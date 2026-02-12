NRIセキュアテクノロジーズ株式会社

NRIセキュアテクノロジーズ株式会社（以下「NRIセキュア」）は、2025年6月から8月にかけて、日本、アメリカ、オーストラリア3か国の企業計2,282社を対象に、サイバーセキュリティに関する実態調査を実施しました。この調査は、2002年度から実施しており、今回で23回目となります[i]。

調査で取り上げたさまざまなテーマのうち、「1.生成AI」、「2.サプライチェーン」、「3.脅威動向」、「4.VPNセキュリティ」、「5.セキュリティ関連予算」に関する結果を、一部抜粋して紹介します。

1. 生成AI利用率は8割台へ急増も、用途は「社内業務」止まりが鮮明に

生成AIの活用状況について尋ねたところ、「利用していない」と回答した企業を除くと、何らかの形で利用している企業は日本で83.2%となり、昨年度調査（65.3%）から大きく上昇しました（図表1）。米国（97.8%）、豪州（97.7％）と比較しても、利用そのものは日本企業にも急速に浸透していることが分かります。

一方で、その活用用途には日・米・豪で明確な差が見られました。「外部APIを活用して、社内業務向けのシステムに生成AIを組み込んでいる」「自社プロダクトやサービスに生成AIを組み込み、顧客に提供している」といった、システム実装やビジネス価値創出を伴う発展的な活用については、日本は米・豪に比べて大幅に低い結果となりました。日本企業ではチャットツールなどの「社内業務利用」が中心であるのに対し、米・豪の企業では「システム実装・顧客提供」へとフェーズが移行しており、今後は日本企業においても活用レベルの高度化が求められると考えられます。

図表1：生成AIの活用用途

Q.「生成AIの業務利用状況について、あてはまるものをすべてお選びください。」（複数回答）

※RAG（Retrieval-Augmented Generation）とは、大規模言語モデルによるテキスト生成に、外部情報の検索を組み合わせることで、回答精度を向上させる技術を指します。

2. 7割超が取引先からの調査票対応に「課題」、経産省の新制度への対応に遅れ

サプライチェーン攻撃に対する懸念から、取引先（委託元）によるセキュリティ評価が厳格化する一方で、評価を受ける側の負担増が深刻化しています。 委託元から求められるセキュリティ評価（アンケート回答等）について尋ねたところ、委託を受けていない企業を除く75.4%の企業が何らかの課題を感じていることが分かりました（図表2） 。最大の課題は、「委託元ごとに内容やフォーマットが異なり、対応が煩雑になる」（42.8%）ことでした 。現場では非効率な業務負荷が増大しており、評価基準の標準化が強く求められています。

こうした中、経済産業省が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度（★の数で対策状況を可視化する制度）」[ii]への期待が高まっていますが、日本企業の対応は遅れています。サプライチェーンを構成する取引立場に属し、本制度を「理解している」と回答した企業に限定して準備状況を尋ねたところ、制度の運用開始予定である2027年3月末までに準備が完了すると回答した企業は、23.7%にとどまりました（図表3）。多くの企業で準備が間に合っていない実態が明らかとなり、今後は評価対応の効率化と制度上の認定取得を両立させる取り組みが急務となります。

図表2：委託元から要求されるセキュリティ評価の課題

Q.「委託元から要求されるセキュリティ評価・対応について、特に課題と考えるものをすべてお選びください。」（複数回答）

図表3：サプライチェーン評価制度に向けた準備完了時期

Q.「サプライチェーン強化に向けたセキュリティ対策評価制度の準備はいつまでに完了する見込みですか？」（単一回答）

3. ランサムウェアに続き、「内部不正」「不注意」への警戒が高まる

セキュリティの脅威に対する企業の警戒度合いを調査するため、独立行政法人情報処理推進機構（IPA）が2025年1月30日に公表した「情報セキュリティ10大脅威 2025」[iii]の組織編で発表された10の脅威のうち、実際に企業のセキュリティ担当者が警戒している項目について、日本企業に尋ねました。1位は「ランサムウェアによる被害」（80.8%）で、依然として最大の脅威と認識されています（図表4）。

注目すべきは、日本では2位に「内部不正による情報漏えい等」（54.8%）、5位に「不注意による情報漏えい等」（42.4%）がランクインした点です。これはIPAが発表している順位よりも高いランクであり、現場のセキュリティ担当者が、外部からのサイバー攻撃と同様に、あるいはそれ以上に「身内の不正やミス」というコントロールしにくいリスクに対して、強い警戒感を抱いていることが浮き彫りになりました。

