Fastly AppSec 調査 : 2025年の AI とセキュリティ

現在の状況におけるアプリケーションセキュリティとAIに関する意識調査

現在の経済、政治、そしてグローバルな情勢（まあ、ほとんどすべての状況）の影響下で、Fastlyは、状況がアプリケーションセキュリティ戦略と予算に関して、Webおよびアプリケーションセキュリティのインフルエンサーや意思決定者にどのような影響を与えているか（または与えていないか）を調査することに着手しました。

また、回答者がAppSec分野におけるAIについてどのように考えているか、つまり、セキュリティにおけるAIの役割に自信を持っているのか、それとも確信が持てないのかを知ることにも興味を持ちました。さらに、今後1年間にセキュリティ分野においてAIをどのように活用する予定かについても尋ねました。

私たちは質問し、回答を得ました。2025年末までのウェブおよびアプリケーションのセキュリティの動向、動向、課題について掘り下げた、Fastly AppSec Check 調査シリーズの第1回目の調査結果と分析を、ぜひお読みください。

主なポイント : Fastly の2025年 AppSec & AI 調査

• 経済的影響 : セキュリティ意思決定者の90%が、現在の経済および政治情勢が、たとえわずかであっても、セキュリティ予算および購入決定に影響を与えていると報告しています。

• 不確実性にもかかわらず支出が増加 : 経済的な懸念があるにもかかわらず、資金を確保したいという意向から、大多数 (38%) が現在、セキュリティ関連の購入決定を行う可能性が高くなっています。

• 予算の安定性 : 組織の47％は、過去6か月間にセキュリティ予算が安定していると見ており、31％は増加したと報告しています。

• AI は最優先投資分野 : 回答者の27%が今後12か月以内に AppSec 向けの人工知能への投資を計画しており、主な投資分野となっています。これはアジアでは47%、航空会社では37%に跳ね上がります。

• AI への高い信頼 : 回答者の合計88%が、アプリケーションセキュリティのユースケースにおける AI の機能について、「ある程度信頼している」から「非常に信頼している」まで、何らかの信頼度を示しています。

• AI の採用見通し : AI への信頼は今後1年間で高まると予想されており、81%が12か月以内に AppSec で AI を使用する可能性が高まるか、少なくとも中程度になると予想しています。

• AI のメリットと懸念事項 : 回答者は、AI が全体的なセキュリティを向上させ、脅威の検知を自動化し、ワークフローを合理化することを期待しています。しかし、データプライバシーと潜在的な雇用喪失に対する懸念は依然として残っています。

回答者の属性に関する概要

回答者の地理的な場所 (組織の本社所在地) :

• アフリカ：0.27%

• 中東：1.01%

• 南アメリカ：4.48%

• アジア：6.31%

• 欧州 : 23.40%

• 北米 : 64.53%

回答者の役割と職務経験

回答者は組織内での役割に基づいてさらに絞り込まれ、1) セキュリティの意思決定に影響を与える者、または 2) セキュリティ購入の意思決定者でない限り、調査から除外されました。

組織内での役割を尋ねられた回答者は、次のように自己認識していました。

回答者のこの分野での経験は、1年未満から10年以上までさまざまでした。私たちは、「アプリケーションセキュリティ分野での勤務年数は何年ですか？」と質問しました。その結果は次のとおりです。

参加者の業界分布

回答者の業種は多岐にわたり、ハイテク (15.36%) およびファイナンスサービス (14.26%) が回答者の割合で最も高くなっています。これは、回答者の大半が FSI とハイテクが主要産業である北米の人たちであることを考えると、当然の結果と言えます。

AppSec調査結果と分析

さて、結果発表です！上記で述べたことを思い出してください。私たちは、1）現在の状況がアプリケーションセキュリティの予算と意思決定全体に与える影響を調査し、2）アプリケーションセキュリティ分野の人々が既存の慣行にAIを採用または採用を増やすことについてどのように感じているかを探ることに着手しました。

