72％のサイバーリーダーがリスク増大を懸念する中、各国と企業の対応とは

世界がデジタルインフラへの依存を深める中、サイバーセキュリティはかつてないほど重大な課題に直面しています。現代のサイバー攻撃は、規模、巧妙さ、戦略的意図が増大し続けています。その例として挙げられるのが、米国の重要なインフラに侵入した脅威アクター「Salt Typhoon（ソルト・タイフーン）」や、15億ドル相当の暗号資産を盗んだサイバー犯罪グループ「Lazarus（ラザルス）」の最近の活動です。

地政学的に不安定な時代において、政策手段としてのサイバー攻撃の活用が拡大し、「Living off the Land（システム内寄生）」型マルウェアなど、新たな戦術も進化しています。

こうした背景を受け、多くの国がサイバーセキュリティに対するアプローチを再構築しています。世界経済フォーラムの『Global Cybersecurity Outlook (GCO) 2025（グローバル・サイバーセキュリティ・アウトルック2025）』によれば、約60％の組織が、地政学的緊張が自社のサイバーセキュリティ戦略に直接的な影響を与えていると報告しています。

GCOでは、72%もの回答者が組織に対するサイバーリスクが増加していると答えており、引き続きランサムウェアが深刻な懸念事項となっています。また、世界の組織の約半数が「生成AIの悪用」をサイバーセキュリティにおける最大の課題として挙げ、過去1年間で40%以上の組織がソーシャルエンジニアリング攻撃を受けたと報告しています。

現在、CEOの3人に1人が「サイバースパイ活動」および「知的財産の窃盗」を最も懸念しており、サイバーセキュリティの責任者の45%が「業務の中断」に不安を感じています。これらの懸念はもはや仮説ではなく、政府および産業界の最上位レベルの戦略計画に組み込まれる現実です。

各国がこうした圧力にどのように対応しているのかをより深く理解するために、ハーバード大学ベルファー・センターは最近、「Cybersecurity Strategy Scorecard（サイバーセキュリティ戦略スコアカード）」を開発。このスコアカードでは、オーストラリア、ドイツ、日本、シンガポール、韓国、英国、米国という主要なサイバー大国7カ国における、国家レベルでのサイバーセキュリティ戦略を分析し、グローバルな基準策定に資する最も効果的かつ革新的な政策アプローチを明らかにしています。

この調査は、国家のサイバーセキュリティ戦略において、万能な設計図は存在しないことを示しています。最も成功しているアプローチは、それぞれの国が直面する脅威、資源の制約、社会的・政治的なダイナミクスといった要素に応じ、個別に設計されています。

それでも、あらゆる国に共通して適用することができる技術的なベストプラクティスは存在します。効果的な戦略は、通常、以下の5つの基本的な柱を中心に構築されています。（1）インフラと人々の保護、（2）労働力や研究開発を含むサイバー能力の強化、（3）官民および国際的な連携、（4）明確な責任と執行のメカニズム、そして（5）十分に伝達され、定期的に更新される適応型の政策プロセスです。

多くの国では、サイバーセキュリティ人材の不足への対応として、技術を備えた人材の育成の取り組みを強化し、スキルアップ施策への投資や教育の拡充に力を入れています。また、重要なインフラの防御や、国際的な連携、政府機関間の協調、官民の効果的な協力体制にも幅広く注力。英国の「i100」や米国の「JCDC」など、業界関係者にセキュリティクリアランスを付与する取り組みがその一例です。

一方、共通して見られる課題として、中小企業や脆弱な人々を保護するための配慮が不十分であることが挙げられます。こうした層は脅威にさらされているにもかかわらず、依然として十分に守られていません。同様に、サイバーセキュリティが学際的な分野となっているにもかかわらず、サイバー分野の弁護士、政策立案者、コンプライアンス担当者といった非技術的な専門職への投資も限られています。データ・プライバシーや説明責任に関する規制のアプローチには大きな差があり、特に米国ではその傾向が顕著です。中でも最も重大な課題は、多くの戦略において、明確な責任体制、測定可能な成果、リスク評価の仕組みが欠如していることです。適切なインセンティブと実効性のある執行体制がなければ、戦略は実現可能な目標ではなく、実態を伴わない理想論にとどまってしまう可能性があります。

