NRIセキュアテクノロジーズ(NRIセキュア)は2月12日、日・米・豪の3ヶ国の「企業におけるサイバーセキュリティ実態調査2025」の結果を発表した。
同調査は2025年6月から8月にかけ、日本・アメリカ・オーストラリアの企業 計2,282社の情報システム及び情報セキュリティ関連業務の担当者を対象に実施した調査結果を集計・分析したもの。2002年度から実施しており、今回で23回目となる。
経済産業省が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」について、サプライチェーンを構成する取引立場に属し、同制度を「理解している」と回答した企業に限定して準備状況を尋ねたところ、制度の運用開始予定である2027年3月末までに準備が完了すると回答した企業は23.7%にとどまり、多くの企業で準備が間に合っていない実態が明らかとなった。また、43.4%が「対策の予定なし」と回答している。
VPN機器の脆弱性を悪用したサイバー攻撃被害が相次ぎ、大手企業を中心に「脱VPN(ゼロトラスト移行)」への関心が高まる中、VPNの使用状況について尋ねたところ、使用率は84.2%と昨年度調査(85.3%)から横ばいで推移しており、多くの企業が依然としてVPNを利用し続けていることが判明した。
米国国立標準技術研究所(NIST)が策定した「The NIST Cybersecurity Framework(CSF)2.0」(NIST CSF 2.0)における6つの機能分類を用い、現在と今後3年間それぞれの予算配分の意向を尋ねたところ、現在、日本企業が予算を多く投じているのは「検知」(60.0%)と「防御」(56.7%)で、従来の境界防御や監視にリソースが集中していることが明らかになった。
一方で、今後3年間で予算を増やしたい分野で伸び幅が大きかったのは「対応」(37.1%)と「統治」(20.9%)で、攻撃を完全に防ぐことは困難という前提に立ち、インシデント発生時の被害抑止や復旧力を高めようとする意向が見て取れるとしている。また、「統治」への関心の高まりは、サイバーセキュリティを技術論だけでなく、経営課題として組織横断的に取り組む姿勢への変化を示唆していると考察している。