AppSec 予算への経済的影響

Q : 回答者に「現在の経済・政治情勢は、セキュリティ予算と購入決定にどの程度影響しましたか」と尋ねました。回答者には「まったく影響はない」から「大いに影響がある」までの範囲の選択肢が与えられました。

過去数ヶ月にわたり、経済、潜在的な景気後退、関税、時には極めて不安定な株式市場、そして疑わしい雇用市場をめぐって見られた騒ぎや恐怖に基づく言説の量を考えると、回答者の大多数が少なくとも何らかの影響があると考えているだろうと予想していました。

そしてわかったのは、なんと90%の回答者が、経済/政治情勢がセキュリティ予算と購入決定に少なくとも多少影響を与えていると報告していることでした。

地域別インサイト

• 北米 : 回答者の36%がセキュリティに関する決定に「中程度の影響がある」と回答し、35%が「少し影響がある」、18%が「大きな影響がある」と回答しました。

• アジア : アジアではさらに大きな影響が報告されており、36%が「中程度の影響がある」、38%が「少し影響がある」、19%が「大きな影響がある」と回答しています。

業界インサイト

• ハイテク : ハイテク業界の回答者を対象に結果を絞り込むと、38%が「中程度の影響がある」、29%が「少し影響がある」、21%が「大きな影響がある」と回答し、全カテゴリーで平均を上回りました。

• ヘルスケア : ヘルスケア業界の回答者は、セキュリティの購入と予算決定において、さらに大きな影響を受けたと回答しました。46%が「中程度の影響がある」、32%が「少し影響がある」、13%が「大きな影響がある」と回答しました。

• 航空会社 : 航空会社は業界全体で最も影響が少なく、回答者の21%が「影響なし」と回答しており、同じ回答の調査平均のほぼ2倍となっています。  

Q : セキュリティ製品の購入および予算の決定について、これが実際にどのような意味を持つかをより深く理解したいと考え、回答者に「現在の経済および政治情勢により、セキュリティ製品の購入決定を行う可能性が高まりましたか、低くなりましたか？」と質問しました。

興味深いことに、回答者の大半は、現在の気候がセキュリティ関連の購入決定を行う可能性を高めていると回答しました。将来の資金や予算の確保に対する不安や不確実性から、アプリケーションセキュリティの意思決定者や購入担当者は、購入や決定を今、確実に実行できるうちに実行しようとしているのかもしれません。

Dark Reading の最近の記事Can Cybersecurity Weather the Current Economic Chaos? (サイバーセキュリティは現在の経済混乱を乗り切れるか？) は、当社の調査結果に追加の洞察を提供し、「しかし、金融アナリストによると、サイバーセキュリティ業界においては、[経済後退の]影響はそれほど顕著ではない可能性がある」と述べています。サイバーセキュリティ業界は投資家にとって「防御的な投資先」です。これは、サイバーセキュリティ分野の企業にとって、経済状況に関わらず支出を増やし、積極的な判断を継続することが合理的な選択であることを示しています。なぜなら、彼らのサービスに対する需要は継続するからです。

当社の調査結果もこの主張を裏付けています。全体で、調査対象者のうち「購入の決定をする可能性が大幅に低下した」と回答したのはわずか27名でした。38％の回答者は、現時点で購入や予算の決定を行う可能性が高いと回答しています。

地域別インサイト :

• 北米 : 北米は累積的な結果を反映していましたが、セキュリティに関する決定を行うことにより重点が置かれていました。40％の人が購入の意思決定を行う可能性が高くなったと回答し、29％の人が購入の意思決定に影響はないと回答し、全体で31％の人が何らかの形でセキュリティ関連購入の決定を行う可能性が低くなったと回答しました。

• ヨーロッパ : 結果をヨーロッパのみに絞り込むと、全体の結果とは若干異なることがわかりました。33%は購入決定を下す可能性が高くなった、28%は購入決定に影響がないと回答し、25% はわずかに可能性が低くなったと回答し、 11%と3%はそれぞれ購入決定を下す可能性が低くなった、大幅に可能性が低くなったと回答しました。

