英国防衛企業のCISOが語るサイバー安全保障の最前線：日本企業は地政学・AI・規制のリスクに備えよ

近年、地政学リスクの高まりを背景にサイバー脅威が増大し、安全保障上の大きな懸念となっています。また、AI（人工知能）のビジネス活用の急速な拡大やデジタル規制への対応も、企業にとって喫緊の課題です。本セッションでは、サイバー安全保障、AI、デジタル規制という3つの観点から見た複合的なリスクについて、PwCコンサルティング合同会社の上席執行役員パートナーである林 和洋が、英国の防衛企業BAEシステムズ社でGlobal CISO（グローバル最高情報セキュリティ責任者）を務めるメアリー・ヘイグ氏と議論を交わしました。

登壇者

BAE Systems plc.
Global CISO（Chief Information Security Officer）
メアリー・ヘイグ氏

PwC Japanグループ
サイバーセキュリティ&デジタルオペレーショナルレジリエンス リーダーPwCコンサルティング合同会社
上席執行役員 パートナー
林 和洋

企業が直面するサイバー・地政学リスクの複合化

林：
最初に地政学リスクの現状を紹介します。PwCでは毎年、ビジネスに影響を及ぼす重大な地政学リスクを分析した「地政学リスク展望」を発行しており、2024年版では「サイバー認知戦の激化」を重要リスクとして取り上げています。

今回の調査で特に注目したいのが、「サイバーセキュリティと地政学リスク」の関係性です。企業のリスク実態調査では、ロシア・中国・北朝鮮によるサイバー攻撃やサイバーテロが、3年連続でトップリスクとして挙げられました。これは日本の経営層が、サイバーリスクを地政学的脅威とみなしていることの表れです。

「最も懸念される地政学リスク」はサイバー脅威「サイバーアタック／サイバーテロ」が3年連続で首位に

ヘイグさんに伺います。現在の地政学リスクや関連するサイバー動向を、どのように捉えていますか。

ヘイグ氏：
国際機関間の協定を通じて築かれてきたルールに基づく国際秩序は、安全保障、貿易、保健、金融など多くの分野で協力を促し、約80年にわたり世界の安定と繁栄を支えてきました。しかし現在、この秩序は試練に直面しています。民主主義の衰退や権威主義の台頭に加え、気候変動、先端技術の急速な進展、パンデミックの後遺症といった新たな課題が、地政学的な激変によって一層深刻化しています。一部の大国が孤立主義に傾き支援を縮小する中、世界の多極化が進み、地域的勢力圏の分断と価値観の対立が顕著になっています。

軍事・経済面での強硬姿勢が目立つ一方、外交や文化交流によるソフトパワーの重要性も依然として高まっています。たとえば、「AUKUS（Australia-UK-US：豪・英・米による安全保障協定）」はその好例です。

AUKUSには2つの柱があり、第1の柱（Pillar I）では、原子力潜水艦の共同開発・配備を通じて、インド太平洋地域での海洋安全保障を強化する取り組みが進められています。一方、第2の柱（Pillar II）では、サイバーセキュリティやAI（人工知能）、量子技術などの先端分野において、3カ国が協力し合うことで結束を高める枠組みが構築されています。

また、GCAP（Global Combat Air Programme：グローバル戦闘航空プログラム）は、次世代戦闘機の共同開発を通じて、防衛能力と産業基盤の強化を図り、この地域の安定に寄与しています。

一方で、一部主要国におけるウクライナ支援への姿勢が揺らぐ中、その影響が他の地域にも波及しかねないとの懸念が強まっています。さらに、関税障壁の導入や物流の混乱が続けば、半導体不足に象徴されるようなサプライチェーンの脆弱性が再び表面化し、世界経済の不安定化を招くおそれがあります。

こうした不安定要因は、欧米諸国を含む広範な地域において政治的な分極化を引き起こし、技術・サイバー領域での被害拡大にもつながる可能性があります。フェイクニュースの拡散や国家と犯罪組織の境界が曖昧になる現象も、深刻な懸念材料となっています。

民主主義諸国間の安全保障協力に亀裂が生じれば、権威主義国家間の連携が新たな脅威となるリスクもあります。これに対抗するには、QUAD（Quadrilateral Security Dialogue：日米豪印戦略対話）のような多国間・多層的な協力体制の強化が不可欠です。標準や保証手法の整合性を図るとともに、政府・学術・産業界が連携し、責任あるサイバー権威を確立することが求められます。

