項となっていることが明らかになりました。世界的なスキルギャップの解消は依然として不可欠です。組織は採用基準を見直したり、活用されていない人材を開拓したりすると共に、必要な専門知識を習得し維持するためのトレーニングやスキル向上に投資する必要があります。そのためには、意識向上と教育、重点的トレーニングおよび認定資格の利用拡大、高度なセキュリティテクノロジーの活用という3本柱を中心とする、協調的なアプローチが求められます。

業界で最も充実したトレーニングおよび資格認定プログラムの一つであり、受賞歴もあるFortinet Training Instituteは、サイバースキルギャップによって生じる課題に対処する組織を支援するため、誰もがサイバーセキュリティの認定資格や新たなキャリアの機会を利用できるよう尽力しています。例えば、セキュリティ意識向上トレーニングサービスは、サイバー意識の高い人材の育成に努める組織を対象としています。このサービスでは、サイバーセキュリティにおけるAIとその役割に対する理解を深めるため、生成AIの基礎知識やAIを活用した脅威に関するカリキュラムなど、AIを中心としたモジュールを用意し、サイバー犯罪者がAIを使ったサイバー攻撃やその強化に使用するさまざまな手法を取り上げています。

フォーティネットは2021年に、増大する課題に対するコミットメントの一環として、2026年末までに世界で100万人のサイバーセキュリティトレーニングを実施することを宣言し、その取り組みは順調に進んでいます。

フォーティネットのスキルギャップ調査について

本調査は、日本を含む29の国 / 地域の1,850人を超えるITおよびサイバーセキュリティ関連の意思決定者を対象に実施されました。
回答者の業種は、テクノロジー（22%）、製造業（16%）、金融サービス（12%）など多岐にわたります。

フォーティネットの最高情報セキュリティ責任者（CISO）、Carl Windsorは、次のように述べています。

「最新の調査は、サイバーセキュリティ人材への投資が急務であることを一層強く示しています。スキルギャップを解消しなければ、組織は今後も侵害率の増加と対応コストの上昇に悩まされるでしょう。この調査結果は、官民両方にとっての転換点を浮き彫りにしています。サイバーセキュリティの専門性を確立し維持するための思い切った措置を講じなければ、我々の社会にとって、リスクとコストは増大の一途をたどることになります」

関連資料

Fortinet Training Instituteのプログラムは、スキルの向上、リスキリング、無料トレーニングを通じてサイバースキルギャップの解消を支援します。詳しくはこちらをご覧ください。
サイバーセキュリティの意識向上や製品関連のトレーニングを始めとするフォーティネットの：無料のサイバーセキュリティトレーニングの詳細スキルの向上や再教育、そして無償トレーニングを通じて、サイバー分野における人材不足の解消に取り組んでいます。
フォーティネット：信頼とイノベーションの融合：当社のイノベーション、協力パートナー、製品セキュリティプロセス、実証済みのサイバーセキュリティを必要とされるあらゆる場所に提供するエンタープライズグレード製品の詳細
フォーティネットのお客様による組織の保護の事例
フォーティネット製品のセキュリティと完全性に対するコミットメント：当社の製品開発と脆弱性の責任ある開示のアプローチとポリシーの詳細
最新情報は、フォーティネットのX、LinkedIn、Facebook、Instagram、フォーティネットのブログまたはYouTubeチャネルを併せてご覧ください。

フォーティネットについて

フォーティネットは、ネットワーク / セキュリティの融合とサイバーセキュリティの進化を、牽引し続けている企業です。あらゆる場所で、人・デバイス・データの安全を確保するというミッションのもと、お客様が必要とするすべての場所にサイバーセキュリティを提供しています。今日では、エンタープライズでの利用に対応した50を超える製品群で構成される業界最大規模の統合ポートフォリオを実現し、業界最多の導入実績、特許数、認証数に支えられ、50万を超えるお客様からの信頼を獲得しています。「Fortinet Training Institute」では、誰もがサイバーセキュリティのトレーニングと新たなキャリアの機会を得られるよう、業界最大規模かつ最も広範なトレーニングプログラムを提供しています。また、各国のCERT（Computer Emergency Response Teams）や政府機関、学界などとの緊密な官民連携は、世界のサイバーレジリエンスを強化するための基本的な取り組みです。さらに、脅威分析とセキュリティ研究を行う組織「FortiGuard Labs」を運営し、自社開発した最先端の機械学習やAIテクノロジーを活用することで、タイムリーかつ一貫したトップクラスの保護と共に、実用的な脅威インテリジェンスをお客様に提供しています。詳しくは当社ホームページ、フォーティネットブログ、FortiGuard Labsホームページをご参照ください。

Copyright© 2025 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc. とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、Fortinetロゴ、FortiGate、FortiOS、FortiGuard、FortiCare、FortiAnalyzer、FortiManager、FortiASIC、FortiClient、FortiCloud、FortiMail、FortiSandbox、FortiADC、FortiAI、FortiAIOps、FortiAgent、FortiAntenna、FortiAP、FortiAPCam、FortiAuthenticator、FortiCache、FortiCall、FortiCam、FortiCamera、FortiCarrier、FortiCASB、FortiCentral、FortiCNP、FortiConnect、FortiController、FortiConverter、FortiCSPM、FortiCWP、FortiDAST、FortiDB、FortiDDoS、FortiDeceptor、FortiDeploy、FortiDevSec、FortiDLP、FortiEdge、FortiEDR、FortiExplorer、FortiExtender、FortiFirewall、FortiFlex、FortiFone、FortiGSLB、FortiGuest、FortiHypervisor、FortiInsight、FortiIsolator、FortiLAN、FortiLink、FortiMonitor、FortiNAC、FortiNDR、FortiPAM、FortiPenTest、FortiPhish、FortiPoint、FortiPolicy、FortiPortal、FortiPresence、FortiProxy、FortiRecon、FortiRecorder、FortiSASE、FortiScanner、FortiSDNConnector、FortiSIEM、FortiSMS、FortiSOAR、FortiSRA、FortiStack、FortiSwitch、FortiTester、FortiToken、FortiTrust、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLM、FortiXDR、Lacework FortiCNAPPなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。