NRIセキュアテクノロジーズ株式会社が2002年度から23年にわたり
実施している企業のセキュリティに関する取り組みの実態調査です。
日本
アメリカ
オーストラリア
企業の情報システム /
情報セキュリティ担当者
2025.06.11 - 2025.08.09
2025.07.03 - 2025.08.02
計2,282社
1,263社
508社
511社
本報告書の作成にあたり、アンケートに
ご回答いただいた皆さまに
深く感謝いたします。
ご協力ありがとうございました。
POINT
日本の生成AI利用率は8割超と昨年度から大幅に上昇。
中小企業ほど「社員が個々で生成AIを利用」が多く、「社内ルールのもとで生成AIを利用」が少ない傾向
生成AIの利用促進とAIガバナンスの両立が今後の課題
生成AIの利用状況
社員が個々で、生成AIサービスを利用している
社内ルール・ガイドラインのもとで、生成AIサービスを利用している割合
※NRI Secure Insight 2025 資料 P19 より抜粋
POINT
2026年度末頃から運用開始予定であり、業種・業態を問わない利用が見込まれる
発注者と受注者の両者にとってメリットがある制度
制度を理解している企業の内、半数弱の企業が対策実施・検討中
制度の認知度と準備状況
※NRI Secure Insight 2025 資料 P16〜17 より抜粋
グループ会社や取引先でのランサムウェア感染や取引先経由での機密情報漏洩・データ流出が増加し、委託先のインシデントが事業停止につながるなど、サプライチェーン全体のリスクが深刻化しています。
こうした課題の対策として、経産省では発注者ごとに異なっていた評価基準を★による共通指標で統一する制度が検討されており、2026年度末頃に一部(★3と★4のみ)の運用開始が予定されています。
POINT
VPN使用率は依然として高いが、セキュリティ対策の実施には改善余地が多い
攻撃前提の事後対応に加えて、基本的な事前対策の見直し・徹底も必要
脱VPNやゼロトラストへの関心が高まる一方で、移行後も継続的なセキュリティ運用が不可欠
VPNの使用状況
VPNセキュリティ対策の未完了率
※NRI Secure Insight 2025 資料 P13 抜粋
POINT
当局によるPPAP見直しの呼びかけを背景に、金融業界で脱PPAPの動きが広がる
脱PPAPが進む見込みのため、PPAPの禁止や安全な実現手段への転換が求められる
PPAPの利用状況
※NRI Secure Insight 2025 資料 P12 より抜粋
PPAPとは?P : Password付きzipファイルの送付
P : Passwordの送付
A : An号化 (暗号化)
P : Protocol
多くの日本企業で長く使われてきたが、近年は以下のようなデメリットから、利用が推奨されていない
・ファイルとパスワードを同じ経路で送るため、セキュリティが担保できない
・メール受信時にセキュリティ製品によるスキャンをすり抜ける可能性がある
・取引先がPPAPを受信拒否する可能性がある
POINT
1位の「ランサム攻撃による被害」は、大きなランサム事故が多数メディアに取り上げられたこともあり、約8割の企業が警戒している
2位の「内部不正による情報漏えい等」は顕在化しにくいが、企業の警戒感が高い
7位の「サプライチェーンや委託先を狙った攻撃」は、企業規模に比例して警戒度合いが増えている
IPA10大脅威2025で企業が警戒している項目
n=1,263
※NRI Secure Insight 2025 資料 P5 より抜粋
POINT
現在、セキュリティ予算を多くかけている投資分野は「防御」と「検知」
今後3年では、ランサム攻撃激化などの背景から「統治」と「対応」への比重が増加
現在相対的に予算を多くかけている分野/今後3年で予算を増やしたい分野
n=1,263
※NRI Secure Insight 2025 資料 P7 より抜粋
NIST Cybersecurity Framework Version 2.0(CSF 2.0)とは?NIST Cybersecurity Framework Version 2.0(CSF)とは、米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が2024年2月26日に公開したサイバーセキュリティのフレームワークです。2014年4月に初版のNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂となりました。
CSF2.0での主要な改訂ポイントの一つに、「(GV)統治:ガバナンス」機能の追加が挙げられます。「(GV)統治:ガバナンス」における管理策は、サプライチェーン全体を含めたサイバーセキュリティリスクを組織全体の経営リスクの一部として、トップダウンで管理するための重要な活動です。
この活動は、他の機能(特定/防御/検知/対応/復旧)における管理策に対し、組織のミッションや目標・利害関係者役割や期待を踏まえたうえで「どの対策を優先に取り組むべきか」といった意思決定を導く効果が期待されます。
※NIST『The NIST CybersecurityFramework (CSF) 2.0』
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdfを基にNRIセキュアが作成
本調査では、企業自身による自己評価である「主観」と、
外部から見たセキュリティ状況の評価である「客観」の2つの視点から、
1,000社以上の企業のセキュリティ実態を可視化・分析しました。
POINT
日本企業1,194社を対象に、主観評価と客観評価を組み合わせて、セキュリティが良好な企業とそうでない企業の分布を可視化
主観と客観の両方が良好な企業は約16%に留まる
自社の認識と外部から見た評価に差が生じている企業も少なくない
※NRI Secure Insight 2025 資料 P22 より抜粋
POINT
評価結果を4つのグループに分類したところ、業界ごとにセキュリティ評価の差が見られた
金融機関や重要インフラ企業が多く含まれる、セキュリティ評価が良好な企業群では、業界規制の効果が背景にあると推察される
※NRI Secure Insight 2025 資料 P23 より抜粋
セキュリティ対策の成熟には、自社の取り組みを主観的に整理・点検し、
客観評価と照らし合わせて継続的に見直すことが重要である。
・以下の行為はご遠慮ください。
※データの一部または全部を改変すること
※本報告書を販売・出版すること
※出所を明記せずに転載・引用を行うこと
