見えない脅威とどう向き合うか：2025年サイバーセキュリティ戦略—DXを支える「防御」から「戦略」へ—

2025年の企業経営を取り巻くサイバーセキュリティは、新たな局面を迎えています。生成AIなどのAI技術の急速な進化に伴い、巧妙化したフィッシング詐欺やディープフェイク、AIマルウェアといった攻撃手法が現実の脅威となりました。

一方、防御側もAIを活用した異常検知や自動化レスポンス、予測分析などで対策を図り始めています。加えて、日本企業はリモートワークの拡大、サプライチェーンの複雑化や人的ミスといった固有のリスクにも直面しています。

本稿では、日本国内の企業事例を交え、AIを中心とした攻撃と防御、ゼロトラスト導入の効果・課題、量子時代のリスク、そしてセキュリティ対策におけるIT/DXコンサルタントの役割と価値について幅広く解説します。大企業から中小企業まで、経営層・IT担当の方々が、近未来に向けたサイバーセキュリティの備えを構築するための最新の視点と戦略をお届けします。

【目次】

• はじめに：加速するDXとその裏で高まるリスク
• サイバーセキュリティ戦略の方向性　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　①企業を取り巻くリスクの現状　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　②AI時代の攻撃と防御　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　③次世代の防御モデル「ゼロトラスト・アーキテクチャ」
• 終わりに：未来に向けてーDXコンサルタントの提供可能な支援

はじめに：加速するDXとその裏で高まるリスク

2025年現在、デジタルトランスフォーメーション（DX）はあらゆる産業で急速に進行しています。業務のデジタル化、クラウドの普及、リモートワークの常態化により、企業のIT基盤はますます複雑化しています。一方で、それに比例してサイバー攻撃も進化を遂げ、今やサイバーセキュリティは企業戦略の中核に位置づけられるようになりました。

特に注目されるのが、「AI時代」の到来です。AIを活用したサイバー攻撃は、既存のサイバー攻撃とは異なり巧妙で、セキュリティ対策の根幹を揺るがすと予測されています。このような時代背景の中、企業は単なる防御としてのセキュリティ対策にとどまらず、未来を見据えた準備が求められます。

本稿では、①企業を脅かす最新リスク、②AIを活用した攻撃の高度化、③ゼロトラスト・アーキテクチャの導入、という3つの観点から、今後のサイバーセキュリティ戦略の方向性を明らかにしていき、終わりにDXコンサルタントの提供可能な支援領域についてお伝えしていきます。

① 企業を取り巻くリスクの現状

日本企業を脅かすリスク

• リモートワーク環境：在宅勤務の普及に伴い、自宅・モバイル環境から社内へ接続するケースが近年増加、その結果、脆弱な自宅ネットワークや共有PC経由の侵入が狙われるリスクが増加傾向にあります。実際、2024年には某飲食商社が、SIM内蔵ノートPCへのリモートデスクトップ接続を介してランサムウェア攻撃を受ける事件が発生しました。攻撃者はリモートデスクトップの認証情報を突破し、グループ会社のサーバまで感染させたと報じられています。こうした事例は、弱いパスワード・多要素認証がないログイン、VPN機器などの脆弱性が狙われやすいことを示しています。対策として、パスワード要件・管理の強化徹底、多要素認証の導入、ゼロトラストVPN/SASEの活用が必要となってきます。

• 人的ミス：NRI Secure Insight 2024 によると、日本企業で発生したセキュリティ事故では「電子メールやFAX、郵便物の誤送信・誤配送」が33.3%と最も多く、続いて情報媒体の紛失や置き忘れなどが15.3%、誤操作が13.6%と続いています。これらの人為的ミスに分類されるインシデントを合計すると、全体の約62.2%に上り、 システム対策だけでは防げないヒューマンエラーへの教育・組織管理も依然として重要であることがわかります。

