セキュリティの予算配分、「防御」偏重から脱却し「対応・統治」へ投資がシフト【NRIセキュア調べ】

ランサムウェアに続き、「内部不正」「不注意」への警戒が高まる。

6:30

NRIセキュアテクノロジーズは、日・米・豪の3か国で「企業におけるサイバーセキュリティ実態調査2025」を実施した。日本、アメリカ、オーストラリア3か国の企業計2282社が対象。リリースにて「1.生成AI」「2.サプライチェーン」「3.脅威動向」「4.VPNセキュリティ」「5.セキュリティ関連予算」に関する結果を、一部抜粋して公開した。

7割超が取引先からの調査票対応に課題

「生成AIの活用状況」によると、何らかの形で生成AIを利用している企業は日本で83.2%、米で97.8%、豪で97.7%だった。数値は他国より低いが日本企業にも急速に浸透している形だ。一方で、その活用用途について日本は「外部APIを活用して、社内業務向けのシステムに生成AIを組み込んでいる」「自社プロダクトやサービスに生成AIを組み込み、顧客に提供している」が米・豪に比べて大幅に低い。日本企業ではチャットツールなどの「社内業務利用」が中心であるのに対し、米・豪の企業では「システム実装・顧客提供」へとフェーズが移行していることがうかがえる。

「委託元から求められるセキュリティ評価（アンケート回答等）」については、委託を受けていない企業を除くと75.4%の企業が何らかの課題を感じていた。具体的には「委託元ごとに内容やフォーマットが異なり、対応が煩雑になる」42.8%が最多だった。

一方、経済産業省は「SCS評価制度（★の数でセキュリティ対策状況を可視化する制度）」の導入を進めており期待が高まっているが、日本企業に限定して準備状況を尋ねると「制度の運用開始予定である2027年3月末までに準備が完了する」と回答した企業は、23.7%にとどまった。

「現在警戒している脅威を、“IPA情報セキュリティ10大脅威2025”をもとに最大5つお選びください」という設問に対しては、「ランサムウェアによる被害」がやはり最多だったが、「内部不正による情報漏えい等」「不注意による情報漏えい等」が、IPAのランキングよりさらに上位となった。現場のセキュリティ担当者は、外部からのサイバー攻撃同様に「身内の不正やミス」への警戒心が高いと考えられる。

ここ最近セキュリティなどのために導入したはずのVPNが、逆に脆弱性を悪用されるケースが相次いでおり、「脱VPN（ゼロトラスト移行）」への関心が高まっている。そこで「VPNの使用状況」を聞いたが、使用率は84.2%で、実際には前年からほとんど低下していなかった。あわせて「VPNの対策状況」も聞いたが、「最新のパッチ適用を完了している」とした企業は63.1%にとどまった。

米NIST（国立標準技術研究所）が策定した「The NIST Cybersecurity Framework（CSF）2.0」（NIST CSF 2.0）における6つの機能分類を用い、「現在と今後3年間それぞれの予算配分の意向」を見ると、日本企業が予算を多く投じているのは「検知」60.0%と「防御」56.7%だった。

一方、今後3年間で予算を増やしたい分野では「対応」37.1%と「統治」20.9%が大きく伸びていた。攻撃の完全防御より、事故後の被害抑止、復旧力（レジリエンス）を高めたいという指向が見てとれる。