生成AIの活用状況について尋ねたところ、「利用していない」と回答した企業を除くと、何らかの形で利用している企業は日本で83.2%となり、昨年度調査(65.3%)から大きく上昇しました(図表1)。米国(97.8%)、豪州(97.7%)と比較しても、利用そのものは日本企業にも急速に浸透していることが分かります。
一方で、その活用用途には日・米・豪で明確な差が見られました。「外部APIを活用して、社内業務向けのシステムに生成AIを組み込んでいる」「自社プロダクトやサービスに生成AIを組み込み、顧客に提供している」といった、システム実装やビジネス価値創出を伴う発展的な活用については、日本は米・豪に比べて大幅に低い結果となりました。日本企業ではチャットツールなどの「社内業務利用」が中心であるのに対し、米・豪の企業では「システム実装・顧客提供」へとフェーズが移行しており、今後は日本企業においても活用レベルの高度化が求められると考えられます。
※RAG(Retrieval-Augmented Generation)とは、大規模言語モデルによるテキスト生成に、外部情報の検索を組み合わせることで、回答精度を向上させる技術を指します。
サプライチェーン攻撃に対する懸念から、取引先(委託元)によるセキュリティ評価が厳格化する一方で、評価を受ける側の負担増が深刻化しています。委託元から求められるセキュリティ評価(アンケート回答等)について尋ねたところ、委託を受けていない企業を除く75.4%の企業が何らかの課題を感じていることが分かりました(図表2)。最大の課題は、「委託元ごとに内容やフォーマットが異なり、対応が煩雑になる」(42.8%)ことでした。現場では非効率な業務負荷が増大しており、評価基準の標準化が強く求められています。
こうした中、経済産業省が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度(★の数で対策状況を可視化する制度)」[2]への期待が高まっていますが、日本企業の対応は遅れています。サプライチェーンを構成する取引立場に属し、本制度を「理解している」と回答した企業に限定して準備状況を尋ねたところ、制度の運用開始予定である2027年3月末までに準備が完了すると回答した企業は、23.7%にとどまりました(図表3)。多くの企業で準備が間に合っていない実態が明らかとなり、今後は評価対応の効率化と制度上の認定取得を両立させる取り組みが急務となります。
セキュリティの脅威に対する企業の警戒度合いを調査するため、独立行政法人情報処理推進機構(IPA)が2025年1月30日に公表した「情報セキュリティ10大脅威 2025」[3]の組織編で発表された10の脅威のうち、実際に企業のセキュリティ担当者が警戒している項目について、日本企業に尋ねました。1位は「ランサムウェアによる被害」(80.8%)で、依然として最大の脅威と認識されています(図表4)。
注目すべきは、日本では2位に「内部不正による情報漏えい等」(54.8%)、5位に「不注意による情報漏えい等」(42.4%)がランクインした点です。これはIPAが発表している順位よりも高いランクであり、現場のセキュリティ担当者が、外部からのサイバー攻撃と同様に、あるいはそれ以上に「身内の不正やミス」というコントロールしにくいリスクに対して、強い警戒感を抱いていることが浮き彫りになりました。
昨今、VPN機器の脆弱性を悪用したサイバー攻撃被害が相次ぎ、大手企業を中心に「脱VPN(ゼロトラスト移行)」への関心が高まっています。しかし、実態としてはVPNの使用率は84.2%と昨年度調査(85.3%)から横ばいで推移しており、多くの企業が依然としてVPNを利用し続けていることが分かりました(図表5)。
さらに深刻なのは対策状況です。「最新のパッチ適用」を完了している企業は63.1%にとどまったことから、4割近くの企業は対策が未完了の状態であり、脆弱性を放置している恐れがあります(図表6)。VPN機器の脆弱性を突く攻撃が常態化しているにもかかわらず、基本的なメンテナンスさえ追いついていない状況下で、現場ではVPNの利用を続けているという、極めて危険な状態が浮き彫りになりました。
米国国立標準技術研究所(NIST)が策定した「The NIST Cybersecurity Framework(CSF)2.0」(通称:NIST CSF 2.0)における6つの機能分類を用い、現在と今後3年間それぞれの予算配分の意向を調査しました。現在、日本企業が予算を多く投じているのは「検知」(60.0%)と「防御」(56.7%)であり、従来の境界防御や監視にリソースが集中しています(図表7)。
一方、今後3年間で予算を増やしたい分野で伸び幅が大きかったのは、「対応」(37.1%)と「統治」(20.9%)でした。攻撃を完全に防ぐことは困難という前提に立ち、インシデント発生時の被害抑止や復旧力(レジリエンス[4])を高めようとする意向が見て取れます。また、「統治」への関心の高まりは、サイバーセキュリティを技術論だけでなく、経営課題として組織横断的に取り組む姿勢への変化を示唆していると考えられます。
今回の調査では、日本企業の生成AI利用率が米・豪の水準に迫る一方で、高度なシステム実装においては遅れをとっている実態が明らかになりました。また、ランサムウェアに加え、内部不正や不注意による漏えいが警戒対象の上位に入り、技術対策だけでなく統制・教育の重要性が再認識されています。
こうした環境変化や脅威の高度化を踏まえ、予算配分は「予防・検知」重視から、有事の「対応・復旧」および全体を監督する「統治」へシフトする見込みです。
「企業におけるサイバーセキュリティ実態調査2025」の詳細なレポートは、次のWebサイトから入手できます。
https://www.nri-secure.co.jp/download/insight2025-report
NRIセキュアは、今回の調査結果を踏まえ、今後も企業・組織の情報セキュリティ対策を支援し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[1]2024年度調査までは、「企業における情報セキュリティ実態調査」という名称で実施してきましたが、今回から調査名称を「企業におけるサイバーセキュリティ実態調査」に改めました。
[2] 詳細は経済産業省の次のWebサイトをご参照ください。https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
[3] 情報セキュリティ10大脅威:前年に発生し社会的に影響が大きかったと考えられる情報セキュリティの事案から、IPAが候補を選定し、情報セキュリティ分野の専門家が審議・投票で決定した、10項目からなる脅威の一覧です。組織編と個人編があり、情報セキュリティ業界では毎年注目されています。詳細は、IPAの次のWebサイトをご参照ください。
https://www.ipa.go.jp/security/10threats/10threats2025.html
[4] サイバーレジリエンス:サイバー攻撃に対する組織の対応力と回復力を指し、有事の際にもビジネスの継続性を維持して被害の影響を最小限に抑える能力を指します。
|
調査名 |
「企業におけるサイバーセキュリティ実態調査2025」 |
|
調査目的 |
日本、アメリカ、オーストラリアの企業におけるサイバーセキュリティに対する取り組みを明らかにするとともに、企業の情報システムおよび情報セキュリティ関連業務に携わる方に、有益な参考情報を提供する。 |
|
調査時期 |
|
|
調査方法 |
Webによるアンケート |
|
回答企業数と |
|
※単一回答のパーセンテージについては、小数点以下の値の切り上げ・切り捨てにより、各選択肢の回答割合の合計値が100%にならない場合があります。
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp