デジタル世界の分断と企業の対応：サイバーセキュリティを例に

世界のサイバーセキュリティを支えてきた「当たり前」は、いま次々と失われつつあります。脆弱性情報を共有する国際基盤は停止の危機に瀕し、国境を越えるデータ移転には厳しい規制が課されています。さらに、国際的な法執行協力は機能不全に陥り、企業が対応すべき法令はこの5年で10倍に急増しました。攻撃者に有利な環境が広がるなか、企業は何を守り、どう備えるべきでしょうか。PwCコンサルティング合同会社 パートナーの村上 純一が解説します。

※本原稿は、2025年10月21日に開催された「GZERO Summit Japan 2025」のサイドイベントとして開催した「CESO ラウンドテーブル（特別回）」で行った講演「デジタル世界の分断と企業の対応：サイバーセキュリティを例に」の内容をもとに再構成したものです。構成上、一部に説明や補足を加えています。
※法人名、役職などは登壇当時のものです。

講演者

PwCコンサルティング合同会社 パートナー
村上 純一

「開かれたインターネット」の終焉、地政学が変えるデジタル世界

現在、世界各国で保護主義や権威主義的な政策が強まり、データや技術の流通が国境ごとに分断されつつあります。

現実の政策動向を見れば、その兆候は明らかです。関税の引き上げ、特定産業への補助金や税制優遇、安全保障を名目とした技術輸出の制限などが、ニュースを賑わせています。半導体やAI、暗号技術といった軍民両用（デュアルユース）領域では規制が急速に強化され、企業の上場や政府調達にも制限が及んでいます。

こうした保護主義的な動きは、確実にデジタルの領域へと波及しています。

その典型が、「データローカライゼーション」です。EU、米国、中国など主要経済圏では、プライバシー保護を掲げた法制度が相次いで整備されました。その結果、データを国外に移転するには厳格な手続きと審査を要するようになり、かつて自由だった情報流通は例外的な運用に変わりつつあります。データの移転コストが上昇し、国や地域ごとの制度差が企業活動の新たな制約となっているのです。

同時に、情報統制の動きも顕在化しています。日本では、インターネットは誰もが利用できる「開かれた空間」と捉えられがちですが、世界では異なります。2025年8月、中国本土では国外とのインターネット接続に大幅な制限が加えられました。ロシアでもウクライナ侵攻以降、政府機関による検閲や通信制限が段階的に強まり、広域で接続障害が頻発しています。

さらにSNSの利用制限は、権威主義国家だけの現象ではありません。先進的な民主主義国家においても、プラットフォーム規制や情報発信の統制をめぐる動きが広がりつつあります。

こうした地政学的な構造変化は、企業のリスク認識を大きく変えています。PwC Japanグループが2025年6月に実施した「企業の地政学リスク対応実態調査 2025」でも、その傾向が明確に示されました。

図表1：企業が懸念する地政学リスクの変化

調査では、企業に「現在、最も懸念する地政学リスクは何か」を尋ねています（図表1）。2024年調査では「ロシア・中国・北朝鮮などによるサイバー攻撃・サイバーテロ」が首位でしたが、2025年調査では順位を下げました。代わって上位を占めたのは、「保護主義的政策」（43％）、「米中対立」（39％）、「第2次トランプ政権の政策運営」（28％）です。企業の関心は、サイバー攻撃そのものから、国家間の対立や政策の不確実性へと明確にシフトしているのです。

サイバーセキュリティ業界を揺るがす4つの構造変化

企業の関心が国家間の対立や政策の不確実性へと移るなか、その影響はサイバーセキュリティの現場にも及んでいます。

では、こうした地政学的な潮流は、セキュリティ業界にどのような変化をもたらしているのでしょうか。ここでは、特に注目すべき4つの構造的な変化を取り上げます。

1つ目は、「デジタル法規制の急増」です。

近年、各国でデジタル関連の法整備が一気に進み、日本企業が対応すべき法令やガイドラインは、わずか5年で約30から300超へと10倍以上に増えました（図表2）。かつては一部の先進国だけが対象だった規制が、今や世界各地で同時多発的に強化されているのです。

