ニュース
NRIが示す、2030年までのサイバーセキュリティ動向とは?
2025年3月25日 11:56
株式会社野村総合研究所(以下、NRI)は24日、サイバーセキュリティに関するメディアフォーラムを開催し、現在から2030年にかけて発生すると予想されるセキュリティの動向について解説した。
NRIセキュアテクノロジーズ(NRIセキュア) シニアセキュリティコンサルタントの木村匠氏は、2030年までのサイバーセキュリティに関する変化として6点を挙げる。
それは、1.セキュリティ対策の透明性向上を求める声がよりさかんになること、2.海外だけでなく国内においてもサイバーセキュリティと安全保障が融合すること、3.対象の広いより立体的なデータセキュリティが求められるようになること、4.セキュリティがイノベーションの加速に欠かせないガードレールとなること、5.フロンティア領域へのデジタル技術の導入加速でサイバー脅威が増加すること、6.セキュリティに関する社会技術的アプローチが普及することだ。
1.セキュリティ対策の透明性向上がより求められる
セキュリティ対策の透明性が求められる背景について木村氏は、「ランサムウェア攻撃がサプライチェーンを標的とするケースが増加し、セキュリティバイデザインという考え方がますます重要視されるようになる中、企業は自社のセキュリティ対策を積極的に開示し、社会的信頼を得ようとする傾向が強まっている」と語る。
こうした流れを受け、「日本ではセキュリティ対策の評価制度が導入される予定だ」と木村氏。特にIoT製品に関しては、間もなく運用が開始される見込みだという。
このような状況において、「企業は自社の利用環境に適したセキュリティ水準を持つ製品を選定し、委託先に対しても一定以上のセキュリティ水準を求めるという社会的責任を負うことになる」と木村氏。その上で、「サプライチェーン全体で一度に課題を解決しようとするのではなく、自社の事業リスクを考慮して優先順位をつけ、段階的に対策を進めることが重要だ。また、IPAが提供する情報セキュリティベンチマークなどのツールを活用することや、現在検討されているセキュリティ対策評価制度でどのようなガイドラインが用いられるのかを把握し、組織全体で求められる水準を理解することが望ましい」とした。
2.サイバーセキュリティと安全保障の融合
サイバーセキュリティと安全保障の融合については、「海外ではすでに両者を一体化させる動きが主流となりつつある。国内でも、昨年に経済安全保障推進法やセキュリティクリアランス制度が成立したほか、現在は能動的サイバー防御の検討が進んでおり、内閣サイバーセキュリティセンター(NISC)でもリスク管理が強化されるだろう」と木村氏は語る。
こうした変化により、「民間企業はインシデント発生時、監督省庁などへの迅速な情報共有が求められるようになる。また、これまでは重要インフラを中心に安全保障対策が行われてきたが、それ以外の領域でも脅威アクターの動機や能力を注視し、備える必要がある」と木村氏はいう。
情報共有にあたっては、業界内での情報共有や連携を推進するISACなどの組織に参加し、積極的に貢献することや、外部専門家との連携、さらには脅威インテリジェンスを自社内で蓄積し活用することなどを木村氏は推奨している。
セキュリティクリアランスの取得や官民連携施策の参加に関しては、「コストや自社へのメリットを慎重に判断し、経営層と認識を合わせて効率的な情報共有体制を構築することが望ましい」と木村氏。また、政府が提供するガイドラインも注視すべきだとしている。
木村氏によると、政府全体のセキュリティ予算やNISCの予算は急増しており、現在サイバー対処能力強化法案が検討されているほか、国家サイバー統括室も新設される予定で、さらなる体制整備が進む予定だという。
3.対象の広いより立体的なデータセキュリティが求められる
従来はデータセキュリティといえば個人情報保護が中心だったが、近年ではその範囲が拡大しつつあり、「産業データや子どもの個人情報にも注目が集まっている」と木村氏はいう。産業データでは、重要インフラの技術や運用データの保護が意識されるようになり、個人情報保護法の見直しでは、子どもの個人情報に焦点が当てられているという。
これにより、「データセキュリティはより広範かつ包括的な対応が求められるようになった」と木村氏。そのため組織は、「自社が扱うデータの所在や種類を正確に把握し、保護対象を精査する必要がある。また、プライバシー規制や産業データ規制は地域ごとに異なるため、自社に適した規制を見極めることも重要だ」と木村氏は述べている。
