新しい世界、新しいルール：不確実性の時代におけるサイバーセキュリティ

サイバーセキュリティは未知の領域に踏み出そうとしています。ここ数年におけるテクノロジーの飛躍的な進化を受けて、世界秩序と脅威環境が急速に変化する中、サイバーセキュリティ戦略の真価が問われています。

組織はポストグローバリゼーション時代の新常態に直面しています。それを特徴付けるのは、同盟関係の亀裂、国際機関の弱体化、関税の大幅に引き上げ、サプライチェーンの混乱です。私たちは今日、前例のない技術発展がもたらすアタックサーフェスの拡大や、サイバーセキュリティに関する新たな脅威の登場を目の当たりにしています。これらの多くは国家の支援を受けたものです。

世界72カ国のビジネスリーダーおよびテクノロジーリーダー計3,887名を対象にPwCが実施した年次調査「Global Digital Trust Insights 2026」では、企業のリーダーが、この不確実な時代にどのように対処しているのか、対応が不十分なのはどの分野か、そして、課題にもっと効果的に対処するには何を変えていけば良いのかを明らかにしています。主な調査結果は以下のとおりです。

• 地政学的リスクが戦略の立案に影響：ビジネスリーダーとテクノロジーリーダーの60％が、地政学的な不確実性の増大を受けて、重点戦略の上位3項目の1つにサイバーセキュリティリスクへの投資を位置付けています。
• レジリエンス強化の取り組みはいまだ道半ば：リーダーの約半数は、現在の地政学的情勢に鑑みれば、組織における特定の脆弱性をターゲットにしたサイバー攻撃に対して、自社組織は「ある程度耐性がある」と回答しています。調査において、組織の脆弱性に関連する全調査項目について自信があると回答したのは、全体の6％に過ぎません。
• トラブルへの備え：未然防止策（モニタリング、アセスメント、テスト、セキュリティ管理策など）への支出が事後対応策（インシデント対応、罰金、復旧）への支出を大幅に上回っている組織は、全体の24％にとどまります。支出割合としては、前者が後者を上回ることが理想ですが、大半の企業（全体の67％）では、両者がほぼ拮抗しています。理想的な支出割合と比べて、よりコストやリスクが増大する可能性があります。
• サイバーディフェンスに自律型AIを活用：自律型AIは、今後12カ月間において、各組織が最も重視するセキュリティにおけるAI活用の1つです。優先項目の中でも、特にクラウドセキュリティ、データ保護、サイバーディフェンスとその運用を目的とする自律型AIの導入計画が進められています。
• 刻々と迫る量子コンピューティングの実現：量子コンピューティングは、組織的な対応態勢が整っていない脅威のトップ5に入っています。しかし、優先的に予算を配分している組織は全体の10％を下回り、調査対象とした主要な量子耐性対策が全て実行されている組織は全体の3％に過ぎません。
• 深刻化するサイバーセキュリティ人材不足への対応策の再検討：サイバーセキュリティ対策を進めるにあたり、依然として、スキルの不足が障害の1つとなっています。半数を超える（53％）組織が、能力のギャップを埋める手段として、AIを重視しています。また、専門的なマネージドサービスが専門性と規模を確保するための戦略的なアクセラレーターとなりつつあります。

現状に対応するには、緊急性について再認識するとともに、創造性を高め、従前とは異なるアプローチを取る必要があります。漫然と事業を継続すれば良いとの意識は改めていかねばなりません。PwCが取りまとめた2025年版のCxOプレイブックでは、調査結果を実践的な手順として提示することにより、主要なステークホルダーのサイバーセキュリティプラクティスの基盤強化が進展すること、そして、この新しい環境に適合する未来志向の対策が促進されることを目指しています。

現在の地政学的情勢は、サイバーセキュリティリスクの形成に対し、破壊的なテクノロジーに劣らぬくらいの影響を及ぼしています。新時代を迎えた現在の戦略的競争関係においては、同盟関係の崩壊、通商摩擦、国際機関の弱体化など、安定を阻害するさまざまな要因が新たな脅威環境を形作っているため、これまでのビジネスの在り方を変化させることが必要になりつつあります。

このような地政学的情勢を受けて、ビジネスリーダーとテクノロジーリーダーの60％が、今後12カ月間における戦略的優先項目のトップ3の1つとして、サイバーセキュリティリスク投資の増額を挙げています。それ以外にも、優先的に見直しを進める事項として、重要インフラの所在（41％）、取引や業務運営ポリシー（39％）、サイバーセキュリティ保険のポリシー（39％）を挙げています。破壊的な脅威が日常化した今日、レジリエンスを確保する方策として、サイバーセキュリティ戦略の強化は避けて通ることができません。

図表1：現在の地政学的情勢に応じたサイバーセキュリティ戦略の優先項目
（トップ3に挙げたリーダーの割合）

現在の地政学的情勢を念頭に置いた場合、サイバー面での備えに対する自信の在り方は二分されています。回答者の約半数は、今回の調査対象の脆弱性を狙ったサイバー攻撃を受けた場合でも、自社組織が「十分な耐性を備えている」としていますが、他方で、同程度の割合の組織がこのような準備態勢が整っていないと回答しています。さらには、調査対象の全ての脆弱性について問題なく対処できると回答した組織はわずか6％しかありません。

サイバーセキュリティにおいて重要なのは、準備です。すなわち、危機に直面する前に先手を打って計画を立て、モニタリング、アセスメント、テスト、セキュリティ管理策、トレーニングといった未然防止策への投資を行うことです。これに代わる主な手段は事後対応策（例：インシデントレスポンス、顧客対応、修復、復旧、訴訟、罰金）ですが、未然防止策よりコストとリスクが増し、持続可能ではありません。

