{{item.title}}
{{item.text}}
{{item.text}}
AIによってサイバー脅威が急速に増大する中、アイデンティティを迅速に管理し、信頼を継続的に検証し、サイバーリスクをビジネス戦略および地政学的戦略から切り離せないものとして扱う組織こそがレジリエンスを発揮します。
主要ポイント
攻撃者が侵入ではなくログインを悪用するようになったことで、アイデンティティ中心の攻撃が優勢となり、サイバー脅威情勢は一気に深刻化しています。攻撃側と防御側の双方でAIの活用が進む中、多様な動機を持つ脅威アクターは、エッジデバイス、サプライチェーン、クラウドエコシステムの死角を突く新たな手法を見出し、信頼されていた依存関係を、連鎖的な影響をもたらす高速な攻撃経路へと変貌させています。
ランサムウェアのリークサイトによる記録的な被害や暗号資産強盗から、蔓延するテクノロジー侵害や重要インフラを標的とする持続的な諜報キャンペーンまで、現在の脅威情勢はますます高度で適応力の高いものになっており、攻撃者は攻撃の全段階にわたる攻撃戦術を採用し、アイデンティティ、クラウド、エッジ、アプリケーション層の中をかつてない正確さで流動的に移動しています。
このような環境においては、セキュリティを固定された一連の制御としてではなく、高パフォーマンスのシステムとして扱う組織こそが優位に立ちます。つまり、そうした組織はアイデンティティを高速で制御し、至る所で信頼を検証し、サイバー、ビジネス、地政学の戦略を整合させて、加速度的に変化する領域の常に一歩先を行くのです。
PwCのレポート「2026年の脅威動向:加速するサイバー脅威」では、サイバー脅威情勢を特徴付ける脅威アクター、トレンド、動機を調査しています。本レポートには、脅威アクターの活動の全体的な増加に影響する要因の概要に加え、幅広い動機全体にわたって注目すべき脅威アクターの新たなトレンド、進化するツール、テクニック、手順(TTP)、幅広い地政学および技術革新の影響に関する概要が含まれます。
サイバー脅威情勢はかつてないペースで進化し続けています。境界は曖昧になり、エンゲージメントのルールは変化しています。
主要な攻撃ベクトルとしては、引き続きアイデンティティが優勢となるでしょう。組織がゼロトラスト・アーキテクチャを導入するにつれ、攻撃者はデバイスの構成を偽装したり、非人間アイデンティティ(NHI)を悪用したり、AI駆動の自動化ワークフローを標的にしたりする手法を次々と編み出していくでしょう。アイデンティティ・ガバナンスを単なる技術的なチェック項目ではなく、戦略的かつ取締役会レベルの優先事項として位置付けることが、攻撃者より一歩先を行くために不可欠となります。
AIを活用した脅威は、従来の検知・対応モデルを凌駕する可能性があり、量子技術の進歩によって状況は一変するでしょう。組織は、検知を回避し高価値なデータを標的とするためにAIを標準的に組み込んだマルウェアの出現に加え、AIを活用して実力以上の攻撃を仕掛けてくる脅威アクターの増加にも備える必要があります。AIを活用した防御への投資、脅威モデリングへのフレームワークの組み込み、そしてポスト量子時代への備えは、こうした脅威に対応するために不可欠となるでしょう。
サイバー侵入は単独で存在するものではありません。今後も、貿易摩擦、選挙、紛争、同盟関係の変化によって脅威アクターによる標的化と活動ペースが方向付けられるでしょう。サイバー、法律、人事、金融、通信の能力を連携させながら、地政学的リスクやサプライチェーンリスクを戦略的意思決定に組み込んでいる組織が、今後の激動期をうまく乗り切っていくと考えられます。
脅威アクターの動機と高度化はさまざまであり、異なる産業分野において活動と機会的攻撃を調整しています。以下に示すのは、PwCの脅威インテリジェンスチームが2025年のケーススタディおよび社内分析からまとめた産業分野固有の動機の概観です。
航空宇宙および防衛業界は、ほとんどの国で重要な国家インフラと考えられており、軍事作戦、計画、機能に関する機密データの標的として脅威アクターに執拗に狙われています。さらに、防衛契約の持続的な成長に加えて、AI、ドローン技術、宇宙ベースの機能の進歩のようなイノベーションによって、この業界の攻撃対象領域が拡大しています(サイバー犯罪の場合を含む)。脅威アクターは世界中の組織を標的としていますが、地政学的な緊張と対立を背景としている可能性が高いです。