当然ながら、健全な戦略的姿勢が必ずしも強力な実務能力であるとは限りません。多くの国家戦略がサイバー人材の強化の重要性を強調し、具体的な政策措置を示している一方、GCOによると、サイバー技術者の不足は悪化し、2024年以降8％増加しています。現在、組織の3分の2が、重要なセキュリティニーズを満たすための必須スキルを含む、中程度から深刻な人材不足を報告。自社に必要な人材と能力が備わっていると確信しているのは、わずか14％の組織のみです。

課題に関しては、戦略的姿勢がより現実に整合している場合もあります。GCOのデータは、前述したように、中小企業や脆弱な人々に関するサイバー不平等が、深刻かつ拡大する懸念であることを裏付けています。小規模組織の35％はサイバーレジリエンスの不足を感じており、2022年以降で7倍に増加。一方、大規模組織でサイバーレジリエンスが不十分だと報告する割合はほぼ半減しています。

企業が国家のサイバーレジリエンスの基盤であることは広く認識されているにもかかわらず、多くの政府は依然として、企業のセキュリティ慣行を形成、促進するための堅牢かつ先見的な戦略を欠いています。規制は依然として大きな推進力であり、GCOによると、CISOの78％、CEOの87％が、新たなサイバー関連規制は主にセキュリティの向上とリスク軽減の必要性に動機付けられていると述べています。CISOはまた、規制がシステムリスクの軽減や顧客の信頼向上に役立つことを強調しています。

一方、3分の2の組織は、断片化が進むグローバルなコンプライアンス環境の対応が高コストかつ複雑さを増していると報告しています。多くの戦略はサイバー関連の補助金に言及しており、政府は単なる財政支援に頼るのではなく、サイバーリスクの定量化や説明責任、ベストプラクティスの強化を含む、サイバーセキュリティソリューションへの投資収益率の理解促進を支援すべきです。日本、ドイツ、シンガポールなどの国々は中小企業向けのソリューションのうち、審査済みのものに補助金を出し、オーストラリアは規制負担を軽減しています。

一方、米国の「Cybersecurity Apprenticeship Program（サイバーセキュリティ見習い制度）」や「セキュア・バイ・デザイン」の提案などの取り組みを通じ、安全でない製品の生産者に責任を移し、健全かつ長期的なサイバーセキュリティ文化と人材育成を促進するインセンティブを創出しようとしています。最終的には、サイバーセキュリティは単なるコンプライアンス要件でなく、信頼を構築し、イノベーションを保護し、市場競争力を高めるビジネスの推進力として捉えられるべきです。そのためには、企業のリーダーが自社のサイバー投資がいかにして純粋な経済的メリットにつながるのかを示す、明確かつ定量的なインセンティブを創出しなければなりません。

サイバー脅威は急速に進化しており、ランサムウェア、国家の支援による侵入、AIを活用した攻撃が国家安全保障、経済の安定性、公共の信頼に深刻なリスクをもたらしています。同時に、新興技術は攻撃対象の拡大を招いています。AIは敵対者によるスピアフィッシングの自動化、説得力のあるディープフェイクの生成、ソフトウェア脆弱性の大規模特定を可能にし、量子コンピューティングの進展は既存の暗号基準を脅かしています。

規制当局も行動を開始しており、EUのサイバーレジリエンス法はデジタル製品の最低限のセキュリティ要件を定めています。一方、対策としての政策立案の猶予は短くなっています。政府はサイバーセキュリティ戦略を今すぐ近代化し、計測可能かつ適応的な防御構造に投資し、実行可能かつ測定可能な政策を率先して打ち出す必要があります。それを怠れば、サイバー攻撃が拡大する時代において、重要なシステムが脆弱なまま残されるリスクが高まるでしょう。