{{item.title}}
{{item.text}}
{{item.text}}
経営の価値創造がサイバー空間を前提に進む中、AIはサイバーリスクの構造そのものを変えつつあります。本稿では日本電気株式会社の特別顧問を務める遠藤信博氏をお迎えし、経営者がなぜサイバーセキュリティを最優先課題として捉えるべきなのかを起点に、AI時代に求められる防御のあり方、CISOの役割、そして最終判断を担う人材育成のあり方について伺いました。(本文敬称略)
登壇者
日本電気株式会社
特別顧問
遠藤 信博 氏
PwC Japanグループ
サイバーセキュリティ&デジタルオペレーショナルレジリエンス リーダー
PwCコンサルティング合同会社
上席執行役員 パートナー
林 和洋
※ 本稿は「Digital Trust Forum 2026」のスペシャルセッション「経営が向き合うAI時代のサイバーセキュリティ対応」を基に、内容を編集・再構成したものです。
左から、林 和洋、遠藤 信博 氏
林:
遠藤さんは経団連(日本経済団体連合会)でサイバーセキュリティ委員会の委員長を務めています。経団連でもこの領域への取り組みを強化していると伺っていますが、なぜ今、経営者はサイバーセキュリティを重要課題として捉える必要があるのでしょうか。
遠藤:
経営者がサイバーセキュリティに注力すべき最大の理由は、ICTの進化が事業の価値創造を支える基盤になっているからです。
コンピューティングの処理能力は、1995年にデジタル携帯電話が登場した時代と比較して、約1,000万倍に向上しました。当時1年かかっていた処理が、今は3秒で完了します。こうした圧倒的な処理能力の向上により、リアルタイム性が飛躍的に高まりました。さらに、ICTが本来持つ「場所の制約を超えて情報やシステムにアクセスできる」という遠隔性と組み合わさり、場所や時間に制約されずにデータ活用が可能になりました。
その結果、デジタルトランスフォーメーション(DX)が一気に進み、企業は場所や組織の境界を越えてサイバー空間を前提に価値を創出するようになっています。パンデミックの際にもこうした特性によって従来にない形で事業を継続し、新たな価値を生み出すことができました。
林:
ICTが価値創造の基盤になったことで、サイバー攻撃の影響も従来とは次元が変わってきたわけですね。
遠藤:
おっしゃるとおりです。企業はサイバー空間を前提に価値を創造していますから、ひとたび攻撃を受ければ事業継続そのものが危ぶまれます。さらに見逃せないのは、ICTの進化によってサイバー空間と物理空間の距離が急速に縮まっていることです。サイバー空間への攻撃が、物理空間にそのまま波及する時代になっています。
その結果、事業継続が脅かされるだけでなく、物理的な被害によってお客さまにご迷惑をおかけし、レピュテーションリスクにも直結します。サイバー攻撃の影響は一部門の問題ではなく、企業経営全体に及ぶのです。だからこそ経営者には、インシデントの予防と発生時の迅速な復旧、その両面に投資する姿勢が求められています。
日本電気株式会社 特別顧問 遠藤 信博 氏
林:
ICTの進化が事業の根幹を支えるようになった一方で、近年はAIの進化がさらに大きな変化をもたらしています。生成AIの登場によって、サイバーリスク管理のあり方はどのように変化したとお考えですか。
遠藤:
AIの登場によって、サイバーセキュリティで守るべき対象は大きく変わりました。従来はネットワークを中心に守ればよかったのですが、現在は「データそのもの」を守らなければならない時代になっています。
変化の背景には、サイバー攻撃自体が高度化していることがあります。攻撃側もAIを活用するようになり、防御側は従来の延長線上の対策だけでは対応しきれなくなっています。
さらに留意しなければならないのは、処理能力の飛躍的な向上とAIの進化によって、企業が生データを直接活用し、高度な意思決定やサービス提供を行うようになったことです。
これまで企業は、集計・整理された「情報」を基に、部門や業務ごとの部分最適を図ることが中心でした。しかし現在は、生データを横断的に分析し、業務領域をまたいだ全体最適のソリューションを提供できる時代になっています。
一方で、これはリスクの構造も変えることになります。データに誤りや改ざんがあれば、価値創造の結果そのものが歪んでしまうためです。ネットワークを守るだけでは、こうしたリスクには対応できません。偽データが混入しただけでも、意思決定やサービスに重大な影響を及ぼしかねません。したがって、AI時代のサイバーセキュリティは、AIそのものだけでなく、「データをいかに守るか」という観点から見直す必要があると考えています。
林:
守るべき対象がデータへ広がる一方で、最近では取引先のサイバーインシデントが自社のビジネスに直接波及するケースも目立っています。経営者は自社だけでなく、サプライチェーン全体を視野に入れた防御を考える必要があるのでしょうか。
遠藤:
サイバー攻撃には昔から変わらない原則があります。それは「攻撃者は必ず一番脆弱な場所を狙う」ということです。
現在は、企業がサプライチェーンやバリューチェーンを通じて高度につながり、その中で価値を創出しています。そのため、つながりのどこか一カ所に脆弱性があれば、自社の防御がいかに堅固でも、そこを突破口として被害が波及します。