アセットウェルスマネジメント(AWM)業界は、世界の金融資本の管理において重要な役割を果たしており、多くの産業にまたがる重要取引を扱っています。その富のレベルの高さから、複数の動機の脅威アクター(特にサイバー犯罪者)から大きな注目を集めています。AWM業界によって管理される重要な資金(暗号通貨を含む)が、価値の高いサイバー対応の詐欺および窃取の試み(ビジネスメール詐欺〈BEC〉、ランサムウェア攻撃、暗号通貨および関連プラットフォームを標的とする強盗など)の誘因となっている可能性が高いです。この業界が新機軸を打ち出し、新興技術(フィンテックを促進する技術など)の積極的な活用を進めるにつれて、AWM業界の組織に影響を及ぼす攻撃対象領域は拡大し続けます。
自動車業界は、テクノロジートランスフォーメーションとイノベーションの組織への浸透、消費者需要を巡る競争の増大とともに進化を続けます。金銭を動機とする脅威アクター(ランサムウェア攻撃を実行する脅威アクターなど)にとって特に実入りのいい標的として、運用技術(OT)の環境とメーカーが浮上しています。企業が電気自動車、AI搭載車、自律走行車の技術への投資を続けるにつれて、諜報活動を動機とする脅威アクターは、知的財産の窃取およびサーベイランス活動の標的として、次第にこの業界を狙うようになります。
金銭を動機とする脅威アクター(特に、ランサムウェア攻撃やBEC攻撃にかかわる脅威アクター)は、新興技術の応用、金融およびビジネスの情報、インフラ計画、プロジェクトの設計図など、機密情報を管理する建設業界の組織を標的とする機会を利用しています。政府またはその他の公益法人との結びつきのある建設プロジェクト(重要な国家インフラや、その他の戦略的プロジェクトなど)により、将来の悪意ある活動(妨害工作など)に備えて有利な位置を確保したり情報ニーズに応えたりしようとする脅威アクターなど、諜報活動を動機とする脅威アクターにとっても、この業界は魅力のあるものになります。
教育業界はその活動を継続的にデジタル化しています。教育機関においては、デジタル通信の安定した流れと、すぐにアクセス可能な情報が必要であり、その実現には、一般にユーザー(管理者、研究者、学生を含む)全体にわたって数千台のデバイスが接続する大規模なネットワークが利用されます。攻撃対象領域がかつてないほど拡大していることに加え、開放性とアクセスのしやすさの基本的な考え方により、この業界は標的型サイバー攻撃および機会的サイバー攻撃に直面することが多くなっています。諜報活動を動機とする脅威アクターは、アカデミックおよび研究プロジェクトに関する機密データへのアクセス権を得るために教育組織を標的とし、金銭を動機とする脅威アクターは、特にランサムウェア攻撃を通じて学校組織と活動に影響を与えています。
エネルギー業界は継続的にそのOTを発展させ、再生可能エネルギー源に投資することで、イノベーション、投資、世界中の新しいテクノロジーの採用を推進しています。これに対し、この業界を標的とするサイバー攻撃は多くの場合、展開する地政学的緊張と情報ニーズに合わせて調整されます。諜報活動を動機とする脅威アクターが、知的財産に加え、エネルギー問題およびテクノロジーの安全保障に関心がある一方、妨害工作およびハクティビズムを利用して活動を混乱に陥れる脅威アクターもいます。金銭的な動機による脅威アクターおよびランサムウェア攻撃は、世界中のエネルギー業界の組織にとって依然として主要な懸念事項です。
金融サービス業界は、金銭を動機とする脅威アクターからの難題に直面し続けています。このような脅威アクターは、金融機関から恐喝と窃取を行うために顧客の認証情報を盗んで攻撃(ランサムウェアやBEC攻撃など)を実行しようとします。脅威アクターがAIを採用してディープフェイクやフィッシングの誘導手口を作成することにより、これらの攻撃が高度化し、蔓延しつつあります。金融サービス業界が次第に新機軸を打ち出し、業務をデジタル化し、フィンテックを採用するにつれて、その他の動機による脅威アクターも金融サービス組織を標的にします。さらに、この業界の脅威情勢において最も重要な懸念事項は、依然として地政学的な課題とAIの採用増加です。
食料・農業業界はさらに高度なサイバー脅威に直面しています。また、組織が業務のデジタル化を継続するにつれて、金銭を動機とする脅威アクターの数が明確に増加しています。さらに、食料・農業組織は製造、小売、配送の業務について他の業界と日常的に関与し合っています。食料・農業組織に関係するサイバーインシデントは他の業界に幅広い影響をもたらし、サプライチェーン、価格、持続可能性、食の安全と安心の問題を悪化させています。
