EnterpriseZineニュース

企業の88％がセキュリティ製品集約を志向──東洋紡CDOが実践「社長の判断は待たない」有事の復旧体制

2026/04/21 10:00

通知

　パロアルトネットワークスは4月17日、日本の民間企業・公共機関におけるサイバーセキュリティへの投資意向やセキュリティソリューションの導入意欲に関する調査「State of Cybersecurity 2026 - 国内民間企業・公共機関のサイバーセキュリティ施策と投資動向」の結果を公表した。

　同日に行われた報道機関向け説明会では、同社チーフサイバーセキュリティストラテジストの染谷征良氏が調査結果の詳細を説明した。

パロアルトネットワークス株式会社チーフサイバーセキュリティストラテジスト染谷征良氏

　調査結果によると、2025年に何らかのセキュリティインシデントを経験した組織は全体の66％であり、内訳を見ると民間企業では68％、公共機関では54％という現状を示した。また業種別では、製造業が71％と最も高い発生率となっている。

　サイバー攻撃被害の内容については、被害を経験した組織のうち、45％が身代金要求型（ランサムウェア）であったという。身代金要求被害は全体平均で見ると25％に達しており、特に製造業では被害組織の61％が身代金要求を受けている実態が明らかになった。

　同氏は「ランサムウェア被害の平均的なビジネスインパクトは、経営層にとって看過できない水準にある」として、以下3つのポイントを示し警鐘を鳴らす。

事業停滞の長期化：インシデント全体の平均停滞期間が44日間であるのに対し、ランサムウェアの被害に遭った組織では54日間に長期化
経済的損失の増大：ランサムウェア被害による経済的影響額は平均6.4億円に上り、それ以外のケースと比較すると約2.2倍の損失となっている
サプライチェーンへの波及：95％の企業がセキュリティインシデントに起因する事業継続や組織運営への影響を経験。なかでも、46％は生産活動・サービス提供の停滞を経験している

　身代金要求への対応方針については、「支払わない方針」を掲げる組織は全体で44％だが、実際に身代金要求被害を経験した組織では「支払わざるを得ない」または「状況次第でわからない」との回答が65％を占めている。染谷氏は「被害に遭ってからでは正常な判断が困難になる」と述べ、平時からの意思決定プロセス整備の重要性を説いた。

　また染谷氏は、ランサムウェア被害への技術的対策における課題として、アイデンティティセキュリティの強化やアタックサーフェスマネジメントの実施、重要リソースのセグメント化といった「被害の局所化に有効な対策」の実施率が依然として5割を下回っている現状を課題として指摘。一方で、組織的（非技術的）な課題には「実効性の欠如」を挙げる。BCP整備やインシデント対応演習、インシデント対応支援サービスの契約内容の確認などが不足していることを指摘し、「迅速な対応と復旧に向けた体制整備への投資が欠かせない」と強調した。

　セキュリティの投資動向については、国内組織のセキュリティ投資は平均してIT投資全体の15％を占める結果が示された。染谷氏はこれに対し、「近年、DX予算などに見られるように、IT予算はビジネスメリットを生み出すものと位置付けられる一方で、セキュリティ予算はリスクを回避する“マイナスを排除するためのもの”。この目的や効果の異なる投資を、同じ予算枠内で検討する現状に改善の余地があると考えている」と見解を述べた。

　そこで同社が提唱するのが、ベンダー製品の集約（プラットフォーム化）だ。説明会では、パロアルトネットワークスのユーザー企業として東洋紡のCDO TX・業務革新総括部長である矢吹哲朗氏がゲスト登壇し、同社がプラットフォーム化に舵を切った背景と戦略が語られた。

　矢吹氏は、過去に東洋紡がランサムウェア系の障害を受け、基幹システムが一部止まった経験があることを明かした上で、それまで実施してきた後追いの対策からの脱却プロセスを説明した。

　矢吹氏が入社する以前の同社では、20を超えるツールが導入され、運用が複雑化していたという。これに対し矢吹氏は「整合性を取るだけで膨大な時間とコストがかかる。脅威が常に変わるなか、一つひとつパッチを当てるようなやり方では間に合わないと判断し、シンプルなプラットフォーム化への思想転換を図った」と述べた。

　経営層の関与と権限について、同氏は「セキュリティは弱いところから入ってくるため、グループ全体で抑える必要がある」ことを強調する。現在、東洋紡では社長直轄の組織として、インシデント発生時には社長の判断を待たずにシステムを遮断・隔離できる明確な権限をポリシーとして確立しているとした。

　同社がベンダー集約を進める理由は、運用コストの最適化とAIによる自動化にあるという。矢吹氏は、人件費を含めた運用コストを考慮した際、AIで自動化することによる抑制効果との差分で、トータルでのコストメリットが出るロジックを用いて経営に説明していると述べた。

　染谷氏は矢吹氏のコメントを受け、調査結果でも88％の組織がベンダー製品の集約・統合を志向しており、期待されるコスト削減効果は平均20％に上るというデータを示した。矢吹氏はこれに対し「我々は、ベンダーを単に“道具を売る側”ではなく、中長期的なトレンドを共有してリクエストを出していく“パートナー”として位置づけている」と述べた。

　調査結果によれば、ベンダー集約を進める上での最大の懸念は、「既存ツールごとに異なる契約満了時期」が48％、「既存環境からの移行に伴う工数」が43％といった実務的な課題であったことが示された。一方で、特定のベンダーによる囲い込みは19％、単一障害点の発生は25％となっており、これらに対する懸念は相対的に低い結果となった。