ですから経営者には、自社のサプライチェーン・バリューチェーン全体の構造を正確に把握し、その全域をカバーする防御の仕組みを設計することが求められます。自社の中だけを守る発想では、もはや事業を守りきれない時代になっているのです。
林:
こうした環境変化の中で、経営者はCISOにどのような役割を期待しているのでしょうか。遠藤さんご自身はどのようにお考えですか。
遠藤:
CISOは単なる技術責任者ではなく、経営と同等の視点でサイバーリスクに向き合う存在だと考えています。もちろん、サイバー攻撃への対策を統率することは、従来から変わらない重要な役割です。しかしAI時代においては、それだけでは十分ではありません。
例えば、自社のどこに弱点があるのかを予測し、どのような対策や投資が必要なのかを経営層と議論しながら、先回りして備えを設計していく必要があります。経営層を動かせなければ、十分な防御は実現できません。
さらに現在は、防御の対象そのものも変化しています。先述したように、防御の対象はネットワークからデータへと拡大しています。従来型のサイバー攻撃対策に加え、データの改ざんやなりすまし対策まで含めて考える必要があります。
林:
「データを守る」という観点では、量子コンピューターの実用化を見据えた耐量子計算機暗号(PQC)への移行も避けて通れない領域ですね。
遠藤:
そのとおりです。量子コンピューターの実用化が視野に入り、現在使われている暗号が将来的に解読されるリスクが現実味を帯びています。そのため、今保有しているデータや暗号基盤を、量子コンピューターによる暗号解読リスクに対応した暗号方式へ順次移行していかなければなりません。
政府もこの問題への対応を進めていますが、まずは政府データや基盤システムの移行に注力している段階です。企業側も最新の方針や移行スケジュールを踏まえながら、自社のデータやシステムをどのように移行していくかを計画する必要があります。
暗号方式の入れ替えは、自社システムだけでなく、取引先とのやり取りや過去に蓄積したデータ全てに影響する大規模な作業です。ですから、思い立ってすぐにできるものではありません。3年から5年単位の中長期計画を、今のうちから描いておく必要があります。これはCISOがリードすべき経営課題の一つです。
林:
つまりCISOには量子暗号のようなテクニカルな知見やリスク管理の専門性に加え、経営層との継続的なコミュニケーションや、将来のリスクを見据えた判断力も求められるわけですね。
遠藤:
はい。中でも私が重要だと考えているのは、「情報を素早く掴む力」です。サイバー攻撃は先回りして対策を打てれば被害を最小化できますが、後手に回れば致命的な影響につながりかねません。そして、その先回りの鍵を握るのがコミュニケーションです。
例えば、他社・組織のCISO同士で脅威情報を共有することも重要です。また、サプライチェーンを構成する取引先の経営層と対話し、全体としての備えを高めていくことも必要です。さらに、自社内でもトップ層や各事業部門と議論を重ね、「何を守るべきか」「何を優先すべきか」という認識を共有していかなければなりません。
こうしたコミュニケーションは、守りを固めるためだけのものではありません。事業部門との対話を通じて、CISOはリスクを抑えながら事業成長を支える役割も担うことになります。そして、そうした役割を担える人材をどう育てていくか。これも今後ますます重要になっていくと思います。
PwC Japanグループ サイバーセキュリティ&デジタルオペレーショナルレジリエンス リーダー PwCコンサルティング合同会社 上席執行役員 パートナー 林 和洋
林:
人材育成の点について、もう少し深掘りさせてください。AI時代において、なぜ人材が重要になるのでしょうか。
遠藤:
AIがどれほど進化しても、サイバー攻撃を受けた際の最終的な判断は、人間が下すべきだと考えています。技術的な観点だけでなく、事業影響や社会的責任も踏まえて総合的に判断できるのは、今もこの先も人間だからです。AIは判断を支援することはできますが、責任を負うことはできません。だからこそ、サイバー空間を扱う人材を、責任ある意思決定を担える存在として育てることが重要になるのです。
人材育成にあたっては、単に技術力を高めるだけではなく、コミュニケーションを通じて視野を広げ、多様な立場で判断できる力を養う必要があります。
例えば、海外の専門家と議論する場に出ることも有益ですし、政府関係者との対話を通じて、早い段階で情報を得られるネットワークを構築することも欠かせません。そうした経験を通じて、人材は育っていくのだと思います。
林:
なるほど。CISOにはテクニカルな専門性だけでなく、経営と対話しながら、最終的な判断を担う力も求められるということですね。
遠藤:
はい。これからのCISOには、技術、経営、コミュニケーション、この三つをつなぐ役割がますます求められていくと考えています。
林:
本日のお話を通じて、AI時代のサイバーセキュリティが経営そのものの課題であり、それを担うCISOの役割が技術領域を超えて大きく広がっていることを改めて実感しました。ありがとうございました。
{{item.text}}
{{item.text}}