情報ニーズを満たし、地政学的な緊張と対立に沿って攻撃を加えようとする幅広い脅威アクターにとって、政府部門の組織(国レベルから地方レベルの機関や地方自治体まで)は引き続き主要な標的です。脅威アクターは世界中の組織を標的としていますが、地政学的な緊張と対立を背景としている可能性が高いです。脅威アクターはAIを使用して、世界中の幅広い政府機関や政党を標的とする情報活動用のコンテンツも作成しています。
ヘルスケア業界は社会で極めて重要な役割を果たし、多くの場合、最先端のイノベーションに注力しています。このイノベーションは、新しい機器や治療法全般に波及しており、Internet of Things(IoT)デバイスなど新興のテクノロジーの増加によって攻撃対象領域が拡大しています。この業界は厳格な規制基準の影響も受けており、幅広い脅威アクターの関心の的である機密性の高い個人情報を扱います。最大の懸念は依然としてランサムウェアです。ランサムウェアは生命を脅かす著しい混乱状態を引き起こす可能性があるからです。
世界中で旅行市場が拡大し続け、組織によるデジタル化と技術革新の積極的な採用が進む中で、ホスピタリティ&レジャー業界は近年、大幅な成長を遂げています。諜報活動を動機とする脅威アクターは機密情報とインテリジェンスを収集するために、この業界を標的としています。一方、金銭を動機とする脅威アクターはこの業界に対して攻撃を実行することで、業務を中断させ、データ窃取、サービス低下、ブランドイメージの失墜を理由に企業に金銭を要求します。特にランサムウェア攻撃はホテルチェーンに業務の中断を引き起こしており、依然としてこの業界での最大の懸念です。
法律業界はさまざまなサイバー脅威に直面し続けています。各種テクノロジーの採用が一因としてありますが、さまざまな第三者の法務機密情報を扱うという固有の性質も要因となっています。法律業界は機密データを保存、管理、転送するためのデジタルプラットフォームへと変化する中で、さまざまなサイバーリスクに対してさらに脆弱になっています。そういったリスクの多くは、脅威シナリオとして想定されます。このシナリオには、依頼人の秘密の侵害、訴訟の完全性の侵害、知的財産の窃取、サイバー脅威によるデータ恐喝の試みによって生じる経済的損失またはイメージ悪化が含まれます。
従来は分離されていたOT環境を他のシステムに統合する組織が増え続ける中で、製造業界は増加するサイバー攻撃に直面し続けています。特に多いのは、ランサムウェアの脅威アクターや、BECなどのスキーマを採用するその他のサイバー犯罪者による攻撃です。さらに、この業界は他の産業の広範な部分を支えており、製造組織に関係するインシデントは他の業界全体に幅広い影響を及ぼし、サプライチェーンの課題や製造業界に依存する産業を悪化させています。
メディアおよびエンターテイメント業界は、レポーター、アーティスト、コンテンツクリエイター、パブリッシャー、ディストリビューター、プロダクションのスタジオおよびスタッフ、消費者などを標的とする幅広い脅威アクターからなる、固有の脅威情勢に直面しています。特に諜報活動を動機とする脅威アクターはメディアおよびエンターテイメントに関係する組織および個人(調査報道に従事するジャーナリストやエンターテイメントスタジオなど)を標的としています。その目的は企業ネットワークに対する情報収集であり、モバイルデバイスに対する商用スパイウェアの展開を通じて行われます。メディアおよびエンターテイメントの組織は、サイバー犯罪者だけでなく、ハクティビズムや妨害行為を動機とする脅威アクターの標的にもされています。特に、世界中で高まる地政学的な緊張の状況の中で標的にされます。知的財産と機密性の高い通信や、メディアおよびエンターテイメントの組織に関連するデータは、複数の動機を持つ脅威アクターの標的になっています。生成AIなどの技術開発により、脅威アクターはこれらのツールを悪用して、情報活動のためだけでなく、メディアおよびエンターテイメント業界の組織の標的化や搾取を目的とするその他の攻撃のために、悪意あるコンテンツ(サイバー犯罪スキーム用のディープフェイクなど)を生成しつつあります。
製薬およびライフサイエンス業界の組織は、救命治療、医薬品製造、特許を得た方法およびデータ、最先端のイノベーション、知的財産など、業界の性質による特別なセキュリティ上の課題に遭遇します。新興技術の応用や、この業界でのサードパーティサプライヤーへの依存の高まり、デジタル化の進展、ハイブリッド環境およびマルチクラウド環境へ向けた移行に伴い、そのサイバー攻撃対象領域も今後拡大し続けるでしょう。幅広い脅威アクターが、情報収集目的およびランサムウェアや恐喝を利用した金銭的動機で、この業界を標的としています。