こうした課題に対応するためには、「まず関連する規制の整理とリスクを評価し、優先順位を明確にすること。特に重要なデータには、頻繁な監査や高度な保護対策を実施することが求められる」と木村氏は語る。また、緊急時の対応訓練を行う際には、実際の事例を参考に具体的なシナリオを用いることが効果的だとしており、「こうした取り組みを通じて、より実践的で強固なデータセキュリティ体制を構築していくことが重要だ」とした。
4.セキュリティがイノベーション加速のガードレールに
木村氏は、セキュリティがイノベーションを促進するためのガードレールとなりつつある点について、「特にAIの分野では、セキュリティやプライバシー保護が、単に厳しく管理するだけではなく、安心して新しい挑戦を進めるための支えとなるべきだ」としている。
その方法について木村氏は、「従来はチェックリスト型で守るべきルールを並べ規制するベースラインアプローチが主流だったが、現在は基本的な原則を示しつつも、その実践方法は各組織がリスクに応じて判断するリスクベース型へと移行が進んでいる」と語る。
この新しいアプローチは柔軟性が高まるものの、原則と実装のギャップを埋める検討が必要となるため、「これまでのルールベース型規制に加え、事業や利害関係者への影響を考慮しながら段階的に対応することが求められる」と木村氏は述べている。
木村氏は、ベースラインアプローチとリスクベースアプローチを比較し、「ベースラインアプローチは、一律の要求を実施するのが不合理になりうる場合がある。一方のリスクベースアプローチは、状況に応じた対策を選べる利点があり、すでに医療や金融分野のガイドラインでも採用されている」と述べ、今後さらにリスクベースアプローチが広まるだろうとした。
5.フロンティア領域へのデジタル技術導入によるサイバー脅威の増加
ここでいうフロンティア領域とは、主に宇宙や海洋といった人類にとって未知の世界を指す。こうした領域ではデジタル技術の発展が著しく、デジタルツインの導入や制御システムの開発が進んでいるが、同時にシミュレーションデータの改ざんやミッション失敗といったリスクも潜んでおり、「国家規模のプロジェクトも多いため、環境や経済面で深刻な損失を招く可能性がある」と木村氏は警告する。
そこで木村氏は、「組織の通信インフラや製品がサプライチェーンに組み込まれる場合は、そのリスクを考慮した対策が不可欠だ」と語る。そのためには、企画段階から脅威を分析し、制御システム向けのセキュアな開発プロセスを導入することや、先行してセキュリティガイドラインの整備が進む宇宙分野では、関連情報を注視するよう呼びかけている。
ガイドラインのひとつとして木村氏は、経済産業省の「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を挙げる。また海洋分野では、船上のシステムや港湾などの分野に対し、日本海事協会や国土交通省がガイドラインを示しているという。
6.セキュリティに関する社会技術的アプローチが普及
社会技術的アプローチとは、技術的要素と社会的要素を一体化してとらえる考え方だ。その一例として木村氏は、「例えば、AIエージェントのように日常生活に自然に溶け込む技術では、セキュリティを単なる技術的課題としてではなく、倫理や法的要素、人間の認知や行動といった社会的側面と併せて考える必要がある」と語る。
脅威についても、技術面だけでなく社会的要素も含めた分析が求められるようになるが、そのためには「利用者や攻撃者の心理・行動といったミクロな視点と、社会全体への影響というマクロな視点の両方を考慮するべき。また、認知心理学や法学、倫理学、行動経済学といった分野の専門家と連携すると効果的だ」としている。
SNSなどのデジタルプラットフォームにおいても、「システムの脆弱性への攻撃だけでなく、認知バイアスを悪用した心理操作やダークパターン、フィッシングなど、技術以外の問題にも目を向けなくてはならない」と木村氏。また、生成AIによる偽情報やディープフェイクの拡散が社会混乱を引き起こすリスクも顕著だとして、「こうした脅威はこれまでセキュリティの定義では網羅されていなかったが、社会技術的視点を取り入れざるを得ないようになってきている」とした。
