ITリーダーにとって、午前2時に天井を見つめる理由がこれ以上必要だとは思えないが、この12カ月は新たな「厄介者」を次々と送り込んできた。
正直に言えば、ITは何十年も息つく暇がなかった。
ドットコムの混乱はセキュリティの時代へと移り、そこからクラウド移行、そしてモバイルへと連なった。リモートワークが境界(perimeter)を引き直したちょうどそのとき、あらゆるものがソフトウェア化し、いまや生成AIの波がそのすべての上に乗っている。これによりまったく新しい攻撃ベクトル(攻撃経路)が開かれ、これまでの脆弱性もいっそう増幅されている。
ある時点で、肩書に「テクノロジー」という言葉が入る人が、そもそも夜通し眠れるのか、という問いに行き着く。
「多くのITリーダーは同時に2つの仕事を抱えている」と、Rocket Softwareのデータ・モダナイゼーション部門プレジデント、マイケル・カリーはインタビューで語った。「レガシーシステムを強靭で安全な状態に保つことを求められる一方で、AIを測定可能な優位性へ変えよとも求められる。その緊張関係こそが、本当の不安が宿る場所である」
そして、その緊張関係はRocket Softwareの新たな「IT Leaders Report」にも色濃く表れている。従業員1000人超の企業に所属するITディレクターおよびVP(バイスプレジデント)276人を対象に、Researchscapeとともに2025年後半に実施されたグローバル調査だ。
判明したのは、単一の支配的な恐怖ではなく、ますます切迫感を帯びる複数の圧力点の積み重なりである。セキュリティへの懸念は再び最上位へと戻り、パフォーマンスへの期待はさらに強まった。同時に、AIを業務に組み込む(運用に落とし込む)動きは「探索」から「義務」へと変わりつつある。規制当局の監視とインフラ制約が続くなかで、許容されるミスの余地は狭まり続けている。
脅威環境が日々複雑化する一方で、レポートの要点は単純だ。心配事は増え、その心配の背後にある「賭け金」も上がっている。とりわけ顕著なのが、ITリーダーが防衛を求められる攻撃対象領域(アタックサーフェス)の拡大である。
脅威対象領域(スレットサーフェス)が拡大し続ける理由
ITで睡眠が不足する第一の理由は、攻撃ベクトル(攻撃経路)が増殖し続ける一方で、ミスが許される余地が縮み続けていることにある。
Rocket Softwareのレポートによれば、データセキュリティが現在、懸念事項のトップに立っている。ITリーダーの69%がこれを挙げ、2年前の約半数から上昇した数字だ。全体的なITパフォーマンスは61%で僅差に続き、「AIなどの新技術を活用して成果につなげる」は58%だった。イノベーションへの圧力が依然として中核的なストレス要因であることを示している。
カリーはこの組み合わせを、役割そのものの構造変化だと捉える。「セキュリティは以前は一つの担当領域だった。いまや誰もが泳ぐ水そのものだ」と彼は言う。「リーダーが『セキュリティが夜も眠れない原因だ』と言うとき、それは同時に『あらゆるモダナイゼーションの判断がセキュリティ判断になった』と言っているのだ」
レポートは、企業がハイブリッド環境を守るために何に頼っているかも示している。最重要の優先事項は、アイデンティティとアクセス(ID・アクセス管理)、レジリエンス(回復力)、そしてプロアクティブなテスト(事前検証)に集中している。多要素認証(MFA)とID・アクセス管理(IAM)はいずれも61%が挙げ、次いでバックアップおよび災害復旧(DR)計画が52%、暗号化が50%、脆弱性テストが49%だった。
カリーはこの傾向を、パニックではなく成熟の兆候だと見る。「アイデンティティが最上位に上がってくるのは、リーダーが境界が消えたことを理解しているというサインだ」と彼は言う。「ハイブリッドの世界では、アイデンティティがコントロールプレーン(全体を統制する基盤)である。そこを正しく整えれば、レジリエンスやテストは確かな拠り所を得られる」
こうしたツール選択の背後には、有益なディテールがある。
リーダーは自動化を望んでいる。ただし、それは自動化がリスクを増やすのではなく減らす領域に限られる。ITシステムのセキュリティ確保で最も重要なツールを問うたところ、回答者はAI監視ツールを71%、データおよびシステムのアクセス制御を64%、データガバナンスとポリシーを60%挙げた。
「自動化は露出(攻撃にさらされる度合い)を下げなければならない。新たな死角をつくってはならない」とカリーは付け加える。「だからこそ、AI監視とガバナンスへの関心がこれほど強い。人々はスピードを上げる意欲はあるが、同時に可視性も求めている」
調査では、回答者の79%が次の規制監査を通過できることに「少なくとも非常に自信がある」と答えた一方、「極めて自信がある」と答えたのは30%にとどまった。
このギャップは、想像以上に重要である。「非常に自信がある」とは、チームが弱点を間に合うように見つけ出せると信じている状態だ。「極めて自信がある」とは、組織が弱点を取り除いたと信じている状態である。
