AI時代の脅威に備えている企業、わずか8％ 日本企業が取るべき4つのアクション：セキュリティニュースアラート

アクセンチュアの調査によると、AI時代において十分なサイバー防御体制を整備している企業は世界で10％、日本では8％にすぎないことが分かった。同社が推奨する4つの防御アクションを紹介しよう。

[後藤大地，有限会社オングス]

　アクセンチュアは2025年7月28日、最新のセキュリティレポート「サイバーセキュリティ・レジリエンスの現状 2025」（State of Cybersecurity Resilience 2025）を公開した。

　調査結果によると、AIの普及に伴い深刻化するサイバー脅威に対し、十分な防御態勢を構築している組織が世界全体でわずか10％だったことが分かった。国内においても同様の傾向が見られ、準備が整っていると評価された企業は8％にとどまった。

　この調査は、売上高10億ドルを超える大企業の経営幹部2286人を対象に、アクセンチュアが2024年10月末〜12月にかけてオンライン形式で実施された。調査対象は日本を含む17カ国・24業種におよび、回答者の80％はCISO（最高情報セキュリティ責任者）、20％はCIO（最高情報責任者）で構成されている。

攻撃に準備できている企業はわずか8％　国内企業が取るべき4つのアクション

　アクセンチュアは組織のサイバーセキュリティ戦略と技術力に基づいて、企業のセキュリティ成熟度を3つのゾーンに分類した。

　調査によると、企業の63％（日本では60％）が「脆弱（ぜいじゃく）ゾーン」に分類され、統一されたセキュリティ戦略および必要な技術的基盤が不足している状態にある。AIの拡張によって脅威の速度と複雑性が高まる中、77％（日本では82％）の組織がデータやAIに関する十分なセキュリティ対策を講じていない。また、セキュリティ体制の一定の整備は進んでいるが、戦略の明確化や対策の実効性に課題を残す「進展中ゾーン」に該当する企業も存在しており、全体で27％、日本では32％となっている。

　生成AIに関しても、適切なポリシーや研修体制を導入している企業は全体の22％（日本では19％）にとどまり、AIシステムの全容を把握して管理している企業は限られている。暗号化やアクセス制御といった基本的なデータ保護手段を十分に活用している組織は、全体で25％、日本では31％に過ぎない。

　地域別の比較ではサイバーセキュリティ体制の成熟度が特に低い地域も明らかになった。中南米では77％の組織が基本的な戦略と能力を欠いており、アジア太平洋地域でも71％（日本では60％）が脆弱ゾーンに該当している。北米の成熟企業は14％、欧州では11％にとどまり、全体としては多くの組織が対応力を欠いた状態にある。

　アクセンチュアは調査結果を踏まえ、最も成熟度が高い「変革準備完了ゾーン」に到達するためにはサイバー防御体制の強化が必要であり、次のような4つのアクションを推奨している。

• AIによって変革される世界の環境を前提に目的に即したセキュリティガバナンスの枠組みと運用モデルを構築および導入し、明確な説明責任を確立すると同時にAIセキュリティを規制とビジネス目標に整合させる
• 生成AIを安全に活用するために開発や展開、運用の各プロセスにセキュリティを組み込み、設計初期からセキュアなデジタルコアを構築する
• 新たな脅威に先回りして対処できるよう、安全な基盤を備えた回復力のあるAIシステムを維持し、検知能力の強化やAIモデルのテスト、対応メカニズムの高度化を図る
• 生成AIを活用してセキュリティプロセスを自動化し、サイバー防御を強化して脅威の早期検出を実現することで、サイバーセキュリティの在り方自体を再構築する

　調査では変革準備完了ゾーンに属する企業が高度なサイバー攻撃に遭遇する確率が69％低く、攻撃阻止能力は1.5倍、ITおよびOT環境の可視性は1.3倍、技術的負債は8％削減、顧客からの信頼は15％向上していることも示されている。堅牢（けんろう）なサイバーセキュリティ体制が業務継続性と企業価値の双方に貢献する実効性が裏付けられた形となる。