今後は“認知的脆弱性”を突いたサイバー攻撃が激化、我々のすべき対策は？2030年に向けた6つの変化

「サイバーセキュリティ」と「安全保障」は一体の存在に

　野村総合研究所（NRI）は、2005年から毎年、最新のIT動向を解説する『ITロードマップ』を発行している。その中でNRIセキュアテクノロジーズは、2017年版からセキュリティ技術の最新動向を担当。2025年版では「セキュアな未来の創造」をテーマに、2030年の日本社会におけるセキュリティランドスケープなどを取り上げた。

　木村氏によると、今回のセキュリティロードマップでは、2030年に向けた変化を「政治（Politics）」「経済（Economy）」「社会（Society）」「技術（Technology）」の4つのカテゴリーで分類し、それぞれの観点からセキュリティに関連する事象を調査しているという。この分析から導き出された以下6つの変化は、組織のセキュリティ対策において重要な指針となる。

　第1の変化は「セキュリティ対策に関する透明性向上を求める声がより盛んに」というものだ。サプライチェーンでのインシデント増加やセキュア・バイ・デザインの意識の高まりから、組織のセキュリティ対策の有効性を社会に示す風潮が強まっている。

　国内では、経済産業省とIPAが「セキュリティ対策評価制度」の構築を進めており、特にIoT製品に関しては、2025年3月に運用が始まっている^[1]。この制度では、組織のセキュリティ対策レベルを三つ星から五つ星までの3段階で評価する仕組みが検討されているという^[2]。

　この変化にともない、組織は利用環境に則したセキュリティ水準を有する製品の選定が必要となる。また、自組織から委託先への発注の際にも一定以上のセキュリティ水準を有する組織を選定する社会的責任が生じる可能性がある。対応策として、サプライチェーンの範囲が広範な場合は事業リスクを踏まえた優先順位付けを行い段階的に対応することや、IPAが提供する情報セキュリティベンチマークなどのツールを活用することも有効だという。

　第2の変化は「海外だけでなく国内においてもサイバーセキュリティと安全保障が融合」というもの。国際情勢の激化の影響もあり、海外ではすでにサイバーセキュリティと安全保障を一体として捉える見方が主流になりつつある。

　「日本でも、経済安全保障推進法やセキュリティクリアランス制度、能動的サイバー防御の検討などをきっかけに、このような見方が進展しました。内閣サイバーセキュリティセンター（NISC）も機能を強化しています」（木村氏）

　実際に、日本政府のサイバーセキュリティ関連予算は2021年度の814.9億円から2024年度には2128.6億円と大幅に増加しており、NISCの予算も2025年度は前年度56億円の2倍以上の114.7億円が要求されている。さらに2025年には、「国家サイバー統括室」の新設も予定されている。

　木村氏によれば、サイバー安全保障の取り組みとして、官民連携の具体的施策については「官民双方向の情報共有の促進」「一定の条件下での通信情報の利用検討」「被害防止を目的としたアクセス・無害化を行う権限の検討」などが進められているとのことだ。

　この変化に対応するためには、各業界内での情報共有・連携の取り組み推進を図る組織（業界別のISACなど）への能動的な参画や、外部の専門家との協働によって、実用的な脅威インテリジェンスを自社内に蓄積・活用することが重要だ。また、被害発生時の情報共有のあり方について、経営層を含めて認識を合わせることも必要となる。

　木村氏は、「セキュリティクリアランス取得には相応のコストがかかるため、自社にとってのメリットを十分に検討した上で官民連携施策に参画することが望ましい」とアドバイスした。