Connect with us

2025年のペネトレーションテストの現状:AI駆動のセキュリティ検証が戦略的課題となった理由

サイバーセキュリティ

2025年のペネトレーションテストの現状:AI駆動のセキュリティ検証が戦略的課題となった理由

mm
Published
Updated

Penteraによる2025 State of Pentesting Survey Reportは、サイバーセキュリティの風景が急速に変化していることを明らかにしている。この話は、デジタル境界を守ることだけではなく、企業がセキュリティへのアプローチを変革する方法のブループリントである。

セキュリティスタックの拡大にもかかわらず、侵害は続発

米国の企業の67%は、過去24ヶ月間に侵害を経験したと報告している。これらは軽微な事件ではなく、76%が機密性、完全性、またはデータの可用性への直接的な影響を報告し、36%が計画外のダウンタイムを経験し、28%が財務損失を被った。

相関関係は明らかである:セキュリティスタックの複雑性が高まるにつれて、アラートも増加し、侵害も増える。100以上のセキュリティツールを使用する企業は、平均週に3,074のアラートを経験し、76〜100ツールを使用する企業は、週に2,048のアラートを経験した。

しかし、このデータの雪崩はしばしばセキュリティチームを圧倒し、対応時間を遅らせ、実際の脅威を隙間からすり抜けさせる。

サイバーセキュリティ保険がテクノロジーの採用を形作る

サイバーアインシュラーは、予想外のサイバーセキュリティイノベーションの推進力となった。米国の企業の59%は、保険者の要求に応じて新しいセキュリティツールを実装し、93%のCISOは、保険者がセキュリティポストに影響を与えたと報告した。多くの場合、これらの推奨事項はコンプライアンスを超え、テクノロジー戦略を形作った。

ソフトウェアベースのペネトレーションテストの台頭

手動ペネトレーションテストはもはやデフォルトではない。55%以上の組織が、社内プログラム内でソフトウェアベースのペネトレーションテストに頼っており、さらに49%がサードパーティプロバイダーを使用している。一方、17%のみが依然として手動テストに頼っている。

この自動化されたアドバーサリアルテストへの移行は、より広範なトレンドを反映している:常に進化する脅威の時代に、スケーラブルで繰り返し可能でリアルタイムの検証の必要性。这些自動化プラットフォームは、ファイルレスマルウェアから特権昇格まで、さまざまな攻撃をシミュレートし、企業が継続的に、かつ中断せずにその堅牢性を評価できるようにする。

セキュリティ予算は急速に増加

セキュリティは安くはなっていないが、組織はそれを優先している。平均的な年間ペネトレーションテスト予算は187,000ドルで、総ITセキュリティ支出の10.5%を占める。10,000人以上の従業員を擁する大規模企業は、年間平均216,000ドルを費やしている。

2025年には、50%の企業がペネトレーションテスト予算を増やす予定で、47.5%が総セキュリティ支出を増やす予定である。10%のみが投資の減少を予想している。これらの数字は、セキュリティが運用上の必要性から取締役会の優先事項への上昇を強調している。

セキュリティテストはまだ追いついていない

ここに驚くべき断絶がある:96%の企業はインフラストラクチャの変更を少なくとも四半期ごとに報告しているが、30%のみが同じ頻度でペネトレーションテストを実施している。結果として、新しい脆弱性がテストされていない変更をすり抜け、ソフトウェアのプッシュまたはコンフィグの更新ごとに攻撃面が拡大する。

10,000人以上の従業員を擁する大規模企業の13%のみが四半期ごとにペネトレーションテストを実施している。一方、ほぼ半数がまだ1年に1回テストしている——今日のダイナミックな脅威環境では危険な遅れである。

リスクの整列は今まで以上に鋭い

励ましいことに、セキュリティリーダーは実際に侵害が発生する場所にテストを優先している。57%がWeb向けアセットを優先し、次いで内部サーバー、API、クラウドインフラストラクチャ、IoTデバイスが続く。この整列は、攻撃者が利用可能なすべての脆弱性を悪用することを反映しているため、攻撃面全体にわたる脆弱性を悪用することを反映している。

特にAPIは、攻撃者と守備者にとっての高優先度のターゲットとして浮上している。これらのインターフェースは、ビジネス運用にますます重要であるが、しばしば可視性と標準的な監視が欠けているため、悪用される可能性がある。

ペネトレーションテストの結果を運用化する

ペネトレーションテストの報告書はもはや棚にしまわれることはない。62%の企業が、ITに優先順位付けのために即座に調査結果を転送し、47%が上級管理職に結果を共有し、21%が取締役会または規制当局に直接報告している。

この行動へのシフトは、コンプライアンスのチェックボックスではなく、戦略的リスク管理へのペネトレーションテストのより深い統合を反映している。セキュリティ検証は、ビジネス会話の一部となっている。

何がさらに迅速な進歩を妨げているのか

トレンドラインは陽性であるが、重要な阻害要因が残っている。ペネトレーションテストをより頻繁に行う上での上位2つの障壁は、予算の制約(44%)と利用可能なペネトレーターの不足(48%)——後者は、400万人のサイバーセキュリティ専門家の世界的な不足を反映している。世界経済フォーラムによると。

運用上のリスクとして、テスト中に停止することへの恐怖は、30%のCISOにとって懸念事項である。

コンプライアンス義務から戦略的武器へ

ペネトレーションテストは、規制要件としての起源を遥かに超えて進化している。今日、M&Aのデューデリジェンスや取締役会レベルの意思決定を含む戦略的イニシアチブをサポートしている。ほぼ3分の1の回答者が、ペネトレーションテストを実施する主な理由として「取締役会の指令」と「M&Aの準備」を挙げている。

これは根本的な変革を示している:反応的なチェックアップから、プロアクティブで継続的なサイバーレジリエンスの尺度への移行である。

最終的な考え

Penteraによる2025 State of Pentesting Survey Reportは、単なるステータスアップデートではなく、警鐘である。攻撃面が拡大し、脅威アクターがより洗練されたものになるにつれて、組織はもはや遅い、手動の、またはシロされたアプローチでセキュリティテストを行うことはできない。AI駆動のソフトウェアベースのペネトレーションテストが、このギャップをスピード、スケール、洞察力で埋めつつある。

この新しい時代で成功する組織は、セキュリティ検証を技術的な必要性としてのみではなく、戦略的課題として扱うものである。

詳細については、Penteraの2025 State of Pentesting Survey Reportをダウンロードしてください。

mm

アントワーヌは、Unite.AIの創設パートナーであり、ビジョナリーなリーダーです。彼は、AIとロボティクスの未来を形作り、推進するという、揺るぎない情熱に突き動かされています。シリアルエントレプレナーである彼は、AIは電気と同じように社会に大きな変革をもたらすと信じており、破壊的な技術やAGIの潜在能力について熱く語ることがよくあります。

As a futurist、彼は、これらのイノベーションが私たちの世界をどのように形作るかを探求することに尽力しています。さらに、彼は、Securities.ioの創設者であり、未来を再定義し、全セクターを再構築する最先端技術への投資に焦点を当てたプラットフォームです。