• サプライチェーンリスク：日本企業特有の課題として、取引先や関連企業経由の攻撃が挙げられます。調査会社の分析によれば、日本ではサイバー被害の約50%以上が子会社や取引先の情報漏洩や侵害によるもので、これは世界平均の約29% を大きく上回る数値です（情報処理推進機構 IPA 2024年調査）。取引先管理やベンダー監査が不十分だと、そこの脆弱性を踏み台に自社を攻撃される恐れがあります。昨今のサプライチェーン攻撃（ソフトウェア更新の改ざんなど）を鑑み、外部委託先も含めたセキュリティ要件の強化も急務であり、課題となっています。

量子時代に備えるセキュリティリスク

それほど遠くない近い将来、量子コンピュータは、RSA/ECCなど現行の公開鍵暗号を短時間で解読できる可能性があると言われています。そのため、欧米を中心に量子耐性暗号（ポスト量子暗号）の標準化と準備が進められています。

ただし、現状では実用的な量子コンピュータは未完成のため、直ちに現在の暗号が危険にさらされるわけではありません。「現在は強固な鍵で通信しても、記録されて将来量子コンピュータで解読されるリスク」が指摘される中、重要度の高い機密情報は前もって耐量子性の暗号に切り替える検討も求められています。

②AI時代の攻撃と防御

【攻撃】AI時代の巧妙な攻撃手口

• フィッシング詐欺の精巧化：昨今では生成AIの登場により、文法的・内容的に不自然さのないフィッシングメールが短時間に大量生成されるようになりました。たとえば、以前は難しかった自然な敬語や企業文化に即した文面も作成可能になってきています。また、ディープフェイクによるなりすまし・ AIによる音声・動画生成技術が成熟し、経営者の声や映像を模倣して従業員を騙す攻撃が懸念されています。「高度なディープフェイク動画を巧妙な騙しの手口として悪用する犯罪」も事例として増加傾向にあり、経営者や上司を装った不正指示メール・電話詐欺（BEC攻撃）の被害リスクも拡大しています。企業は従業員に対し最新のセキュリティ教育の実施・徹底が課題となっています。

• AIマルウェアの登場：生成AIを悪用してマルウェアを自動生成する事例も報告されました。警視庁によると、2024年5月に「非公式ChatGPTクローン」を使ってランサムウェアを作成し逮捕された、日本初の事例が発生しています。このケースでは、対話型生成AIを悪用してマルウェアを作成したとして、警視庁が不正指令電磁的記録作成容疑で男性を逮捕したと報じられました。ITに詳しくない一般人でもAIを用いることで高機能マルウェアの作成が可能となり、大きな警鐘となりました。

【防御】AI時代の最新防御対策

こうしたAI攻撃に対して、防御側もAI技術を活用した対策で対抗しています。

• AIによる異常検知・予兆分析：マルウェアや不正ログをAIで検出するソリューション、ユーザー行動分析（UEBA）やネットワーク通信のパターン解析などをAIが学習し、従来のシグネチャ検出では難しい未知の攻撃や内部犯行を検知するといった、AIを活用したセキュリティ対策も既に普及・導入が進んでいます。

• 攻撃予測・脆弱性評価：AIを使ったリスク予測プラットフォームも登場しつつあります。NTI（日本電通情報システム）は脆弱性診断やペネトレーションテストをAIで自動化するシステムなどを開発し、人手不足を補っています。また、某ベンダーでは、生成AIなどを活用してセキュリティ運用全体を高度化・効率化するサービスを開始すると発表しています。こうした動きは、日本企業のセキュリティ人員が不足する中、AIによる自動化が防御強化の重要な鍵になることを示唆しています。