ここはまた、開発者の現実が経営層の期待と衝突し始める場所でもある。
開発者エコシステムの内部で日々を過ごすSalesforceのプリンシパル・デベロッパー・アドボケイト、モヒト・シュリヴァスタヴァは、多くのITリーダーが思い当たる「急旋回」の瞬間を語る。
Cursorなどのツールや他のコパイロット(開発支援AI)は素早くコードを生み出せるが、スピードがガバナンス(統制)を追い越し始めている。「開発者は加速を好むが、企業には依然としてガードレール(安全策)が必要だ」と彼は私に語った。「スピードは刺激的だが、本番環境は容赦ない」とシュリヴァスタヴァは言う。「コードが何をしているのか説明できず、厳格にテストできず、大規模運用でどう振る舞うかを統制できないなら、加速はたちまちリスクに変わる」
彼は、リーダーが気づいているかどうかにかかわらず、開発者が直面している第二の圧力点も見ている。「プロンプティング(AIへの指示の出し方)」のスキルは、工学的判断の基礎を置き換えるのではなく、それを増幅している。「AIが多くのコードを書くとしても、『良い状態とは何か』を理解する誰かが必要だ」とシュリヴァスタヴァは言う。「アーキテクチャ、性能制約、セキュリティパターン、決定論的な制御、それらの細部が、本番で生き残れるかどうかを決める」
さらに、企業がアプリからエージェントへ移行する流れがあり、これが新たな防御対象領域を生む。「開発者はいまやアプリケーションだけを作っているのではない」と彼は言う。「アプリケーションをオーケストレーション(統合・調整)するエージェントを作っている。組織がAI施策をパイロットから本番へ移すにつれ、ガバナンスはエージェント層にまで拡張されなければならない。そこが考えるべき点を変える」
この課題は、企業AIが単一目的のエージェントから、層状のマルチエージェント・エコシステムへと進化するにつれて強まる。Salesforce Connectivity Benchmark Reportによれば、AIエージェントのおよそ半数は依然としてサイロ(孤立)で稼働しており、それを管理する中央集権的なガバナンス・フレームワークを持つ組織は54%にとどまる。複雑性が増す一方で、調整と監督は追いついていない。
カリーは取締役会の場でも同じ不安を耳にする。「誰もがスピードを求めるが、その基盤を同じペースでモダナイズした組織はごく少ない」と彼は私に語った。「DevOpsの実践がメインフレームの縁で止まってしまうと、ITに二重人格が生まれる。イノベーションは一方向に進み、コアは別方向に進む。リーダーはそのギャップの調整を迫られる」
Rocket Softwareのレポートは、別の角度から同じテーマに着地する。
メインフレームやIBM iなどのコアシステムとDevOps実践を統合する点は依然として弱点であり、自組織がそれを「極めて効果的に」できていると答えたのは28%にすぎない。並行して、重要業務で旧式システムに依存していると答えた人は48%、それらのシステムに精通した人材を見つける難しさを挙げた人は52%だった。
コアシステムが脆く、新しいツールが加速するなかで、灯りを消さないこと(業務を止めないこと)は、保守というよりトリアージ(緊急度に応じた対応)に近い感覚になってくる。
それが次の波が到来する背景である。AIの地形は、レガシーの複雑性が自然に解消されるのを待ってはくれない。
AIが塗り替える脅威環境、そしてその後に続くもの
AIは、不眠の第二軸になった。Rocketの調査では、今後12カ月でAIが最大の影響を与える領域として、「セキュリティ強化、不正検知、ガバナンス」が31%、「内部プロセス最適化」が29%、「顧客体験の改善」が22%と見込まれている。
このパターンは、リーダーがいま直面しているものを雄弁に物語る。
企業はAIを「目新しさ」ではなく、統制機能と中核ワークフローへ向けている。狙いは運用であり、期待は測定可能である。つまり、リスクも直視しているということだ。
AI導入に関する最大の懸念を問うと、70%がデータプライバシーとセキュリティを挙げ、51%が競争優位の維持、43%がROI(投資対効果)の達成、42%がITインフラ能力の限界、38%がデータ取得・抽出の課題を挙げた。
このリストは、現代の企業が抱える板挟みを端的にまとめている。AIの価値はデータに依存するが、データはハイブリッド環境に散在し、ガバナンスはリーダーが認めたい以上に弱いことが多い。
カリーは、AIがインフラ成熟度を新たな形で可視化したと見る。「AIは、アーキテクチャが追いつくのを礼儀正しく待ってはくれない」と彼は言う。「アイデンティティ、データ品質、アクセス制御にスポットライトを当てる。それらが混乱していれば、AIプログラムは『公衆の面前で実施するストレステスト』になる」