業界インサイト :

• ハイテク業界 : 当社の調査では、回答者の15%を占めるハイテク業界の回答者の44%が、購入の意思決定を行う可能性が高くなったと回答しました。21%は購入の意思決定に影響がないと回答し、合わせて35%は何らかの形で購入の意思決定を行う可能性が低くなったと回答しました。

• ファイナンスサービス : 回答者全体の14%を占める2番目に多いグループの回答者のうち37%が、セキュリティ関連購入の決定を下す可能性が高くなったことを示しました。26%は意思決定に影響がないと報告し、合計で38%が現時点で購入の意思決定をする可能性がある程度低いと回答しています。

Q: 調査をさらに進めて、回答者に、過去6か月間にセキュリティ予算が増加したか、減少したか、それとも同じままであったかを尋ねました。

47% が変化がないと回答し、 回答者の31% が過去6か月間でセキュリティ予算が増加したと回答し、合計 21% がある程度減少したと回答しました。これは、これまでの質問やメモに反映されている感情と一致しており、組織が経済や政治の不確実性の影の下で、購買や予算の決定を行う傾向があることを示しています。

地域別インサイト

• 北米 : NA では、回答者の48％が過去6か月間、予算が変わっていないと報告しています。31%が増加、15%が若干減少したと回答しています。中程度および大幅な減少を報告したのはわずか6% でした。

• アジア : アジアは、予算の増加が見られた組織の割合が他のすべてのカテゴリを上回った2つの地域 (アジア＋中東) のうちの1つです。45%は増加、35%は変化なし、15%はわずかに減少、5%は中程度から大幅に減少したと回答しました。

業界インサイト

• ハイテク : ハイテク業界の回答者の47％は、セキュリティ予算が過去6か月間変わっていないと回答し、39％は増加、合計で14％はある程度減少したと回答しています。

• FSI : 44% のファイナンスサービス業界の回答者は予算が変わらなかったと報告し、31%は増加した、26% は減少したと回答しました。

• SaaS : 42%の回答者が予算は変わらないと回答し、36%が増加した、22%がわずかに減少した、0%が中程度または大幅に減少したと回答しました。

Q : 支出の増加や予算の決定を踏まえて、回答者に「今後12か月以内にどのセキュリティツールに投資する予定ですか？」と尋ねました。

回答者が今後12か月間のセキュリティ予算への投資についてどのように考えているかを知るために、彼らに自由形式で、来年どのようなセキュリティツールやソリューションに投資する予定かを詳しく答えてもらいました。

回答にはかなりのばらつきがありましたが、AI が最有力候補として浮上しました。注目すべき調査結果は以下の通りです。

• 27% が AppSec の人工知能への投資を計画しています。

• 18% は現在投資する予定がないか、AppSec プログラムに最近投資しています。

• 15% は、既存のプログラムとツールの一般的な分析と、今後数か月以内に全面的にアップグレードする計画を示しました。

• その他の注目すべき調査結果には、クラウドセキュリティ (2%) 、インフラストラクチャのアップグレード (3%) 、ウイルス対策とファイアウォールのアップグレード (合計12%) などがありました。

• 割合は低いものの注目すべきものには、エンドポイント検出、SAST、監視ソリューション、暗号化とアクセス管理、分散型 DDoS 攻撃、API セキュリティ、分散型 DDoS 攻撃セキュリティがありました。

業界インサイト

• ハイテク : ハイテク分野で、32%が今後12か月間の最優先投資として AI を挙げています。

• メディアエンターテインメント : 全体的な AppSec 体制の強化に一般的な関心を示し (28%) 、平均的な回答者と比較して AI への関心が低いことがわかりました (20%)。