今回調査した組織の3分の2（67％）は、未然防止策と事後対応策に投じるコスト比率がほぼ同程度であると回答しています。すなわち、サイバーセキュリティ対策として、未然防止と事後対応への支出がほぼ同水準であるか、いずれかが若干多い程度ということです。最適な投資（事後対応目的よりも未然防止策への投資割合が著しく高い）を実行している組織はあまり多いとは言えません（全体の24％）。こうしたデータでは、事後対応に付随するコストが過小評価されている可能性があります。未然防止を目的とする支出はセキュリティリーダーの予算の範疇にあり、容易に追跡することができます。他方、事後対応に伴うコストは、法務、広報、営業、IT、製品、マーケティング、政府対応など組織全体に及び、さらには機会損失や企業イメージの悪化など、定量化が困難なコストも含まれます。

図表2：事後対応策と未然防止策に係る支出​

AIがサイバーセキュリティ機能を大幅に変革する可能性を有していることは誰の目にも明らかで、その影響は広範囲に及びます。PwCが実施した調査において、いくつかのカテゴリでAIが最上位に挙げられているのは、このような背景があるからです。マネージド・サイバーセキュリティ・サービスの活用や、サイバーセキュリティ人材のギャップへの対処を通じて、サイバーセキュリティの主要機能をAIによって強化することは、この分野の予算配分における最優先項目です。 

AIを活用したサイバーセキュリティ機能の強化に向けて、セキュリティリーダーが今後12カ月間で取り組む最優先項目に挙げるのは脅威ハンティングです。また、自律型ソリューション、イベント検知・ふるまい分析、ID・アクセス管理、脆弱性スキャンや脆弱性診断などの機能向上も進められています。

図表3：自律型AIは、AIによるセキュリティ機能に関する最優先項目の1つ
（最優先項目に位置付けた回答数に基づく順位）

量子コンピューティングは、サイバーセキュリティ上の差し迫った脅威というわけではありません。しかし、耐量子暗号への移行を急がなければ、組織の機微情報や認証サービス、暗号化システムが脅威にさらされることになるかもしれません。実現までのタイムラインは何年にも及びますが、量子耐性セキュリティの土台を築くためには、将来的に攻撃者の破壊行為を許さぬよう、早急に行動を起こす必要があります。

今後の進展に向けて第一歩を踏み出した組織もあります。全体の29％が既にパイロット導入段階やテスト段階にあります。ただし、パイロット導入段階を超えた先にいる組織は22％にとどまる上、半数近い（49％）組織は、量子耐性セキュリティ対策について検討していないか未実施です。このような組織が躊躇しているのはなぜなのでしょうか。組織内で、量子コンピューティングの実用化がもたらすリスクについての理解が得られないことも多いことや、内部リソースが限られること、他の優先課題との競合がその理由です。

図表4：量子耐性セキュリティの進捗状況

各組織においては、AIの運用を可能にし、複雑な環境の安全を確保し、次世代の脅威に対する準備を整えるための取り組みが進められています。しかしながら、サイバーセキュリティを担う人材不足が続き、思うように進捗していないのが実情です。

ノウハウとスキルのギャップは、過去12カ月間において、サイバーディフェンスへのAIの実装を阻害する2大要因とされており、各組織は具体的な方策の再検討を迫られていました。各組織は、今後12カ月間で優先的に取り組む項目として、AIツール（53％）、セキュリティ自動化ツール（48％）、サイバーセキュリティツールの整理統合（47％）、スキルアップやリスキリング（47％）などを挙げており、AIの実装に向けて新たな可能性を探る取り組みが進められています。また、過去に重大な攻撃を受けたことがある組織（全体の48％）を中心に、専門化したマネージドサービスが重視されています。

AIとクラウドは、専門的なマネージド・セキュリティ・サービスにおいて最も活用されています。組織では、専門能力のアウトソーシングの域を超えて、マネージドサービスが活用されています。また、プロバイダーと連携して、重要なシステムの提供方法の近代化を進めています。

図表5：マネージドサービスを活用する際、サイバーセキュリティ面で重視する項目
（上位3項目に挙げた組織の割合）

本調査について

「Global Digital Trust Insights 2026」は、2025年5月から7月にかけて、世界のビジネスリーダーおよびテクノロジーリーダー3,887名を対象に実施した調査です。

回答者の3分の1（33％）は売上高50億米ドル以上の大企業のCxOです。回答企業の業種は、金融サービス（21％）、製造・自動車（21％）、テクノロジー・メディア・通信（19％）、小売・消費財（16％）、ヘルスケア（10％）、エネルギー・ユーティリティ・資源（9％）、政府・公共サービス（4％）と多岐にわたっています。

回答企業は72カ国に拠点を置いており、その地域別分布は、西欧（32％）、北米（27％）、アジア太平洋（18％）、中南米（11％）、中・東欧（6％）、アフリカ（4％）、中東（3％）となっています。

「Global Digital Trust Insights」調査は、以前は「グローバル情報セキュリティ調査（GSISS）」として知られていたものです。今回で28年目を迎える本調査は、サイバーセキュリティの動向に関する年次調査として最も長い歴史を有しています。また、サイバーセキュリティ業界で最大規模の調査でもあり、セキュリティリーダーやテクノロジーリーダーだけでなく、シニアビジネスリーダーの参画を得ている調査としても他に類を見ないものです。

本調査は、PwCグローバルネットワークで世界の市場調査とインサイト提供を担当するCentre of ExcellenceであるPwCリサーチが実施しました。

※本コンテンツは、New world, new rules: Cybersecurity in an era of uncertainty - The C-suite playbookを翻訳したものにPwC Japanグループ独自の内容を追加したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。