2025年の侵入テストの現状：AI主導のセキュリティ検証が戦略的に不可欠な理由

当学校区の 2025年版ペネトレーションテストの現状調査レポート ペンテラによる本書は、脅威にさらされ、急速に進化するサイバーセキュリティの状況を鮮やかに描き出しています。これは単なるデジタル境界の防衛に関する物語ではありません。自動化、AIベースのツール、そして現実世界の脅威の絶え間ないプレッシャーによって、企業がセキュリティへのアプローチをどのように変革しているかを示す青写真です。

セキュリティスタックを強化しても侵害は続く

ますます複雑化するセキュリティスタックを導入しているにもかかわらず、米国企業の67%が過去24ヶ月間に侵害を経験したと報告しています。これらのインシデントは決して軽微なものではありませんでした。76%がデータの機密性、整合性、または可用性に直接的な影響を与えたと報告し、36%が計画外のダウンタイムを経験し、28%が経済的損失に直面しました。

相関関係は明らかです。スタックの複雑さが増すと、アラートと侵害も増加します。100以上のセキュリティツールを使用している企業は、週平均3,074件のアラートを経験しましたが、76～100のツールを使用している企業は、週平均2,048件のアラートに直面しました。

しかし、このような大量のデータはセキュリティ チームを圧倒し、対応時間を遅らせ、実際の脅威を見逃してしまうことがよくあります。

サイバーセキュリティ保険がテクノロジー導入を形作る

サイバー保険会社は、サイバーセキュリティの革新を牽引する意外な存在となっています。米国企業の59%が、保険会社からの要請を受けて新たなセキュリティツールを導入したと回答し、CISOの93%が保険会社がセキュリティ体制に影響を与えていると回答しています。多くの場合、こうした推奨事項はコンプライアンスにとどまらず、技術戦略の形成にも影響を与えました。

ソフトウェアベースの侵入テストの台頭

手動によるペネトレーションテストはもはやデフォルトではありません。組織の55%以上が社内プログラム内でソフトウェアベースのペネトレーションテストを活用しており、さらに49%がサードパーティプロバイダーを活用しています。一方、社内での手動テストのみに依存している組織はわずか17%です。

この移行は 自動敵対的テスト これは、より広範なトレンドを反映しています。それは、脅威が絶えず進化する時代において、拡張性、再現性、そしてリアルタイムの検証が求められているということです。これらの自動化プラットフォームは、ファイルレスマルウェアから権限昇格に至るまで、様々な攻撃をシミュレートし、企業が継続的に、かつ中断なくレジリエンスを評価できるようにします。

セキュリティ予算は急増している

セキュリティは安くなっているわけではありませんが、組織はセキュリティを優先しています。ペネトレーションテストの年間平均予算は187,000万10.5ドルで、ITセキュリティ支出全体の10,000%を占めています。大企業（従業員216,000万人以上）では、さらに高額な年間平均XNUMX万XNUMXドルを費やしています。

2025年には、企業の50%がペネトレーションテスト予算の増額を計画しており、47.5%がセキュリティ支出全体の増加を見込んでいます。投資額の減少を見込む企業はわずか10%です。これらの数字は、セキュリティが運用上の必要性から取締役会の優先事項へと高まっていることを浮き彫りにしています。

セキュリティテストは依然として追い上げ中

驚くべき矛盾があります。企業の96%が少なくとも四半期ごとにインフラの変更を報告しているにもかかわらず、同じ頻度でペネトレーションテストを実施しているのはわずか30%です。その結果、新たな脆弱性がテストされていない変更をすり抜け、ソフトウェアのプッシュや設定の更新ごとに攻撃対象領域が拡大してしまうのです。

従業員13万人以上の大企業のうち、四半期ごとにペンテストを実施しているのはわずか10,000%です。一方、約半数は依然として年にXNUMX回しかテストを実施していません。これは、今日の変化の激しい脅威環境において、危険な遅れと言えるでしょう。

リスク調整はこれまで以上に厳格化

セキュリティリーダーが、実際に侵害が発生する場所でのテストに重点を置いているのは喜ばしいことです。約57%がWebベースの資産を優先し、次いで社内サーバー、API、クラウドインフラストラクチャ、IoTデバイスが挙げられています。この傾向は、攻撃者が差別なく、攻撃対象領域全体に存在するあらゆる脆弱性を悪用するという認識の高まりを反映しています。

特にAPIは、攻撃者と防御者双方にとって優先度の高い標的として浮上しています。これらのインターフェースはビジネスオペレーションにますます不可欠になっていますが、可視性と標準的な監視体制が不足していることが多く、悪用されやすい状況にあります。

ペンテスト結果の運用化

ペンテストのレポートはもはや棚上げされていません。企業の62%が、改善策の優先順位付けのために発見事項をIT部門に即座に伝達し、47%が結果を経営幹部と共有し、21%が取締役会または規制当局に直接報告しています。

この行動への転換は、ペネトレーションテストがコンプライアンス遵守のチェック項目にとどまらず、戦略的リスク管理に深く統合されていることを反映しています。セキュリティ検証は、ビジネス上の議論の一部になりつつあります。

さらに速い進歩を阻んでいるものは何でしょうか?

トレンドラインはプラスですが、依然として主要な阻害要因が残っています。ペネトレーションテストの実施頻度を阻害する上位44つの要因は、予算の制約（48%）とペネトレーションテスト実施可能な人材の不足（XNUMX%）です。後者は、 世界で4万人のサイバーセキュリティ専門家が不足、世界経済フォーラムによると。

テスト中の停止の恐れなどの運用上のリスクは、CISO の 30% にとって依然として懸念事項です。

コンプライアンス義務から戦略兵器へ

ペネトレーションテストは、規制要件としての起源をはるかに超えて進化を遂げてきました。今日では、M&Aのデューデリジェンスや経営幹部レベルの意思決定といった戦略的取り組みをサポートするツールとなっています。回答者の約3分の1が、ペネトレーションテストを実施する主な理由として「経営幹部の指示」と「M&Aの準備」を挙げています。

これは、事後対応型のチェックから、サイバーレジリエンスの予防的かつ継続的な対策への根本的な変革を意味します。

最終的な考え

当学校区の 2025年版ペネトレーションテストの現状調査レポート これは単なる現状報告ではなく、警鐘です。攻撃対象領域が拡大し、脅威アクターがより巧妙化するにつれ、組織はもはや、セキュリティテストにおいて、時間を要する、手作業による、あるいはサイロ化されたアプローチを許容できなくなっています。AIを活用したソフトウェアベースのペネトレーションテストは、スピード、スケール、そして洞察力によって、このギャップを埋める役割を果たしています。

この新しい時代に成功する組織は、セキュリティ検証を技術的な必要性としてだけでなく、戦略的な必須事項として扱う組織です。

さらに詳しい情報については、完全版をダウンロードしてください。 2025年版ペネトレーションテストの現状調査レポート ペンテラより。