• SaaS : 今後12か月での AI 導入に対する関心が最も高く、36% に達しました。

• 航空会社 : 航空会社は 37% が AI を最優先事項と回答し、クラウドセキュリティへの投資は 11% でした。

地域別インサイト

• 北米 : 26% が AI への投資を計画しており、19% は投資の予定はないと回答しました。一般的な AppSec への投資(14%)、ファイアウォール (7%)、およびインフラストラクチャのアップグレード (3%) が注目すべき項目として挙げられました。

• アジア : 47％が、今後12か月間の優先投資先として AI を挙げています。エンドポイント検知、ファイアウォール、クラウドセキュリティはすべて3% でした。

AI センチメント

2つ目の調査は、アプリケーションセキュリティ分野における AI に対する現在の認識と活動状況を把握することが目的でした。私たちは、セキュリティ専門家は既存の業務により多くの AI ソリューションを導入し、今後12か月でその採用が増加するだろうと仮説を立てました。その仮説は完全に正しいことがわかりました。

Q : まず、回答者に「アプリケーションセキュリティのユースケースにおいて、人工知能 (AI) の能力を信頼できると感じますか？」と質問しました。

回答者の合計40% がアプリケーションセキュリティにおける AI の活用に自信がある、または非常に自信があると答え、さらに48% が中程度からやや自信があると答えました。一方で、14% は無関心または自信がないと回答しています。つまり、合計で88% の回答者が、自身のアプリケーションセキュリティにおける AI 活用に何らかのレベルで自信を持っていることになります。

Q :「今後12か月以内に、アプリケーションセキュリティのユースケースで AI を使用する際に、より信頼できるようになると思いますか、それとも信頼できなくなると思いますか？」

上記の圧倒的な「はい」という回答を受けて、AppSec 分野における AI の採用について、今後12か月間の見通しをさらに詳しく調査することにしました。予想通り、最初の質問で示された自信はそのまま、今後12か月で自信がさらに高まるだろうという回答者の見通しにもつながっていることがわかりました。

17% の人は、今後12か月以内に AppSec 分野で AI ソリューションの利用を大幅に拡大する可能性が高いと回答しました。同様に、23%が「おそらく使用する」と回答し、合計41% が「やや使用」または「ある程度」AI を今後12か月以内に利用する可能性が高いと回答しました。

地域別インサイト

• 北米 : 26% が AI に対する信頼を報告し、14% が「非常に信頼している」と回答、合計44% が AppSec のユースケースにおける AI に対して少なくとも「ある程度信頼している」と回答しました。

• アジア : アジアは AI に対する信頼度が最も高く、30% が「非常に信頼している」、22% が「信頼している」、合計38% が「中程度からやや信頼している」、そして AI に無関心または信頼していないと回答したのはわずか10% でした。つまり、回答者の90% が AI に少なくともある程度は信頼を寄せているということです。

業界インサイト

• SaaS : SaaS 業界は AI に対する信頼度が高く、41% が「信頼している」と回答し、11% が「非常に信頼している」、42% が「やや信頼している」から「ある程度信頼している」と回答しました。

• ハイテク : 興味深いことに、ハイテクは SaaS ほど信頼度が高くありませんでした。27% は「非常に信頼している」と回答し、22% は「信頼している」、43% は「やや信頼している」から「ある程度信頼している」と回答しました。  

定性的 AI のセンチメント分析

AI に対する感情をより深く理解するために、回答者には2つの質問に対して自由記述で答えてもらう選択肢を設けました。

Q :「もしアプリケーションセキュリティにおける AI の活用に自信がある場合、今後12か月で AI がアプリケーションセキュリティのどのような部分を支援したり改善したりすると思いますか？」

最も一般的な回答は、AI が今後12か月間で企業のセキュリティ全体のレベルを向上させるのに役立つだろうというものでした。回答者の17% が、AI による主な改善点としてセキュリティの向上を挙げました。

