グローバルなサイバーセキュリティ～複雑化する課題を行動に変える～

2025年を迎え、最新の『グローバル・サイバーセキュリティ・アウトルック』では、デジタルセキュリティの状況を再形成する前例のない多数の課題が明らかになっています。

今日のサイバー環境の複雑さへの対処は極めて困難なものです。世界経済フォーラムのサイバーセキュリティ部門は、この複雑さを読み解き、組織が実施してレジリエンスを強化することのできる具体的行動に変換することに着目しています。

私たちの調査から浮かび上がった最も差し迫った懸念は、「持てる者」と「持たざる者」の間のサイバー格差の拡大です。この格差は、グローバルなサイバーレジリエンスにおいて、それぞれ異なる課題や影響をもたらす3つの重要な側面で顕著に表れています。

まず、大規模な組織と小規模な組織の格差は、憂慮すべきレベルにまで達しています。大企業がサイバー防御を強化し続けている一方で、小規模な組織の35%がサイバーレジリエンスの不足を報告しており、これは2022年の7倍に達しています。この格差は特に懸念すべきものです。小規模な組織はグローバルなサプライチェーンにおいて重要な役割を担っていることが多く、その脆弱性は大企業を標的とする攻撃者の潜在的な侵入経路となるからです。

第二は、先進国と開発途上国の格差が拡大を続けていることです。欧州と北米では、自国の重大なサイバーインシデントへの対応能力に自信がないと回答した組織は15%にとどまりましたが、この数字はアフリカでは36%、中南米では42%と上昇します。この地域的な格差は、敵対者が悪用可能なシステム上の脆弱性を生み出し、ひいてはグローバルなデジタル・インフラに影響を及ぼす可能性があります。

第三に、様々な産業セクター間のサイバーセキュリティ成熟度に大きなばらつきがあることです。特にパブリックセクターの脆弱性が際立っており、自らのレジリエンスが不十分であると認識する回答者は大規模および中規模企業では10%にとどまるのに対し、パブリックセクターでは38%に上ります。このようなセクター間の格差は、私たちの総合的な防御に危険なギャップを生み出します。

サイバーセキュリティと経済安定性の関係は、これまで以上に明白になっています。年次総会における議論でも指摘されたように、重要なインフラの保護は今や最重要課題です。

公開セッション「Defending the Cyber Frontlines（サイバー最前線の防衛）」では、シーメンスエナジー監査役会会長のジョー・ケーザー氏がスタックスネット事件について振り返り、気付かないうちに自社の部品が国家によるサイバー作戦に加担してしまうという、企業が直面する複雑な課題について説明しました。この事件は、より緊密な官民連携の必要性を浮き彫りにしています。

サプライチェーンの脆弱性もまた、重大な課題として浮上。大規模な組織の54%が、サイバーレジリエンスの達成を阻む最大の障壁としてこれを挙げています。現代のサプライチェーンの複雑性とデジタルの相互接続性の向上が相まって、侵入されれば全体に被害が広がるポイントが無数に生み出されており、組織や経済に深刻な影響を及ぼす可能性が生じているのです。

調査では、組織がAIとサイバーセキュリティにアプローチする方法において、際立ったパラドックスがあることが明らかになりました。組織の3分の2が、AIがサイバーセキュリティに大きな影響を与える可能性を認識している一方、AIツールを展開する前にそのセキュリティを評価する適切なプロセスを導入している組織は3分の1にも満たないのです。認識と備えにこのようなギャップがあれば、組織が十分なセキュリティ対策を講じないままAIテクノロジーの導入を急ぐことになり、重大な脆弱性が生まれます。

その一方で、サイバー犯罪者がAIを悪用して効率化を図り、規模の経済性がもたらされる可能性があります。音声（ボイス）によるフィッシング詐欺を意味する「ヴィッシング」やディープフェイクも、詐欺の蔓延に重大な影響を及ぼす可能性があります。昨年も複数の事例がありました。

また、進化するサイバー紛争は複雑性を増しています。クラウドフレアCEOのマシュー・プリンス氏が同会合で指摘したように、大規模なサイバー攻撃の激化が予測されるものの、主要な大国の間では一種の抑止力が生まれています。これは、相互確証破壊（MAD）の恐れがあるためで、核抑止と似た仕組みです。しかし、この力学で利があるのは主に大国であり、小さな国や組織はより脆弱な状態に置かれています。

私たちが直面している課題には、これまでにないレベルの国際協力が必要です。同会合での議論において、赤十字国際委員会会長のミリアナ・スポリアリッチ氏は、国際人道法の原則がすでにサイバー空間における責任ある行動の枠組みを提供していることを強調しました。既存の規範は特に市民サービスのインフラやヘルスケアなど不可欠なサービスにおけるサイバー業務に適用され、それらを保護しています。