アイデンティティおよび特権アクセス管理を回避し、被害者のネットワークに直接または第三者を介してアクセスする権利を獲得するために、脅威アクターはサプライチェーン攻撃、ソーシャルエンジニアリング、その他の戦術の採用を進めています。そうした状況の中で、専門サービス業界は、クラウドソリューションやAIなどの新しいテクノロジーを統合し続けています。この業界における特定の産業はデータのプライバシーと保護に関する厳格な要件と規制に直面します。その結果、この業界は金銭を動機とする脅威アクターにとって収益性の高い標的となります。商業的に機密である大量のデータが専門サービス・ネットワークを横断しており、諜報活動を動機とする脅威アクターは、これらの組織を情報および知的財産を窃取するための標的としています。
鉱業業界は多くの産業、特に製造や、半導体などの産業にとって依然として重要であり、幅広い脅威アクターの関心の的です。システム間の相互接続が進み、過去に分離されたシステムがOTによって接続される中で、この業界の攻撃対象領域は拡大し続けています。諜報活動を動機とする脅威アクターは、情報収集、投資判断への情報提供、主要鉱物に関する投資と貿易のためにこの業界を標的としています。金銭を動機とする脅威アクターは、資源および鉱物と関係のある製造企業とその業務に非常に大きな影響を及ぼしている、より広範な機会的キャンペーンの一環として、この業界の組織を標的としています。
非常に多くの脅威アクターが、顧客データに加え、恐喝、詐欺、窃取に使用するその他の機密データを収集するために、アイデンティティ中心の攻撃を介して小売業界を標的としています。電子商取引は依然として競争が激化しており、小売業者は新機軸を打ち出し、新しいテクノロジーを速やかに展開する必要があります。競争力を維持するために、多くの小売業者は独自のソフトウェアとテクノロジーを開発し、特許を取得しています。このタイプの知的財産、および顧客から収集したデータ(広告データを含む)は、知的財産の窃取を容易にしたり、ユーザーやそのデジタルフットプリントおよび行動を特定したりする目的で、諜報活動を動機とする脅威アクターの標的となる可能性があります。
テクノロジー業界は、金銭を動機とする脅威アクターと諜報活動を動機とする脅威アクターの両方にとって依然として価値の高い標的です。この業界の組織は、最先端のイノベーション(AI量子コンピューティングの進歩など)を推進し、機密性の高いユーザーデータと知的財産を管理しています。機密データが多数の動機で標的にされるのに対し、知的財産は競争の激しい市場で製品およびサービスを複製しようとする者、あるいは新興技術の一般的な脆弱性を悪用しようとする者にとって価値があります。また、テクノロジー業界は多くの産業および相互に関与し合う組織の原動力となり、サプライチェーンを侵害し、テクノロジー関連の顧客および下流環境へのアクセス権を獲得しようとする脅威アクターのための戦略的標的となります。多くの組織がクラウドサービスやインフラなどのさまざまなテクノロジーを採用し、多くの企業がこれらのソリューションを開発するようになっているため、テクノロジー業界の攻撃対象領域は拡大しています。幅広い動機の脅威アクターは、サプライチェーンおよび開発者のエコシステムを侵害し、価値の高い組織および個人を標的とし、アクセス操作を拡大し、AIツールを悪用するために、ますますこの業界を標的とする傾向が強まっています。
電気通信業界には、さまざまなメディアを介した情報の長距離伝送に関与する企業が含まれており、これらの企業が電話やインターネットなどの通信サービスを可能にしています。このように、この業界には、ケーブル、電話線、衛星、モバイルネットワークなどの物理メディアを通じてブロードバンドやモバイルサービスを提供する組織が含まれています。この業界に対する金銭を動機とする攻撃は、ランサムウェア攻撃およびデータ恐喝攻撃の形で蔓延し続けています。重要インフラの主要な構成要素と見なされているこの業界も、固有でインテリジェンスに富むデータおよびテレメトリーにより、諜報活動を動機とする脅威アクターにとって価値の高い標的です。これにより、攻撃者に大量のデータが提供され、サーベイランス活動が可能になります。
運輸業界は、グローバルなサプライチェーンおよび経済の非常に重要な構成要素であり続けています。この業界における産業および組織はOTと産業制御システム(ICS)を活用しており、その結果、環境全体で攻撃対象領域が拡大し、影響の大きいインシデントの起こる可能性が高くなっています。金銭を動機とする脅威アクターは、顧客情報の侵害とマネタイズ、顧客への配送に影響する活動(鉄道輸送、貨物輸送など)の妨害を図っています。諜報活動、妨害行為、ハクティビズムを動機とする脅威アクターは、この業界に対する標的化と攻撃において地政学的な緊張と対立に付け込んでいます。