具体的には、インシデントに関する責任ある報告体制の整備、リスク共有の透明性確保、そしてサイバーセキュリティを経営課題として明確に位置付けることが重要です。「NIST 800シリーズ」^（※1）のような国際標準に基づいた対策の実施、脆弱性の積極的な評価と修復への投資を通じて、サイバーレジリエンスの強化を急ぐべきでしょう。

セキュリティクリアランスは「制度」ではなく「文化」GCAPを支える人と制度のあり方とは

林：
次に日本でも導入が予定されているセキュリティクリアランス（適格性評価）制度について伺います。

2022年5月に成立した経済安全保障推進法では、4つの新たな制度が導入されました。特に基幹インフラに関わる民間企業には、サプライチェーン全体を見据えたリスクの可視化と対応策の強化が求められています。加えて、経済安全保障の取り組みの一環として、政府は別途、セキュリティクリアランス制度の創設を進めており、2025年5月の法制化を目指しています。

日本経済安全保障推進法の概要

2022年5月に成立した「経済安全保障推進法」では、4つの制度が新たに創生されている。

同制度は政府が指定する重要な安全保障情報に対し、所定の認証を受けた民間企業や個人もアクセスできるようにする仕組みです。協業の円滑化や新たなビジネス機会の創出が期待される一方で、導入に伴うコストやプライバシーへの懸念、人事・労務面での対応といった課題も指摘されています。

英国では、BAEシステムズをはじめ、さまざまなセキュリティクリアランス制度が運用されていると聞きます。実際の運用状況や導入に際して直面した課題、それに対する対応策について教えていただけますか。

ヘイグ氏：
英国でセキュリティクリアランス制度が整備された背景には、重大な情報漏えいインシデントの存在があります。これらの事件は、国籍や社会的地位といった表層的な属性が、必ずしも忠誠心の担保にはならないことを明確に示しました。

クリアランス制度における身元調査（vetting）は、単なる採用時の確認にとどまらず、職員の搾取リスクを低減するための継続的な関与プロセスとして位置付けられるべきです。

加えて、現場の管理者への教育やセキュリティ意識の底上げを通じて、このプロセスを組織全体に浸透させることが重要です。また、身元調査は自社で行うのではなく、英国政府が提供する共通の審査システムを利用しています。どのような背景を持つ人でも、セキュリティ関連職務に公平に応募できると感じられることが重要であり、そのためには一貫性のある制度設計が不可欠です。

こうした制度の下、英国では防衛・安全保障関連分野において、産業界・学術界・政府間での人材や専門知識の円滑な移動が実現されています。実際に私たちも、国家安全保障会議（NSC）、NCSC（国家サイバーセキュリティセンター）、国防省（MoD）と密接に連携しています。これは、全員が共通の基準に基づくセキュリティクリアランスを保持しているからこそ可能なのです。

日本では2024年5月に経済安全保障関連法の一部が施行され、機微技術の保全に向けた環境整備が進められています。現在、政府はセキュリティクリアランス制度の導入準備を進めており、G7諸国における運用例を参考に国際的な水準との整合を図ろうとしています。特にGCAPは、こうした制度整備を加速させる契機の一つとなっています。

身元調査は信頼の醸成とリスク管理における出発点です。私たちは変化し続けるセキュリティ環境に対応するため、現場での管理体制や、包括的なチーム文化の醸成を重視しています。職員が不安や懸念を自由に表明できるよう、ヘルプラインなどの支援体制も整えています。どれほど堅牢なネットワークであっても、悪意を持った個人が内部にいれば、脆弱になり得ます。だからこそ、最終的なセキュリティを担保する鍵は人にあるのです。

「敵を知る」ことがサイバー脅威対策の第一歩

林：
続いて具体的なサイバー脅威について伺います。

PwCでは、日本を含むグローバル全体で脅威アクターの調査・分析を行っており、2025年3月時点で398のアクターを識別しています。各アクターが、どの国のどの産業を、どのような手法で狙っているかを把握し、日々のアドバイザリー業務に活用しています。

PwCが追跡する脅威アクター

脅威インテリジェンスの調査・分析を行う専門チームをグローバルおよび日本で組成、運営を実施。世界中で活躍する脅威アクターの特定・分析に加えて、日本独自の観点での分析結果を提供。