図表2：デジタル法規制の進展

特に、AI、サイバーセキュリティ、IoT、プライバシーといった領域での制度化が進んでいます。しかも、これらは単なる指針ではなく、企業に対してセキュリティ対策の実施やサプライチェーン全体のリスク管理、インシデント発生時の報告といった具体的な義務を課すものです。違反すれば高額な制裁金の対象にもなります。つまり、デジタル化が進むほど、企業の法令遵守コストは指数関数的に増大しているのです。

地域別に見ても、この動きは加速しています。EUでは、GDPR（EU一般データ保護規則）に続き「欧州連合におけるサイバーセキュリティの共通水準を高めるための措置に関する指令（NIS2指令）」が施行され、加盟国は国内法整備を迫られています。さらにIoT機器を対象とする「サイバーレジリエンス法」も導入されました。米国では、セキュリティ製品の認証制度が新たに始まり、供給網全体への監視が強化されています。一方、中国では「サイバー三法」が施行され、データの国内保存や自国企業の優遇が制度化されました。

いま企業に求められているのは、複雑化する規制環境を体系的に把握し、自社のどの部門がどの法令に対応すべきかを明確にすることです。そして、法令遵守を「作業」ではなく「リスクマネジメントの一環」として捉え、体制整備と報告プロセスを一体的に設計することが重要です。

2つ目は、「サイバーインフラの分断」です。

これまで世界は、脆弱性情報を共有する統一的な仕組みを持っていました。ソフトウェアに脆弱性が見つかると、その情報は米国の国立標準技術研究所（NIST）に集約され、NVD（National Vulnerability Database）として公開されてきました。世界中の政府機関や企業、セキュリティベンダーは、このデータベースを参照しながら対策を講じてきたのです。20年以上続いたこの仕組みは、事実上のグローバル標準として機能していました。

しかし2024年2月に異変が起きました。NVDの更新が滞り始め、2025年4月には、基盤となる「脆弱性識別プログラム（CVE）」そのものが停止の危機に直面したのです。

背景にあったのが、米国の予算削減です。第2次トランプ政権の行政効率化方針のもとでIT関連機関の予算が削られ、NVDを維持する資金が一時的に承認されなかったのです。最終的には再開されましたが、この危機は「世界が当然と考えていた仕組みが、実は米国の財政と政策判断に依存していた」という現実を突きつけました。

この危機を契機に、各国が動き始めました。米国ではCVEファンデーションという基金の設立が進み、EUは独自のEUVD（欧州脆弱性データベース）の構築を開始。中国はすでに2009年から独自運営を進め、CNNVD（中国国家脆弱性データベース）を整備しています。しかも中国では「国内で発見された脆弱性情報は修正完了まで国外に公表してはならない」という法規制があり、情報は中国国内にとどまり、国外に共有されにくい仕組みになっています。

この分断が象徴するのは、より大きな構造変化です。NVDのような脆弱性データベースは、グローバル経済を支えるサイバー基盤の一部にすぎません。もし今後、米国の政策が変われば、同様の仕組みが停止する可能性もあります。企業はこうした基盤への依存リスクを、真剣に認識しておく必要があるのです。

3つ目は、「国際連携の難しさ」です。

国内で完結するサイバー犯罪であれば、国内法で対応できます。しかし、国境を越えるサイバー攻撃や情報窃取には、国際的な法制度と協力体制が欠かせません。

この課題について、国連では長年議論が続いてきました。2021年にはようやく一定の合意が形成されました。主な内容は次の4点です。

1. 各国は、国連憲章の原則をサイバー空間でも尊重すること。
2. 相互信頼のため、情報共有とインシデント報告を行うこと。
3. サイバー犯罪や越境データ問題に対して、国際協力を強化すること。
4. 国家によるサイバー活動では、他国の主権と国内管轄権を尊重すること。

このうち最初の3点には多くの国が賛同しましたが、問題は4点目です。「主権と国内管轄権の尊重」という表現が、権威主義国家が主張する「サイバー主権」の根拠として使われているのです。これにより、「国家の内部問題」として国際捜査協力を拒むことが可能になってしまいました。

たとえば、ある国がサイバー攻撃を受け、他国に協力を要請したとします。しかし、相手国が「自国は関与していない」「個人の犯罪であり、国家としては介入できない」と主張すれば、調査は進展しません。実際、ランサムウェア攻撃の中には、ロシア周辺地域を含む一部地域を拠点とすると見られるものもあり、国際的な法執行が届きにくい状況です。こうした「協力の壁」が、攻撃者にとって実質的な安全地帯となっているのです。