私たちが受け取った1094件の回答に共通するテーマを反映したその他の注目すべき結果は、以下の通りです。

ポジティブな感情

• 「AI は脅威検知の自動化、インシデント対応の迅速化、脆弱性管理の改善を通じて、サイバーセキュリティを強化すると考えています。」

• 「[AI] はプロセスを自動化し、セキュリティ侵害をより迅速に検出するのに役立つと考えています。」

• 「[AI] はワークフローを改善し、反復的なタスクを自動化します。」

• 「外国からの指示をより簡単に識別するのに役立つかもしれません。」

• 「私たちは AI がハッキングやサイバーセキュリティの脅威を追跡し、即座に対処してくれることを期待しています。」

ネガティブな感情

• 「AI の使用にはまだ躊躇しています。なぜなら、AI は個人データに干渉したり、既存の従業員の一部に取って代わったりする可能性があるからです。」

• 「AI は素晴らしいですが、より一層のガバナンスと俊敏性が必要です」

• 「これにより、セキュリティ体制が強化され、多くの人々の業務も容易になります。でも、その技術より一歩先を行っていないと、自分の仕事が危うくなってしまいます。」

AppSec と AI のトレンドを解釈する

これらの反応の二面性は、市場全体に非常に明確に反映されています。AI は生産性、セキュリティ、スケーラビリティのメリットをもたらす一方で、より多くの手作業 (およびそれを行う人々) を不要にする脅威もはらんでいます。また、AI の能力に対する信頼の欠如も依然としてあります。確かに、AI は迅速かつ正確に作業を行うかもしれませんが、それは完璧で、十分に管理されているのでしょうか？

最近の Wipro の調査によると、CISO は AI を積極的に活用して「脅威の検知とレスポンス時間の短縮、そして強化されたインシデント対応能力の構築」を図っていることがわかりました。これは、私たち自身の調査におけるポジティブな意見 (生産性の向上) とネガティブな意見 (人間の仕事の喪失) に関連しています。ただし、この AI の活用は、従来は人間が行っていた作業を AI が担うことを意味します。

Exabeam による別の調査では、「経営幹部の71% が AI によってセキュリティチーム全体の生産性が大幅に向上したと考えているものの、ツールに最も近いアナリストのうち、同意しているのは22% に過ぎない」という結果が出ています。当社の調査結果も、その中間あたりに位置しています。

当社独自の調査およびオンライン上のほぼすべての情報から明らかになった対照的な見解は、急速に変化している AppSec 環境が注目すべき分野であることを示しています。このシリーズの今後の調査でも、この分野に注目していきます。

AppSec & AI 調査の主なポイント

不確実な時代において、これらの結果が、同業他社や業界関係者がセキュリティと AI をどのように考えているかを考える上で、参考になり、示唆に富むものとなったことを願っています。この調査シリーズの次回では、組織 (およびセキュリティ担当者) がセキュリティワークフローに AI を導入するために具体的に何を行っているかをさらに深く掘り下げます。これには、ツール、予算、AI の活用によって得られたプロセスと効率の改善に関する分析も含まれます。

調査方法

この調査は、2025年5月27日～2025年6月23日の間に、Fastly の委託を受けて Pollfish がオンラインで実施しました。調査では、組織内でセキュリティ購入の意思決定に影響力を持つ (28.5%) または意思決定を行う (71.5%) 1,094人の専門家から回答を収集しました。

調査の品質を確保するため、Fastly は自由回答形式の検証を用いて質の低い回答を排除し、人口統計学的関連性を確認しました。その結果、回答者の大半は予想通り、回答者の大半は中堅からシニアレベルの年齢と経験の範囲に属していました。地域による微妙な違いは見られましたが、全体的な傾向は市場間で一貫していました。

この調査から得られたインサイトは、セキュリティ業界への洞察を提供し、議論を促すことを目的としており、決定的な業界ベンチマークとなることを目的としたものではありません。地域ごとのサンプルサイズは大きく異なります。自己申告データには、通常、ある程度の偏りや誇張が含まれる可能性があります。お読みになる際は、これらの結果を絶対的なものではなく、指針として捉えてください。