上記では、グローバルのサイバー脅威ランドスケープをご説明しました。本レポートが示すのは、AIが攻撃の中核に据えられ、アイデンティティが新たな主戦場となり、サイバーリスクが経営戦略・地政学的戦略と不可分のものとなった世界です。日本企業もこうしたランドスケープから無縁ではなく、日本特有の事業環境を踏まえた対応が問われています。
以下では、本レポートが示す脅威動向を踏まえ、日本企業が優先的に取り組むべき4つのテーマを提言として示します。これらが、企業のサイバーセキュリティを高度化するうえでの一助となれば幸いです。
本レポートでは、グローバルで企業間・サービス間の接続が広がっており、攻撃面の拡大とともに、その全体像が把握しづらくなっていると指摘しています。委託先、SaaS、ID基盤、API連携といった接続依存が深まる中、認証・認可と信頼に基づく接続関係そのものが攻撃経路となり、1社の侵害がサプライチェーン全体に波及するリスクが高まっています。昨今では、こうした依存関係にAI関連サービスや外部モデル・データの利用も含まれる可能性があります。
このような構造変化は、製造業の多段階外注やIT業界の多重下請けに代表される、日本企業の多層的な取引構造においてとりわけ顕在化しやすい傾向があります。委託先単体の健全性確認だけでは不十分で、その先にある再委託先、利用するSaaS、認証連携まで含めた接続全体の依存関係を把握する必要があります。しかし、PwCの過去の調査から、日本企業はサプライチェーン攻撃を最も懸念する脅威に挙げる割合がグローバル平均56%に対し83%と突出しています。しかし、予算分配上の優先順位は16項目中9位で、サプライチェーンを狙う攻撃への対処能力を「非常に高い」と自己評価した企業も31%(グローバル43%)にとどまります。脅威認識の高さに対し、将来の備えと現時点での対応能力がいずれも追いついていません。この背景には、多層委託により委託先の先が見えにくく、対応の優先順位を判定しにくいという実務的な困難さがあります。
このギャップの解消は、日本の制度環境を踏まえると喫緊の課題です。経済産業省と内閣官房国家サイバー統括室(NCO)は、「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)1について2026年度末頃の開始を目指しており、サプライチェーンを構成する企業の対策状況を共通基準で評価・可視化する方針を公表しています。制度の目的は格付けではなく底上げですが、実務上は一定水準を説明できる企業ほど取引上有利になり、説明できない企業は不利になる可能性があります。この制度開始時期について、日本企業はサプライチェーン対策の実務上の到達点として位置付けるべきです。
日本では、多層的な委託・再委託構造が定着しており、発注企業にとって直接の取引先の先に広がる再委託先や利用サービスの実態が見えにくい状況があります。その先に管理不備があれば、インシデント発生時には発注元の業務停止や情報漏えいに波及する危険が高いです。例えば、委託先が利用するSaaSやID基盤が侵害された場合、攻撃者はそこから正規の権限経路を通じて、委託先経由で発注元のシステムにアクセスすることが可能になります。本レポートも、まさにこのような連鎖的な侵害メカニズムを指摘しています。
ここまでの状況を踏まえると、日本企業が取るべき対応は次のように整理できます。まず、守るべき資産だけでなく、委託先や再委託先、利用するSaaS、認証連携、外部接続の依存関係を把握することが第一歩となります。次に、どこで障害や侵害が起きると自社への影響が大きいかを特定し、リスクに基づいた優先順位を設定する必要があります。そして、これを段階的に実装することが重要です。
短期的には、SCS評価制度の要求事項に対する自社および主要委託先のギャップ分析に着手すべきです。SCS評価制度は、「★3・★4」といった星の数として企業に最低限実装すべき基礎的対策から包括的な対策に至るまでを段階的に要求します。現状をこれらの要件に照らして点検し、不足項目を洗い出すことで、制度対応を抽象的な将来課題ではなく、予算計画、調達要件、委託先管理の見直しといった具体的なアクションへ落とし込むことができます。自社だけでなく主要委託先も同様に点検することで、サプライチェーン全体の弱点を共通基準で把握することが可能になります。