それが、一部のリーダーがより決定論的(結果が一意に定まる)なアプローチへ引き寄せられる理由でもある。とりわけ、誤りが金融上の出来事になり得る機能ではなおさらだ。Kognitosの創業者兼CEO、ビニー・ギルは、とくに財務・会計のワークフローにおいて、企業には「ハルシネーション(AIのもっともらしい誤り)を許容する余地がゼロ」だという考えを基盤に会社を築いてきた。
彼は、自然言語インターフェースを求めつつも、それを監査可能性(auditability)と説明可能性(explainability)に結び付けたい買い手に共通するパターンを語る。
「企業は同じことを繰り返し求めている」とギルは私に語った。「平易な言葉で人がコンピュータに指示できるようにしつつ、システムは台帳(ledger)のように振る舞わせたい。何をしたのかを説明し、結果を再現可能にしてほしい」
彼は実務的な解として、レイヤー化を主張する。「計画にはニューラル層(神経ネット系の層)を使えるが、実行は私が『愚直なAI』と呼ぶものにすべきだ。毎回、同じ方法で、同じことを1つだけ行う」と彼は言う。「システムが行き詰まったときに言語モデルを呼び出して選択肢を提示し、その決定から学ぶ」
彼のより大きな論点は戦略にある。市場はエージェント型(agentic)システムへ向かっているが、大企業は発想(ideation)と実行(execution)の間に明確な線を引くという。「多くの企業はフロントエンドにAIを求めるが、バックエンドには決定論を求める」と彼は言う。「それが信頼をスケールさせる方法だ」
LogicGateのCEO、マット・カンケルも、運用者の視点から同じ変化を見る。彼にとって、エージェントが最も魅力的になるのは、組織が長年ひそかに抱え続けてきたものに取り組むときだ。「エージェントが活躍できるベンチは巨大だ」と彼は言う。「社内ユースケースは、保守とデリバリー(提供)の隙間を埋めるものであり、とりわけレガシーの技術的負債が全体を鈍らせているところで効く」
彼は、あまり語られない用途も指摘する。「多くの買収案件は、買ってしまう旧式テックに足を取られる」とカンケルは私に語った。「エージェントがその負債の一部を緩和できるなら、M&A統合の経済性を変えられる」
そしてAIの拡大に伴い、多くのITリーダーが取っているマネジリアルな動きがある。発想のボトルネックになることを避けようとしているのだ。「私がすべてのユースケースを発明する人であってはならない」とカンケルは言う。「私の仕事はガードレールを設定し、チームが成果を提案できるようにし、何を安全に自動化できるかを判断することだ」
Rocket Softwareのレポートは、なぜこれが次のフェーズで重要になるのかを示唆する。
今後に向けて、回答者の66%が「AIのためのデータ・アクセシビリティ(アクセスしやすさ)」を将来の最大の懸念として挙げ、次いでIT人材のリスキリング(学び直し)が62%、ITレジリエンスの維持が62%だった。
企業におけるAIの次章を制するのは、AIを混沌とした現実に魔法の粉のように振りかけるのではなく、クリーンなデータと規律あるアクセスの上に載る能力として扱う組織である。
そしてAIの議論の背後で、もう1つの時計が動いている。耐量子セキュリティ(ポスト量子暗号への備え)は、先送りしやすいが無視しにくい課題のままだ。
EntrustのCIO、リシ・カウシャルは、耐量子対応を「技術問題に見せかけた時間の問題」だと表現する。「いまあるものを守るのに何年もかかった」と彼は私に語った。「ポスト量子の世界に向けて守るにも、およそ同じ時間がかかる。だからこそ、計画はいますぐ始めなければならない」
彼は、大企業が過小評価しがちな基本的障害を挙げる。「暗号資産(暗号関連資産)の多くは中央で管理されていない」とカウシャルは言う。「何かを守りたいなら、自分が何を持っているかを知る必要がある。フェデレーテッドIT(分散管理のIT)は、その棚卸しを人々が思う以上に難しくする」
彼はまた、「私たちはセキュリティを真剣に扱っている」と顧客に約束したあらゆるリーダーを不安にさせるべき個人的側面をこう語る。「ポスト量子の世界では、個人は自分のデータが盗まれたことは分かる。しかし、それがいつ復号されたかは分からない」
カリーも、耐量子はある日突然、緊急課題になる類の問題だと同意する。「これを"2日目のインシデント対応"の議題にしたくない」と彼は言う。「ランサムウェア耐性とアイデンティティ戦略と同じ、経営層の議論に置くべきだ。是正への道のりが長いからである」
ITリーダーを眠らせないものを端的にまとめるなら、こうだ。彼らは、混乱なくモダナイズし、スピードを落とさずにセキュアにし、事業を動かすシステムの制御を失うことなくAIを採用するよう求められている。Rocketのレポートはその負荷の広がりを捉え、インタビューはその質感を補う。これは被害妄想ではない。パターン認識である。
そして、実務を担うリーダーにとって本当の問いは、次のリスクの波が来るかどうかではない。組織が「備え」を四半期ごとのプロジェクトではなく、継続的なオペレーティングシステムとして扱うかどうかである。そうして初めて、誰かがようやく一晩ぐっすり眠れるようになる。