図表4：実際に警戒している項目

Q.「現在警戒している脅威を、IPA 情報セキュリティ10大脅威 2025をもとに最大5つお選びください。」

4. 「脱VPN」進まず利用率8割を維持、4割近くの企業は対策が未完了の危険な状態

昨今、VPN機器の脆弱性を悪用したサイバー攻撃被害が相次ぎ、大手企業を中心に「脱VPN（ゼロトラスト移行）」への関心が高まっています。しかし、実態としてはVPNの使用率は84.2%と昨年度調査（85.3%）から横ばいで推移しており、多くの企業が依然としてVPNを利用し続けていることが分かりました（図表5）。

さらに深刻なのは対策状況です。「最新のパッチ適用」を完了している企業は63.1%にとどまったことから、4割近くの企業は対策が未完了の状態であり、脆弱性を放置している恐れがあります（図表6）。VPN機器の脆弱性を突く攻撃が常態化しているにもかかわらず、基本的なメンテナンスさえ追いついていない状況下で、現場ではVPNの利用を続けているという、極めて危険な状態が浮き彫りになりました。

図表5：VPNの使用状況

Q.「あなたの会社では現在VPNを使用していますか？以下の中から最もよくあてはまるものを１つ選択してください。」

図表6：VPNセキュリティ対策の実施率

Q.「VPNに関するセキュリティ対策について、対応状況をお答えください。」（対策項目ごとに単一回答）

5. 予算配分は「防御」偏重から脱却、NIST CSFの「対応」「統治」へ投資シフト

米国国立標準技術研究所（NIST）が策定した「The NIST Cybersecurity Framework（CSF）2.0」（通称：NIST CSF 2.0）における6つの機能分類を用い、現在と今後3年間それぞれの予算配分の意向を調査しました。現在、日本企業が予算を多く投じているのは「検知」（60.0%）と「防御」（56.7%）であり、従来の境界防御や監視にリソースが集中しています（図表7）。

一方、今後3年間で予算を増やしたい分野で伸び幅が大きかったのは、「対応」（37.1%）と「統治」（20.9%）でした。攻撃を完全に防ぐことは困難という前提に立ち、インシデント発生時の被害抑止や復旧力（レジリエンス[iv]）を高めようとする意向が見て取れます。また、「統治」への関心の高まりは、サイバーセキュリティを技術論だけでなく、経営課題として組織横断的に取り組む姿勢への変化を示唆していると考えられます。

図表7：NIST CSF機能別の予算意向

Q.「現在、6つのセキュリティ対策分野の中で相対的に予算を多くかけているものを、最大3つまでお選びください。」「今後3年間で、6つのセキュリティ対策分野の中で予算割合を増やしたいと考えているものを、最大3つまでお選びください。」

今回の調査では、日本企業の生成AI利用率が米・豪の水準に迫る一方で、高度なシステム実装においては遅れをとっている実態が明らかになりました。また、ランサムウェアに加え、内部不正や不注意による漏えいが警戒対象の上位に入り、技術対策だけでなく統制・教育の重要性が再認識されています。

こうした環境変化や脅威の高度化を踏まえ、予算配分は「予防・検知」重視から、有事の「対応・復旧」および全体を監督する「統治」へシフトする見込みです。

「企業におけるサイバーセキュリティ実態調査2025」の詳細なレポートは、次のWebサイトから入手できます。

NRIセキュアは、今回の調査結果を踏まえ、今後も企業・組織の情報セキュリティ対策を支援し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] 2024年度調査までは、「企業における情報セキュリティ実態調査」という名称で実施してきましたが、今回から調査名称を「企業におけるサイバーセキュリティ実態調査」に改めました。

[ii] 詳細は経済産業省の次のWebサイトをご参照ください。https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html

[iii] 情報セキュリティ10大脅威：前年に発生し社会的に影響が大きかったと考えられる情報セキュリティの事案から、IPAが候補を選定し、情報セキュリティ分野の専門家が審議・投票で決定した、10項目からなる脅威の一覧です。組織編と個人編があり、情報セキュリティ業界では毎年注目されています。詳細は、IPAの次のWebサイトをご参照ください。https://www.ipa.go.jp/security/10threats/10threats2025.html

[iv] サイバーレジリエンス：サイバー攻撃に対する組織の対応力と回復力を指し、有事の際にもビジネスの継続性を維持して被害の影響を最小限に抑える能力を指します。

【ご参考】