中長期的な取り組みとして、中小サプライヤーへの支援を組み込んだ段階的な対策推進に着手すべきです。発注側が一律に高水準を要求するのみでは、サプライヤー側の実装負荷や取引適正化の観点で実効性を欠き、結果としてサプライチェーン全体の底上げには至りません。重要な業務への関与や依存度が高いサプライヤーを優先し、要求水準の提示と公的支援策の活用を含む実装支援を組み合わせることが、サプライチェーン全体の対策水準を現実的な速度で引き上げることにつながります。
本レポートでは、2025年の世界におけるランサムウェアリークサイトの被害者数が7,635件と前年比で58%増加し、ランサムウェアの脅威が深刻化していることが示されています。日本国内でも、2025年のランサムウェア被害報告件数は226件(前年222件)と高水準で推移しています2。ただし、これは警察への報告ベースの数値であり、実際の被害件数はさらに多い可能性があります。近年では単一インシデントで多額の損失を計上する企業も現れており、特に大手製造業を中心に、システム復旧の長期化と業務中断が経営に直結する影響をもたらしています。
ランサムウェア感染に起因するインシデントは、技術的な問題にとどまらず、経営全体に重大な影響を及ぼします。システム復旧の長期化や取引先・顧客情報の漏えいは株価下落を招くほか、営業機会の喪失や対応コストの増加によって業績が悪化する事例が多く報告されています。特に日本企業の場合、サプライチェーン上のポジションによっては、自社の被害が委託元や取引先の業務停止を招き、契約上の責任追及や社会的信用の毀損にまで発展する可能性があります。加えて、被害組織には法令などに基づく当局報告の義務が課されます。従来は個人情報保護委員会、業所管官庁(金融庁、総務省など)、都道府県警察といった複数の報告先に対し、それぞれ異なる様式での対応が求められていたため、有事対応中の組織にとって極めて大きな負担となっていました。
こうした影響を軽減するためには、ランサムウェアに対するレジリエンスを、感染防止の技術的対策だけでなく、感染後の財務対応、当局報告、さらには復旧実効性の検証まで含めた一連のプロセスとして強化する必要があります。なぜなら、技術的対策や訓練は被害発生確率や拡大リスクの低減に寄与するものの、重大インシデントに伴う復旧費用や業務中断による損失などを完全に回避することは困難だからです。さらに有事には、複数の官公庁への報告対応も同時に求められるほか、バックアップを保有していても復旧手順が未検証であれば事業再開が遅延するリスクが残ります。したがって、財務的損失に備えるリスクファイナンスの設計、当局報告を円滑に行うための体制整備、そして復旧プロセスの実効性確保が、ランサムウェアに対するレジリエンス強化に向けた重要な論点となります。
まず、技術的対策で吸収しきれない財務的影響に対しては、サイバー保険を含むリスクファイナンスを事前に設計しておくことが不可欠です。PwCの調査によれば、日本企業のサイバー保険加入率は主要先進国と比較して著しく低いです3。その背景には、被害額の定量化が困難で費用対効果を説明しにくいこと、また補償範囲や免責条件の設計に専門知識を要することがあります。しかし、重大インシデントでは損害が想定を超えて急拡大し得るため、自己資金のみでの対応には大きなリスクが伴います。実務的には、インシデント対応費用(フォレンジック調査、専門家派遣など)、業務中断に伴う逸失利益、第三者への損害賠償、当局対応費用などを具体的なシナリオに基づいて試算し、自社で保有するリスクと保険で移転するリスクの範囲を定量的に切り分けることが求められます4。こうした整理を平時に行うことで、有事の財務的負担が予測可能になり、経営判断の根拠が明確化されます。
もう1つの実務的課題が、当局報告を円滑に実施できるかという点です。この点については、2025年10月1日にNCOがランサムウェア被害発生時のインシデント報告様式を統一5し、報告先ごとに異なる様式への個別対応という従来の負担は大幅に軽減されました。被害組織は「ランサムウェア事案共通様式」を使用できるほか、必要に応じて他の様式に添付して提出することも可能です。こうした制度整備は、有事対応における報告作業の負荷を軽減し、報告遅延に伴う追加的な法的リスクを低減します。自組織としては、法務部門とセキュリティチームが連携し、報告対象となる官公庁の一覧、各報告先への通知体制と責任者、報告期限を平時に整理しておくことが重要です。こうした準備がなされることで、有事の初動対応時間が短縮され、経営層は技術対応と並行して対外コミュニケーションの判断に集中できるようになります。