例えば国家機関を標的としたサイバー攻撃では、ITサービスプロバイダーに存在するゼロデイ脆弱性を悪用して侵入するケースが見られ、日本も標的とされていると考えなければなりません。

だからこそ、日本企業にとっては“敵を知る”ことが第一歩です。MITRE ATT&CK（攻撃手法を体系化したフレームワーク）を活用し、攻撃手法を構造的に理解することが、自社の対策を見直す上で重要な出発点になります。

BAEシステムズでも、多様なサイバー脅威に直面しているかと思います。実際にどのような脅威があり、どのような対策を講じているのでしょうか。

ヘイグ氏：
さまざまなアクターから、BAEシステムズは意図的かつ反復的なサイバー攻撃を受けています。手口自体はDDoSや盗まれた認証情報の悪用など高度でない場合もありますが、その攻撃は執拗で、特に近年は防衛関連組織が主要な標的となっています。

国家支援型のランサムウェアグループによる活動も確認されており、防衛・航空宇宙分野の企業に対して実際に攻撃を成功させたとみられています。また、敵対者への攻撃手段としてサイバー犯罪ネットワークとの協力を強化している国家の存在も報告されています。

こうした脅威に対し、私たちは一連の対策を講じており、それを継続的に見直し・改善することで攻撃を検知し、未然に阻止できています。既存の対策を洗練させると同時に、進化する脅威や技術環境に対応するための新たな能力の開発にも取り組んでいます。

BAEシステムズでは、「NISTサイバーセキュリティフレームワークに定められた6つの柱、すなわち、「識別（Identify）」「保護（Protect）」「検出（Detect）」「対応（Respond）」「回復（Recover）」「ガバナンス（Governance）」に基づき、防御体制を整えています。

中でも重要なのは、人が脅威に気付き、それを声に出せる文化を育むことです。サイバー攻撃に備えるには、技術的な備えだけでなく、組織全体の感度と行動力が求められています。

AIを取り巻くリスクに対応する、AIポリシーにおける5つの原則

林：
急速に存在感を高めているAI（人工知能）について伺います。日本企業ではAI活用が広がる一方、新たなリスクも生まれています。特に生成AIの登場で、技術的リスクに加え法的・倫理的リスクへの対応が不可欠となり、多くの日本企業がこの複雑化するAIリスクへの備えに課題を感じています。

PwCがOECDデータを基に分析したAI関連インシデントは、2022年以降急激に増加し、物理的被害（事故、損壊、死亡）まで報告されています。生成AIのさらなる普及により、こうしたリスクの拡大が懸念されます。

AIを取り巻くリスク

AIのビジネス活用の急速な拡大に伴って、AI特有の新たなリスクへの対処を迫られている。リスク領域も技術リスク・法律リスク・倫理リスクと広範で、さまざまな組織がそれぞれの専門性を駆使して対応にあたる必要がある。

この点について、BAEシステムズではAIの活用にあたってどのようなリスクに備え、どのようなガバナンスやポリシーを設けているのでしょうか。

ヘイグ氏：
AIは組織やサイバーチームのみならず、攻撃者にとってもゲームチェンジャーとなり得る技術です。私たちは、AIによって製品性能や業務効率が大きく向上することに期待を寄せていますが、同時に誤用によるデータ損失、ブラックボックス化に伴う倫理的課題、そして攻撃者による悪用のリスクについても深く認識しています。

BAEシステムズでは、英国政府の指針や国際的なベストプラクティスと整合するAIポリシーを策定し、全職員にその遵守を義務付けています。その中核には、以下の5つの原則があります。

1.バイアスの回避・危害の軽減・法令遵守

AIの開発と使用に伴うリスクは利用される文脈に即して評価され、適法であることを確保します

2.責任と説明責任

AIはリスクを理解し、適切な人間の監督の下で積極的にリスク軽減を図るユーザーと顧客にのみ提供・使用されます

3.統制可能性

当社が提供・調達する製品やサービスにはユーザーがリスクを軽減できるよう、適切な制御機能を備えています

4.透明性と理解

リスクや軽減策に関する情報とその利用方法について、明確なガイダンスを顧客やユーザーに提供します

5.信頼性

これらの原則はAI対応製品・サービスのライフサイクル全体に適用され、動的な技術開発と組織内での利用を通じて一貫して反映されます

これらの原則の下、AI運営委員会の指導により、試行的な導入や継続的な職員教育を推進し、倫理的かつ責任あるAI活用の文化を組織に根付かせています。

具体的な活用例には、防衛分野での自律システムによる危険業務の代替、労働集約的な業務の効率化、戦闘機のメンテナンス支援におけるAIの活用、データ分析ツールの導入などが挙げられます。