③ゼロトラスト：次世代の防御モデル

ゼロトラスト・アーキテクチャとは「ネットワーク内外を問わず、全てのアクセス要求を常に検証する」といったセキュリティモデルです。ネットワーク境界内のユーザーを信頼する従来型セキュリティモデルとは異なり、ゼロトラストは『決して信頼せず、常に検証する』という原則に基づきます。具体的には、ユーザーIDやデバイス状態に応じた多要素認証・アクセス制御、マイクロセグメンテーション、クラウドサービス経由の通信暗号化などを組み合わせて、既知・未知の脅威を封じ込むといったものです。

日本国内でも近年、多数の企業がゼロトラスト導入に乗り出しています。従来のセキュリティモデルでは「ユーザーIDがシステム・サービスごとに異なる」・「認証方式が古い」・「VPN経由の接続」などが課題となり、デジタル変革の妨げとなっていましたが、これらの課題を解決するためにゼロトラスト・セキュリティモデルをアプローチの柱にする企業も出てきました。

実際にゼロトラスト・アーキテクチャを導入する効果としては、外部攻撃や内部脅威に対する防御強化だけでなく、VPN利用やネットワーク機器の管理コスト低減、分散組織の運用効率向上などが挙げられます。また、ユーザー目線で見ると、従業員の利便性を損なわないよう、シングルサインオン（SSO）やIDプロビジョニングとの連携なども重要になります。一方で、既存システムの移行に時間とコストがかかる（レガシー機器の置き換えや認証基盤構築など）などの課題もあり、移行には十分な計画と段階的な実装が求められます。

終わりに：未来に向けてーDXコンサルティングの提供可能な支援

前章までは2025年の最新のサイバーセキュリティ事情を紹介してきましたが、最後にDX推進に密接に関連する領域を紹介したいと思います。具体的な例の一部として、以下のような取り組みが上げられます。

• セキュリティ教育・訓練：全社員対象の情報セキュリティ教育や、経営層へのリテラシー研修、疑似フィッシング演習（攻撃メールの模擬配信）などで、人的リスクを低減します。

• 組織体制整備：企業ごとの実情に応じたセキュリティ体制構築を支援します。CSIRT（セキュリティ監視・対応チーム）の設立支援、インシデント対応手順の作成、ガバナンス体制の強化などにより、有事の対応力を高めます。

• 技術導入支援：ゼロトラスト・アーキテクチャやEDR、SIEMなど先進技術導入のコンサルティングを行います。導入要件定義からPoC（概念実証）、システム連携設計まで支援することで、ツール導入の効果を最大化します。

• 演習・訓練：実践形式のワークショップや卓上訓練（テーブルトップ演習）を通じて、インシデント発生時の初動対応を検証します。脆弱性診断結果や攻撃シナリオを用いた模擬演習で、組織の弱点を顕在化させ、改善につなげます。

これらは一部ですが、支援を通じてコンサルタントは企業と伴走しながら、セキュリティ戦略のロードマップ策定や投資対効果の分析も行います。セキュリティ対策への投資対効果（ROI）を見える化し、限定的な予算でも最大限の防御効果を上げる手法を検討・提案します。また、経営層とのコミュニケーションにおいては、専門用語を噛み砕いて説明し、業務上の影響やコストリスクと照らし合わせて課題の共有・検討進めていきます。これにより、経営判断に基づいたセキュリティ投資と実装が円滑に進み、単なるコンサルタント／支援者ではなく信頼できるパートナーとしての価値を提供していきます。

企業が直面するサイバー脅威は高度化・多様化しており、防御策もAIやゼロトラストなど最新の技術と手法を取り入れ高度化する必要があります。企業内外の最新事例から学び、自社に即した最新対策の検討・導入を進めることが重要となります。また、DXコンサルタントの伴走支援を得ることで、技術面のみならず組織・体制面での抜け漏れもカバーできます。セキュリティは一過性ではなく継続的な取り組みです。経営層から現場まで一丸となって、AI時代の脅威と向き合いながら、量子コンピューティングなど将来のリスクも視野に入れた戦略的な対策を進めていきましょう。