さらに見落とされがちな論点として、感染後に実際に事業を復旧できるかという「復旧実効性」の検証があります。バックアップが存在していても、復旧時間、復旧順序、依存システム、代替手順が未検証であれば、有事に機能しない可能性があります。バックアップが取得されているかという状態の確認だけでは、業務再開までの実時間や、業務間の依存関係に起因するボトルネックを把握することは不可能です。したがって、バックアップの取得状況はもとより、重要業務の復旧優先順位、復旧目標時間(RTO)、代替手順、復旧時の意思決定者を定義し、定期的な復旧訓練を通じて実効性を確認することが不可欠です。こうした訓練を通じて初めて、計画上の復旧手順と現場の実行能力との乖離が顕在化し、平時のうちに是正することが可能となります。財務対応や当局報告の体制が整備されていても、業務そのものを再開できなければ経営インパクトは緩和されません。復旧実効性の検証は、リスクファイナンスや報告体制と並ぶ、ランサムウェアに対するレジリエンス強化の基本的な要素として位置付けるべきです。
本レポートでは、AIがサイバー攻撃の速度、精度、規模を大きく引き上げていると指摘しています。実際、生成AIによる高度なフィッシングや自然な日本語による詐欺文面、ディープフェイクを悪用した認証突破など、従来型の防御だけでは対応しにくい事象が現実のものとなりつつあります。さらに、外部ツールと連携して処理を実行するAIエージェントや高度なモデルの登場は、調査や脆弱性分析、攻撃手順の設計を加速・高度化させる可能性があります。もっとも、防御側が過度にパニックを起こす必要はありません。重要なのは、資産管理、脆弱性管理、認証・権限管理、ログ取得、監視、インシデント対応、復旧といった基礎的対策を着実に実装し、その実効性を継続的に検証することです。
こうした中、企業側でも業務効率化や高度化を目的に、AI活用、特にAIエージェントの導入が進んでいます。。PwCの過去の調査によれば、日本ではグローバルよりエージェント導入を優先する傾向が強い(グローバル:35%、日本:55%)一方、知識不足(グローバル:50%、日本:64%)、スキル不足(グローバル:41%、日本:52%)、リスクの不透明さ(グローバル:39%、日本:52%)への懸念も強いです。すなわち、日本企業ではAI活用への期待に対し、安全に導入・運用するための知見や体制が十分に追いついていない可能性があります。
この状況は、IPA「情報セキュリティ10大脅威 2026」6において「AIの利用をめぐるサイバーリスク」が初めて選出されたことにも表れています。ただし、その認識が社内ルール、運用体制、データ管理、監査可能性を含む導入・運用基盤の整備に十分結び付いているとは言い難いです。重要なのは、AIを悪用した攻撃への対処にとどまらず、AIを安全に導入・運用するための統制、ルール、技術基盤を一体として整備することです。
多くの企業では、AIリスクをフィッシングやディープフェイクといった個別事象として捉えがちです。しかし、本質的な課題はAI利用そのものを管理する仕組みの不足にあります。生成AIの導入が進む中、部門ごとに利用や入力データ管理が分散し、シャドーAIも生じやすいです。そのため、承認済みサービス、入力可能データ、出力物の利用範囲、ログ管理の基準を明確化し、SaaS型AIやAPIを利用する場合は、再委託先を含む信頼境界も整理すべきです。
また、AIエージェントの活用は、単なるツールの導入ではなく、権限設計とガバナンスの課題でもあります。AIを補助的に使う段階と、自律的に判断・実行させる段階とでは、必要な統制の水準は大きく異なります。したがって日本企業は、人間が最終判断を担う範囲から活用を始め、低リスク領域から段階的に運用ルールと統制を整備していくべきです。その際には、利用用途をリスクベースで分類し、経営、法務、セキュリティ、現場部門が連携しながら継続的に見直していくことが重要となります。
一方、攻撃側の変化にも目を向ける必要があります。生成AIの普及により、個人の注意力や従来の見分け方に依拠した対応だけでは限界が明確になっています。AIを活用した攻撃が現実味を増す中では、巧妙化したフィッシングや精度の高い偵察活動を完全に防ぐことは困難であり、標的型に継続的に狙われた場合、組織の内部ネットワークへの侵入可能性をゼロにすることは現実的ではないという前提に立つ必要があります。したがって、防御側は、攻撃者がAIを活用して偵察、初期侵入、場合によっては内部での探索や横展開までを高速に進めることを想定し、自社がどの段階で検知できるのか、どの程度で封じ込められるのか、事業影響を抑えて復旧できるのかを、実践的な演習を通じて継続的に検証することが必要です。
このように、AI時代の対応においては、攻撃への備えと利用の統制を一体で捉えることが重要です。今後は、検知・封じ込め・復旧を含む防御態勢の実効性を高めるとともに、AIの利用実態を可視化し、利用範囲、権限、データ管理、監査可能性を含む統制の枠組みを全社的に整備することが不可欠です。これは単なるセキュリティ対策の拡張ではなく、AI活用を持続的かつ安全に進めるための経営課題として捉える必要があります。
ここまで、本レポートの主要トピックを踏まえた3つの提言を示してきました。しかし、個別対策を積み重ねても、それらを経営アジェンダとして定着させるリーダーシップとガバナンスが機能していなければ、実装は断片化します。経済産業省・IPAの「サイバーセキュリティ経営ガイドライン Ver 3.0」7も、サイバーセキュリティリスクをエンタープライズリスクマネジメントの一部として位置付け、経営者のリーダーシップの下で対策を進めることを求めています。本提言では、個別対策を貫く横串として、サイバーリーダーシップ・ガバナンスの強化を取り上げます。
PwCの過去の調査は、日本企業のガバナンスに構造的な課題があることを示しています。CISOの経営判断への関与が「限定的」と回答した日本企業の割合はグローバル平均の2~4倍に上り、セキュリティが経営アジェンダとして十分に定着していません。運用面では、日本企業の全てが何らかのセキュリティ人材不足を抱えており、結果として主要なセキュリティ領域で外部委託への依存度もグローバルを大きく上回っています(グローバル24%、日本52%)。対策が経営に届かず、現場でも自走しにくい構造のまま個別施策を積み重ねても、実効性は限られます。
こうした構造的課題に対処するには、経営層自身がサイバーセキュリティに対して果たすべき役割を再定義する必要があります。具体的には、①サイバーリスクを経営の定例アジェンダとして扱う②投資優先順位や残留リスクの受容可否を経営判断として明示する③有事における意思決定体制を平時から整備しておく、の3点が核となります。
CISOが脅威動向、自社のセキュリティ態勢、残留リスクを定期的に取締役会・経営会議に報告する体制を制度化することが出発点となります。重要なのは、報告を年次イベントではなく経営の定常プロセスに組み込むことです。経営者は報告を受けたうえで、セキュリティ投資の優先順位、残留リスクの受容可否、資源配分の妥当性について明確な判断を示す責任を負います。このプロセスを通じて、取締役がサイバーセキュリティを非専門領域としてではなく、自らの経営責任の一部として扱う文化が醸成されます。
これを実効性のあるものとするためには、外部委託への依存が進む中でも、外部専門家からの報告や助言を解釈し、自社の事業リスクや投資計画に照らして対応策を立案し、その優先順位を判断する能力を、自社で保有すべき中核機能として維持しなければなりません。経営層は、こうした機能を担う人材の確保・育成・処遇を、技術部門に閉じた人事課題として扱うべきではなく、自ら関与すべき投資判断として位置付ける必要があります。
さらに、インシデント発生時における経営層の意思決定体制を平時から整備しておくことが不可欠です。重大インシデントでは、技術的な封じ込めや復旧だけでなく、業務継続の可否判断、対外コミュニケーションの方針決定、事業再開基準の設定といった経営判断が短時間で求められます。こうした判断を場当たり的に行えば、インシデントは容易に事業危機へと発展します。経営層を含めた訓練を定期的に実施し、最悪シナリオにおいて誰が、何を、どのような基準で判断するのかを事前に整理しておくことが、有事の対応力と組織としてのレジリエンスを決定付けます。
ただし、こうしたリーダーシップとガバナンスの実効性は、組織としての基礎体力に依存します。資産管理、脆弱性対応、アクセス制御といった基本的対策を継続的に運用できる組織であってはじめて、経営層の判断は実務的な裏付けを持ちます。セキュリティリーダーシップの強化は、新たな施策の追加ではなく、自社の実態を正確に把握し、基本を確実に運用する土台の上に築かれるものです。
※本コンテンツは、『Annual Threat Dynamics 2026: Cyber threats in motion』を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
{{item.text}}
{{item.text}}
{{item.text}}
{{item.text}}