一方、AIの脅威という観点では、国家や犯罪組織による悪用の懸念が高まりつつあります。現時点では、AIが脅威アクターに直接的な攻撃能力を与えている明確な証拠は確認されていませんが、将来的には自動化・適応性・大規模攻撃を可能にするマルウェアの開発が進展すると見られています。

私たちにとって最良の防御は、AI活用において倫理的かつ責任ある姿勢を堅持すること、そしてAIとサイバー防御の両面における専門性を備えたチームと組織体制を整備することです。

世界で急増するデジタル規制、サイバーレジリエンス強化にどのように活かすか

林：
グローバルデジタル規制、特にサイバーセキュリティへの対応について伺います。

PwCの調査では、多くの日本企業がグローバル展開や海外投資を強化する方針を掲げていることが明らかになっています。その中で新たな市場への進出で最も重視しているのは、「現地市場の理解」です。一方で、「海外規制への対応力」への関心も急速に高まっています。特に米国・中国・EUをはじめとする各国のデジタル規制への適応を重視する企業の割合は、数年で11％から32％へと急増しています。

こうした背景には、世界中でデジタル関連の規制が急増している現実があります。2020年には約30件だった国際的なデジタル規制は、2024年には300件を超えました。AI、IoT、プライバシー、そしてサイバーセキュリティといった分野の規制は、日本企業のグローバル展開において、無視できない経営課題となっています。

海外展開する日本企業が対応すべきデジタル法規制の動向

デジタル分析における法令・ガイドラインは、2020年と比較し、10倍以上に増加。グローバル展開する日本企業は、準拠すべき法令・ガイドラインを把握し、組織単位で順守に向けた統制を図る必要がある。

なかでもサイバーセキュリティは、企業のコンプライアンス担当者が最も重視する領域です。ヘイグさんは現在のサイバー規制対応の状況や直面している課題をどのように見ていますか。

ヘイグ氏：
BAEシステムズではサイバーセキュリティ規制や基準を、サイバーレジリエンスの強化に向けた重要な要素と位置付けています。ただし、規制だけに依存するのではなく、投資家が重視しているESG、環境、社会、ガバナンスなどの他の市場インセンティブも、私たちが大きく行動を改善することに非常に効果があると考えています。

規制は有効ですが、サイバー空間は動的であり、リスクや技術も常に変化します。過度に規定的なルールは、技術革新の妨げとなることもあるため、柔軟かつ実効性ある設計が必要です。英国では、NIS指令や国防省の成熟したサイバー契約基準などがありますが、こうした制度も時間とともに複雑化し、他の安全保障制度と完全に整合しきれていない面もあります。

また、グローバルな連携も重要です。国際防衛プロジェクトにおいては、国家間で規制や標準の共通化・相互承認が求められます。違いはコストや時間のロスにつながり、リスク軽減に寄与しないことも多いため、可能な限り同一条件を適用する努力が必要です。

林：
最後に、現在日本企業でセキュリティ対応している方たちにメッセージをお願いします。

ヘイグ氏：
サイバーセキュリティは「チームスポーツ」です。国家間や産官学の連携こそが、最大の防御手段となります。信頼と透明性に基づいた協力が不可欠です。

この課題は、経営層の議題として真正面から取り組むべきものです。CISOへの支援や投資を通じて、組織全体でサイバーリスクとレジリエンスに向き合う体制を築くことが求められます。また、リスク共有やインシデント報告といった情報開示は、相互の学びを促進する重要な手段です。

私たちは現在、DCPP（防衛サイバー防護パートナーシップ）を通じて、防衛分野のCISO同士がインシデントや教訓を共有し、知見を高め合う取り組みを続けています。

全ての組織に、NISTなどのフレームワークに準拠したセキュリティ基準を整備することを推奨します。CISOが経営層と対等に議論し、リスクを正しく報告できる環境を整えることが、真のサイバー防御につながると確信しています。

林：
ありがとうございました。

^※1 NIST 800シリーズ：米国国立標準技術研究所（NIST）が発行する情報セキュリティ対策のガイドライン群