【タニウム調査】サイバーBCPの実装完了は「2割の壁」、国内675社のセキュリティ対応の実態が明らかに

　エンドポイント管理セキュリティ製品を提供するタニウムは2026年4月28日、国内企業675社のIT管理者・担当者を対象に実施した「国内におけるサイバーインシデントと事業継続性の実態調査レポート」を発表、同社シニアマーケティングマネージャーの村井新太郎氏が記者に対しての説明を行った。BCP（事業継続計画）・IT資産の可視化・自動化と統合という3つの領域すべてで「実装完了」が2割台前半にとどまるという、共通した課題が浮き彫りになった。

　タニウムが今回の調査で焦点を当てたのは、サイバー脅威と既存のBCPとのあいだに生まれているギャップだ。従来のBCPは地震・水害といった自然災害を前提に設計されており、復旧期間も数日から数週間単位を想定している。しかしサイバー攻撃は常時発生し、数分から数時間での対応が求められる。発生タイミングも影響範囲も、従来の災害とは根本的に異なる。

　調査はWebアンケート方式で、従業員1,000名以上の企業を対象に2026年1月19日〜31日に実施した。製造業が32％と最多で、サービス21％、流通・小売・商社12％、公務員・公共サービス10％、金融業9％など主要7業種をカバーした有効回答数は675社。

　調査全体を通じて際立ったのが、「2割の壁」と呼べる共通構造だった。BCP・可視化・自動化と統合の3領域すべてで、実装完了は2割台前半に集中している。残り8割は「想定」「進行中」「警戒のみ」という状態にとどまっており、経営も技術も同じ壁に止まっているという実態が示された。

　BCPに関しては、インシデント発生時のIT部門の「判断境界」が文書化されていない企業が8割近くに達し、経営者に対してインシデントの影響を業務の言葉で報告できる体制が整っている企業も2割に満たない。経営陣の関与不足と技術情報を経営言語に翻訳する力の欠如が重なり、有事における迅速な意思決定を構造的に阻んでいる。「システムが止まっても業務には影響しないだろうと経営側は思っていても、実際には業務が1時間止まるといった状況が起きる。その齟齬をあらかじめ解消しておかなければならないが、ほとんどの企業はできていない」と村井氏は語る。

　RTO（Recovery Time Objective：復旧目標時間）を経営層と合意できている企業も、達成可能性を技術的に検証済みの企業も、いずれも2割台にとどまる。つまり8割の企業が、経営合意も技術的裏付けもないまま有事を迎える構造に置かれている。初動フローや訓練の整備状況も同様で、実際に動ける状態にある企業は2割強にすぎない。「計画は策定した瞬間に完結した文書になってしまっており、手順の即時参照も担当者の習熟も担保されていない」と村井氏は指摘した。

　IT資産の可視化においても実態は厳しい。全デバイスをリアルタイムで監視・把握できている企業は2割に満たず、管理外資産（シャドーIT）に何らかのリスク懸念を持つ企業は7割を超える。にもかかわらず、復旧後の正常性をツールで客観的に確認できている企業は4割に満たず、残りは人の判断やチェックリストに依存したままだ。「チェックリストで確認しているといっても、バックドアまで含めてすべての穴を確認しきれるかは疑問で、穴が残ったまま復旧させてしまう可能性がある」と村井氏は述べた。懸念は広く持ちながら、客観的な確認手段が追いついていない──この乖離が侵入経路と再感染経路の常設化につながると村井氏は指摘する。

　自動化と統合プラットフォームの浸透状況も同様の傾向を示している。インシデント対応を全面自動化している企業、ツールを統合して一元管理できている企業は、いずれも2割前後にとどまる。セキュリティへの投資をKPIとして管理している企業（36.9％）よりも、コストとして認識している企業（44.7％）のほうが多い状態が続いており、投資判断の段階から防御側が後手に回る構造が生まれている。攻撃側の自動化スピードに防御側の人手運用が追いついていない実態がある。

　業種別に見ると、日本企業は4つの型に分かれた。製造業は「KPI駆動・実装追随型」で、投資のKPI管理や自動化の戦略的推進は全業種トップながら、現場のデバイス把握は2割に満たない。「やっていない」のではなく「やりきれていない」状態であり、KPIを投資額から現場の把握度へ切り替える段階にある。「IT資産が見えている」と回答した製造業企業でも8割超がシャドーITへの不安を感じており、「見えている」と「管理できている」のあいだには依然として大きなギャップが残る。

　金融業は「実行先進・統合ラグ型」で、訓練の実施率や初動フローの整備率など実行指標は全業種最高水準を示す。しかし規制対応で個別ツールを積み上げてきた結果、ツールは分散したままで統合プラットフォームによる一元管理は2割台にとどまる。「スレットハンティングにはA社、端末管理にはB社という具合に個別最適でツールを入れてきた結果、情報が分散して横断的な管理ができていない。次のフェーズは統合が必要」と村井氏は説明した。

　流通・小売・商社は「投資意識で二層分化型」で、業種全体の平均は最低水準ながら、セキュリティを「投資」と捉える層と「コスト」と捉える層のあいだで対策レベルの差が際立つ。同じ業種のなかで経営の見方が違うだけでこれほどの差が生じており、「遅れているのは業種ではなく、経営の見方だ」と村井氏は語る。公務員・公共サービスは「検討滞留型」で関心は高いが、セキュリティ投資の捉え方が「わからない」という回答が全業種最高で、判断の物差しが定まらないまま実行フェーズに移れない状態が続いている。

　今回の調査を踏まえてタニウムは「3段連鎖」によるサイバーレジリエンスを提言した。経営の認知（第1段）→環境の可視化（第2段）→テクノロジー活用（第3段）という考え方だ。具体的には、経営がコミットするRTOの設定と判断境界の文書化、全IT資産・脆弱性・インシデント影響範囲のリアルタイム可視化によるサイバーハイジーンの徹底、そして自動化×統合プラットフォームによる自律型ITへの移行を柱として挙げた。

　「セキュリティはコストではなく、事業継続への事前投資として捉え直す必要がある。災害前提のBCPからサイバーインシデントを想定したサイバーBCPへの転換が、事業継続の必須条件だ」と村井氏は訴えた。

　調査レポートの全文はタニウムの公式サイトで公開されている。