防御から統治へ 2282社調査から見えたセキュリティ対策の転換点

PR／ITmedia

PR

　企業のセキュリティ担当者は、絶えず変化する脅威に向き合いながら「何を警戒すべきか」「どこに投資すべきか」という難しい判断を迫られている。だが現場が感じる脅威とデータに基づく分析結果との間にズレが生じているケースも多い。

　こうした対策におけるギャップを明らかにするため、NRIセキュアテクノロジーズは2025年6月〜8月、日本と米国、オーストラリアの2282社を対象に「企業におけるサイバーセキュリティ実態調査2025」を実施した。

　同社の川崎聡太氏（セキュリティソリューション事業本部 GRCプラットフォーム部 部長）と野口智矢氏（同部）への取材を通じて、日本企業のセキュリティ対策の現状や課題を解説する。

NRIセキュアテクノロジーズの川崎聡太氏（写真左）と野口智矢氏

日本企業の生成AI利用率は急増するも「システム実装」に高い壁

　本調査で目を引くのは、生成AIの利用率の急伸だ。日本企業の利用率は前年から約18ポイント増の83.2％に達し、米国（97.8％）、オーストラリア（97.7％）を追い上げる。ただし、その中身を見ると、外部の生成AIをAPI経由で社内システムに組み込む企業が11.8％、自社サービスなどに組み込む企業が2.8％にとどまり、依然として「社内業務の効率化」が中心だ。

　この背景には技術的な管理体制の後れがある。野口氏は「ルール整備だけでなく、利用の監視や制御を含む技術的な統制の仕組みが必要だ」と指摘する。

　また、中小企業では生成AIに関するガバナンス体制の整備が十分ではなく、大企業ではルール作りが先行して柔軟な活用が制約されるという傾向も見える。

　川崎氏は「生成AI分野は十分なガードレールが確立されていない段階にある。セキュリティの実践知が蓄積されれば活用は広がるだろう」と述べる。

生成AIのルール整備状況は企業規模によって差が大きい（提供：NRIセキュアテクノロジーズ）

サプライチェーン強化に向けた新評価制度、4割超が「対策予定なし」

　生成AI対応と並んで負担となっているのがサプライチェーン管理だ。委託元から求められるセキュリティ評価について75.4％が「何らかの課題を感じている」と回答した。「委託元ごとに内容やフォーマットが異なり、対応が煩雑」（42.8％）、「設問数が多く回答に時間がかかる」（34.0％）などが課題の上位を占める。

　そこで注目されているのが、経済産業省が検討を進めており、2026年度末からの運用開始を予定している「サプライチェーン強化に向けたセキュリティ対策評価制度」だ。だが、制度の理解度が高い企業でも「運用開始までに準備を完了できる」と回答したのは23.7％にとどまり、「対策の予定なし」が43.4％と主流だ。

　川崎氏は「インターネットに公開している自社のアタックサーフェスを洗い出すことが対策の出発点」と強調し、対策としてASM（アタックサーフェスマネジメント）や業界標準の評価基準の活用を挙げた。

巧妙化する外部攻撃と、統制困難な「身内のリスク」

　情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2025」（組織編）への警戒度に関する調査では「ランサムウェアによる被害」（80.8％）が最多だった。

　注目されるのは「内部不正による情報漏えい等」が54.8％で2位、「不注意による情報漏えい等」が42.4％で5位に入ったことだ。“内部リスク”への強い警戒感が表れている。

　これに対応すべくDLP（データ漏えい防止ソリューション）を「導入済み」「検討中」の企業は60.0％、前年から15.7ポイントも増加した。

　実態として見過ごせないのがVPNだ。脆弱（ぜいじゃく）性を悪用した攻撃が相次ぐVPNの国内利用率は84.2％とほぼ横ばい。最新パッチを適用済みの企業は63.1％、推測可能なID・パスワードを廃止した企業は48.7％と低く、運用面の課題が目立つ。

　こうした状況を踏まえて川崎氏は「リモートアクセス基盤を集約・標準化し、脆弱性管理やポリシーを一元化」「VPNに限定せず多様なリモートアクセス手段を検討し、認証・アクセス管理を段階的に高度化すること」を推奨する。

　予算配分でも変化があり、NISTのサイバーセキュリティフレームワーク（CSF）2.0の機能分類に基づく分析では、「予算」「防御」から「対応」「統治」にシフトする動きが見え始めた。

　野口氏は「情報資産やサプライチェーンを把握して自社リスクの解像度を高めれば、NIST CSFの各機能をどう運用すべきかが明確になる」と語る。

　今回の調査からは、生成AI活用が進む一方で、依然として解決途上の課題を抱える日本企業の現状が明らかになった。詳細レポートは、NRIセキュアテクノロジーズの公式サイトで確認できる。自社と照らし合わせて、改善策を検討してみてはどうだろうか。

「情報セキュリティ10大脅威 2025」調査では、内部リスクへの警戒が目立った（提供：NRIセキュアテクノロジーズ）