企業動向

NRIセキュア調査、日本企業の生成AI利用8割超も高度活用に課題か サプライチェーン対策やVPNの脆弱性も浮き彫りに

NRIセキュアテクノロジーズは、日本、アメリカ、オーストラリアの企業を対象とした「企業におけるサイバーセキュリティ実態調査2025」の結果を発表しました。日本の生成AI利用率は8割を超え急速に普及する一方、高度なシステム実装やビジネス価値創出においては米豪との差が顕著です。また、サプライチェーンのセキュリティ評価対応に多くの企業が課題を抱え、経済産業省の新制度への準備も遅れています。サイバー脅威ではランサムウェアに加え、内部不正や不注意への警戒が高まり、VPN利用が続く中で約4割の企業が対策を完了していない実態も明らかになりました。

生成AI、利用は進むも「使いこなし」に差か

生成AIの活用状況について尋ねたところ、日本企業の約83%が何らかの形で生成AIを利用していると回答しました。昨年度調査の約65%から大きく上昇しており、利用そのものは急速に浸透していることが分かります。しかし、アメリカ企業の約98%、オーストラリア企業の約98%と比較すると、利用率自体にはまだ差があります。

生成AIの活用用途

その活用用途には、日・米・豪で明確な差が見られました。「外部APIを活用して、社内業務向けのシステムに生成AIを組み込んでいる」や「自社プロダクトやサービスに生成AIを組み込み、顧客に提供している」といった、システム実装やビジネス価値創出を伴う発展的な活用については、日本は米・豪に比べて大幅に低い結果となっています。日本企業ではチャットツールなどの「社内業務利用」が中心であるのに対し、米・豪の企業では「システム実装・顧客提供」へとフェーズが移行していると分析されています。

サプライチェーン評価、7割超が課題抱える

サプライチェーン攻撃への懸念が高まる中、取引先(委託元)によるセキュリティ評価は厳格化しています。委託元から求められるセキュリティ評価について、委託を受けていない企業を除く約75%の企業が何らかの課題を感じていると回答しました。最大の課題は「委託元ごとに内容やフォーマットが異なり、対応が煩雑になる」(約43%)ことでした。現場では非効率な業務負荷が増大しており、評価基準の標準化が強く求められている状況です。

委託元から要求されるセキュリティ評価の課題

経済産業省が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」への期待が高まっていますが、日本企業の対応には遅れが見られます。本制度を「理解している」と回答した企業に限定して準備状況を尋ねたところ、制度の運用開始予定である2027年3月末までに準備が完了すると回答した企業は、約24%にとどまりました。多くの企業で準備が間に合っていない実態が明らかとなり、今後は評価対応の効率化と制度上の認定取得を両立させる取り組みが急務となると考えられます。

サプライチェーン評価制度に向けた準備完了時期

経済産業省のサプライチェーン強化に向けたセキュリティ対策評価制度に関する詳細は、以下のウェブサイトで確認できます。

ランサムウェアに加え、内部不正・不注意への警戒強まる

セキュリティの脅威に対する企業の警戒度合いを調査した結果、1位は「ランサムウェアによる被害」(約81%)で、依然として最大の脅威と認識されています。注目すべきは、日本では2位に「内部不正による情報漏えい等」(約55%)、5位に「不注意による情報漏えい等」(約42%)がランクインした点です。これは独立行政法人情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威 2025」の順位よりも高いランクであり、現場のセキュリティ担当者が、外部からのサイバー攻撃と同様に、あるいはそれ以上に「身内の不正やミス」というコントロールしにくいリスクに対して、強い警戒感を抱いていることが浮き彫りになりました。

実際に警戒している項目

情報セキュリティ10大脅威2025の詳細については、以下のIPAウェブサイトをご参照ください。

VPN利用8割維持も、約4割が対策未完了の危険な状態か

VPN機器の脆弱性を悪用したサイバー攻撃被害が相次ぎ、「脱VPN(ゼロトラスト移行)」への関心が高まる中、実態としてはVPNの使用率は約84%と昨年度調査から横ばいで推移しており、多くの企業が依然としてVPNを利用し続けていることが分かりました。

VPNの使用状況

さらに深刻なのは対策状況です。「最新のパッチ適用」を完了している企業は約63%にとどまり、約4割の企業が対策が未完了の状態であり、脆弱性を放置している恐れがあります。VPN機器の脆弱性を突く攻撃が常態化しているにもかかわらず、基本的なメンテナンスさえ追いついていない状況下で、現場ではVPNの利用を続けているという、極めて危険な状態が浮き彫りになっています。

VPNセキュリティ対策の実施率

予算配分、防御から「対応」「統治」へシフトの傾向

米国国立標準技術研究所(NIST)が策定した「The NIST Cybersecurity Framework(CSF)2.0」における6つの機能分類を用い、現在と今後3年間それぞれの予算配分の意向を調査しました。現在、日本企業が予算を多く投じているのは「検知」(約60%)と「防御」(約57%)であり、従来の境界防御や監視にリソースが集中している状況です。

NIST CSF機能別の予算意向

一方、今後3年間で予算を増やしたい分野で伸び幅が大きかったのは、「対応」(約37%)と「統治」(約21%)でした。これは、攻撃を完全に防ぐことは困難という前提に立ち、インシデント発生時の被害抑止や復旧力(サイバーレジリエンス)を高めようとする意向が見て取れます。また、「統治」への関心の高まりは、サイバーセキュリティを技術論だけでなく、経営課題として組織横断的に取り組む姿勢への変化を示唆していると考えられます。

今回の調査結果は、日本企業がサイバーセキュリティ対策において、技術的な導入だけでなく、その「使いこなし」や運用、さらには経営課題としての統治といった、より高度なフェーズへの移行が求められている現状を示しています。

「企業におけるサイバーセキュリティ実態調査2025」の詳細なレポートは、NRIセキュアのウェブサイトから入手できます。

ソース元

関連記事

著者紹介:press

press プレスリリースを元に、サイバーセキュリティ関連の企業動向を配信しています。情報の正確性についてはソース元をご確認ください。


カテゴリ:
タグ: