デジタル技術の急速な革新の中で、企業は新たなサイバーリスクに直面しています。地政学的な緊張や各国の規制変化が企業環境に影響を及ぼす中、サイバー攻撃はますます高度化し、複雑さを増しています。
このような状況下で、PwC Japanグループは「Cyber IQ」という概念を提唱しています。Cyber IQは、過去の事例やベンチマークなど多様な情報を収集・分析し、組織のサイバーレジリエンスを強化するための資質を指します。
本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべき対応策について考察しました。この知見が日本企業の皆さまのセキュリティ対策に役立つことを心より願っております。
2025年 Cyber IQ調査の一部を抜粋してご紹介します。全文は以下よりPDFをダウンロードしてご覧ください。
IT環境が複雑化・多様化するにつれて、新しい脅威が出現し、その脅威に対抗するために法規制が拡充されるという流れが今後も継続すると考えられます。企業の担当者にとっても、世界中で制定されるサイバーセキュリティ関連の法規制への対応が新たな重要課題となりつつあります。
日本企業が多様なサイバーセキュリティ関連の法規制に対応する際の課題と推奨事項を解説します。
AIリスクの増大、今後の世界の規制強化、日本国内での重要性の認知の拡大に伴い、「AIレッドチーム※」はより一般的なものとなり、米国等の先進テクノロジー企業だけでなく、日本国内でも実施する企業が増加していくことが予想されます。AIガバナンス態勢を構築した企業には是非「AIレッドチーム」の実施を推奨します。「AIレッドチーム」で効果的な成果を挙げ、成功に導くために重要なポイントを紹介します。
※AIを利用したサービスに対して、リスク起因者(サイバー攻撃者、犯罪者、愉快犯など)の立場からエンジニアが高度な疑似攻撃を行うことで、脆弱性とそれに伴うビジネスリスクを特定する組織や取り組みを指します。
サプライチェーンを脅かすデジタルリスクが高まっています。取引先の1社が攻撃を受けるだけで自社の操業停止に陥ってしまうケースもあり、サプライチェーン全体を意識したリスクガバナンスは経営課題の一つになっています。課題は多岐にわたるため、総花的なリスク対応ではなく、クリティカルなリスクを見極め、より実効性のあるリスク対応を意識することが必要です。取引先とのコミュニケーションにおいては、対策にかかるコストや取引先の体力を理解し、合意を取るための工夫や配慮を行うなど、今まで以上に踏み込んだガバナンスが求められています。
サプライチェーンを統制する立場にある企業はどのようにしてリスク強化を図れば良いのか、解決の方向性とサプライチェーンリスク対応に挑む企業の先進事例を紹介します。
毎年多くの脆弱性が発見されている中、それに対応するための脆弱性対応プロセスの整備および改善は組織において重要な課題です。Acuity Rampの考え方を参考にすることで、脆弱性対応プロセスとしてSSVCを採用していない組織はSSVCをスモールスタートすることができます。また、既にSSVCを採用している組織においても、プロセスを成長させるうえでの指針として利用することができると考えられます。
デジタル化が進展する現代において、個人や企業は多くの情報をデジタル領域で共有、取引することが求められています。このような環境で、デジタルアイデンティティは、信頼性と安全性を確保するための基盤としてますます重要な役割を果たしています。しかし、デジタルアイデンティティの運用における課題は多岐にわたり、特に異なるシステムやサービス間での相互運用性の確保が求められています。
そのためには、デジタルアイデンティティ・トラストフレームワークと呼ばれる多様なシステムやサービス間での信頼性を確保し、安全な情報交換を実現するための包括的な枠組みの構築が不可欠となります。
トラストフレームワークの意義、重要性、そしてその構成要素について詳しく解説し、未来のデジタルエコシステムにおける信頼性の向上に向けた道筋を探ります。