しかし、その実施は依然として課題であり、異なる政治体制を尊重しながら、サイバー空間におけるより明確な関与規定を確立するための枠組みが必要とされています。

同会合のセッション「Cutting through Cyber Complexity（サイバー複雑性の打破）」において、ニューヨーク大学アブダビ校の学務担当副学長補佐（研究成果実用化・起業担当）のホダ・アル・クザイミ氏は、攻撃者は機敏かつ情報へのアクセスに優れていることが多い一方で、こうした脅威に対抗するための規制は依然として不適切なままであると指摘。パネリストの専門家たちも、こうしたサイバーセキュリティの課題に対処するには、各国政府、機関、企業の連携が依然として不可欠であると述べています。

直面する課題は複雑であっても、対応では具体的かつ実行可能な手順に焦点を当てる必要があります。私たちの調査とグローバルリーダーたちとの関わりに基づいて、組織が優先すべきことを以下のように提言します。

AIセキュリティ管理の強化：同会合において、白書『AI and Cyber:

Balancing Risks and Rewards（AIとサイバー：リスクとメリットのバランス）』が発表されました。これは、AIの導入に伴う主なセキュリティリスクについて企業が理解する手助けとなるものです。オックスフォード大学の協力を得て作成された同白書は、企業に対して潜在的なリスクと脆弱性を特定し、潜在的な悪影響を評価し、残存リスクと潜在的な利益を比較検討し、AIのライフサイクル全体を通じて緩和策を繰り返し実施するよう呼びかけます。

人材開発：サイバーセキュリティ業界では、熟練した専門家の深刻な不足が課題となっています。しかし、これは課題であると同時にチャンスでもあります。サイバーセキュリティは、AIに次いで世界で最も急速に成長している雇用市場の一つであり、その影響について懐疑的な見方もありますが、多くの人々はAIを労働力の能力を強化し、増強するツールとして捉えています。同フォーラムの白書『Strategic Cybersecurity Talent Framework（戦略的サイバーセキュリティ人材フレームワーク）』では、官民が連携して有能なサイバーセキュリティ人材を育成し、維持するための実行可能なアプローチが提示されています。

サプライチェーンのレジリエンス：企業は定期的な評価にとどまらず、継続的なモニタリングを行い、パートナーとの協力体制を構築する必要があります。これには、エコシステム全体にわたる脅威情報やベストプラクティスの共有が含まれます。サイバーセキュリティ部門は、多様な業界のパートナーやコミュニティとともに、サイバーレジリエンスを推進するための議論を継続的に進めています。

経済的影響の評価：企業は、潜在的なサイバーセキュリティ・インシデントの直接的および間接的なコストを評価するためのより洗練されたモデルを開発し、これらの評価をリスク管理の枠組みに組み込む必要があります。同フォーラムは、サイバーセキュリティと経済の交差点に焦点を当て、サイバー脅威に対する世界経済のレジリエンスを強化する方法についての洞察を官民の意思決定者に提供することを目的として、「リヤド・サイバー経済センター（Riyadh Centre for Cyber Economics）」を立ち上げました。

セクター横断的パートナーシップ：特にサイバー脅威に対する防御として、中小企業や新興市場におけるサイバーセキュリティの公平性を向上させるためには、より強固な官民連携体制の構築が不可欠です。「サイバー犯罪対策パートナーシップ」は、サイバー犯罪対策における官民連携の推進を目的としており、洞察の共有と、サイバー犯罪対策における効果的な協力関係を推進するためのアプローチの継続的な模索を行うためのプラットフォームとしての役割を果たします。

この複雑な状況を乗り切るためには、複雑な状況を現実的な行動に変えることに引き続き焦点を当てる必要があります。同フォーラムのサイバーセキュリティ部門は、世界中の官民組織間の協力を促進し続けており、その様々なイニシアチブを通じて、サイバー防御能力へのより公平なアクセスを促進すると同時に、サイバーセキュリティの経済的側面をよりよく理解し、対処するための取り組みを行っています。

地政学的な緊張、技術の進歩、経済的圧力の収束は、サイバー空間において前例のない複雑性を生み出しました。しかし、この複雑さに私たちが立ち止まっていてはなりません。むしろ、この複雑さを、私たちの集団的なセキュリティを強化する具体的な行動を起こすよう私たちを駆り立てるものにしなければなりません。グローバルリーダーたちとの議論で見てきたように、解決策は存在します。しかし、そのためにはすべてのステークホルダーによる協調行動と持続的な取り組みが必要です。

今後は、より包摂的かつレジリエンスの高いデジタル未来の構築に焦点を当てる必要があります。これは、技術的な防御を強化するだけでなく、サイバーセキュリティの恩恵が組織、セクター、地域全体により公平に分配されるようにすることを意味します。

サイバー格差解消に向けた継続的な協力、イノベーション、コミットメントを通じて、私たちは、ますますつながりが強まる世界でサイバーセキュリティが脆弱性ではなく強みの源となる未来を目指して取り組むべきです。