4つ目は、「国家間でのサイバー戦の進行」です。

保護主義や権威主義が進行すると、ある傾向が生まれます。それは「サイバー活動によって、失われたものを取り戻そうとする誘惑」です。こうした流れを支えている要因は3つあります。

まず、保護主義政策の強化です。データローカリゼーションや輸出・買収規制の拡大により、技術やデータを合法的に取得することが難しくなりました。その結果、非合法な手段に頼る動きが増えています。

次に挙げられるのが、権威主義国家のサイバー能力の高度化です。国内の監視や検閲を進める過程で、情報操作や他国への影響工作を担う専門機関が発展し、国家レベルの攻撃能力が高まっています。

そして最後が、国際協力の停滞です。先述したとおり法制度や主権の壁が協力を難しくし、結果として攻撃が実行しやすい環境を生んでいるのです。

PwCが世界規模で追跡している公開情報等に基づく分析データでも、この傾向が明確に表れています。
2026年4月時点で把握されている脅威アクター（サイバー攻撃グループ）は669にのぼり、それぞれの拠点や標的となる産業を詳細に分析しています（図表3）。

図表3：脅威アクターの現状（PwCの観測状況）

特に注目されるのが中国の動きです。2015年に発表された国家戦略「中国製造2025」では、半導体など戦略産業の強化が明記されました。実際に、中国を拠点とする脅威アクターの攻撃対象を見ると、テクノロジー企業や半導体関連産業が突出して狙われています。

サイバーセキュリティを考えるうえで、攻撃者の動機を理解することは不可欠です。企業は「国家の産業政策や安全保障戦略が、サイバー攻撃の標的選定に影響を与える場合がある」という構造を見逃してはなりません。

企業が取り組むべき4つの実践的戦略

国際協力が難しくなる一方で、攻撃者にとってはより行動しやすい環境が広がっています。こうした状況のなかで、企業は自らの力で防御を強化しなければなりません。では、企業はどのように備えるべきでしょうか。ここでは、特に重要となる4つの戦略を挙げます。

1. デジタル法規制への先手対応

法令・規制の数は今後も増え続けます。重要なのは、変化を「後追い」するのではなく、継続的にモニタリングし、影響を早期に把握することです。AIを活用したFit & Gap分析などの新しいツールを取り入れることで、対応の効率化とリスクの早期検知が可能になります。法令遵守を経営の一部として位置づけ、規制変化を事業戦略の意思決定に活かすことが重要です。

2. インフラ依存の把握と分散

脆弱性データベースの事例に見られるように、特定の国や仕組みに依存するリスクは無視できません。自社がどのインフラや国際的なイニシアチブに依存しているのかを洗い出し、それが停止した場合の影響を評価します。そのうえで代替経路や自立的なオプションを設けておくことが、リスク分散と事業継続性の両立に不可欠です。

3. 国際連携の限界を前提とした備え

国際的なサイバー犯罪への対応は、年々困難さを増しています。そのなかで重要なのは、各国の法規制に適合した体制整備や、インシデント報告、サイバー保険の導入など、基本的な仕組みを確実に整えることです。さらに、ISAC（情報共有・分析センター）や各種サイバーフォーラムに参加し、信頼できるパートナーとの情報共有を継続的に行うことが、結果として最も有効な防御策となります。

4. 国家レベルの取り組みとの整合

国家間の緊張がサイバー戦に発展した場合、個別企業が単独で対処できることには限界があります。現実的な選択肢は、国が整備する防御体制と連携し、自社の対応をその方針に合わせることです。

日本では現在、アクティブサイバーディフェンス（ACD）法の整備が進んでおり、企業にも同法への準備と体制強化が求められています。さらに、機密性の高い情報を扱う際に備え、今後導入が見込まれるセキュリティクリアランス制度への対応を早期に進めておくことが重要です。

国際連携が揺らぎ、保護主義や権威主義の流れが強まるなかで、企業ができる最も確実な備えは、自らがコントロールできる領域を強化することです。外部環境の変化は脅威であると同時に、自社の体質を鍛え、競争力を高める機会にもなります。

重要なのは、変化の兆しをいち早く捉え、国の方針を見極めながら打つべき手を確実に実行することです。国内制度に機敏に適応し、防御体制を着実に高めていく。この積み重ねが、激動の時代を生き抜く力となります。