NRIセキュアテクノロジーズ
マネジメントコンサルティング事業本部 木村 匠、入澤 康紀、石井 優斗、市村 海璃、仁尾 紗智乃
野村総合研究所(NRI)は最新のIT動向の調査結果をまとめた書籍『ITロードマップ』を2005年から毎年刊行しており、NRIセキュアテクノロジーズ(NRIセキュア)は、2017年版からセキュリティ技術の最新動向について執筆しています。この記事では2025年版の中から「セキュリティロードマップ」を取り上げ、2030年までに発生しうるサイバーセキュリティの6つの変化について解説します。本テーマに詳しいNRIセキュアの木村 匠、入澤 康紀、石井 優斗、市村 海璃、仁尾 紗智乃に聞きました。
セキュリティロードマップの全体像
セキュリティ対策の検討をする上で、今後起こりうる脅威への備えは重要ですが、未来のセキュリティトレンドの変化を考慮した政策や対策を立案することは容易ではありません。このため、NRIセキュアは、セキュリティに関連する社会環境やデジタル技術に関する2030年までの見通しをもとに、重要課題や施策の概要をセキュリティロードマップとして取りまとめました。将来を見越したセキュリティ政策の立案や、各組織における計画検討のインプットとなることを期待しています。
2030年にかけて予想されるセキュリティ関連事象を「政治(P)」「経済(E)」「社会(S)」「技術(T)」の4カテゴリー(PEST)から考察しました。
「政治」は、セキュリティに関する規制・制度のことで、制度・規制の制定や改正がこのカテゴリに分類されます。
「経済」は、セキュリティに関連する投資のことで、セキュリティ産業全体や個別企業への投資、セキュリティ対策実装のための具体的な投資などの事例がこのカテゴリに相当します。
「社会」は、セキュリティを取り巻く社会認識やイベントに該当し、このカテゴリに含まれるのは、セキュリティ対策に関する意識・認知の醸成、セキュリティに関連しうる各種イベントなどです。
「技術」は、セキュリティを促進する、あるいは保護の対象となる技術のことで、セキュリティを強化する技術の開発、セキュリティ対策による保護の対象となる技術の開発などがこのカテゴリに分類されます。
2030年にかけて予想されるセキュリティ関連事象を「政治(P)」「経済(E)」「社会(S)」「技術(T)」の4カテゴリー(PEST)から考察しました。
「政治」は、セキュリティに関する規制・制度のことで、制度・規制の制定や改正がこのカテゴリに分類されます。
「経済」は、セキュリティに関連する投資のことで、セキュリティ産業全体や個別企業への投資、セキュリティ対策実装のための具体的な投資などの事例がこのカテゴリに相当します。
「社会」は、セキュリティを取り巻く社会認識やイベントに該当し、このカテゴリに含まれるのは、セキュリティ対策に関する意識・認知の醸成、セキュリティに関連しうる各種イベントなどです。
「技術」は、セキュリティを促進する、あるいは保護の対象となる技術のことで、セキュリティを強化する技術の開発、セキュリティ対策による保護の対象となる技術の開発などがこのカテゴリに分類されます。
2030年に向けた、サイバーセキュリティの6つの変化
セキュリティに関連する事象を上記のPESTの観点から考察すると、6つの動向の変化が浮かび上がってきます。
1つめの変化は、セキュリティ対策の透明化です。サプライチェーン強化に向けて、組織のセキュリティ対策状況を対外的に開示する流れが加速しています。国内では「サプライチェーン強化に向けたセキュリティ対策評価制度」が数年以内に運用開始予定であり、直近ではインターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的とした「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の申請受付が2025年3月に開始されました。
このような変化に対応するには、委託先に発注する際にも、適正水準のセキュリティ対策を有する組織を選定する責任が生じる可能性があります。セキュリティ対策評価制度開始に向け、ガイドラインや基準を参考にして求められる水準を把握することが重要です。組織的観点の評価については、情報処理推進機構(IPA)の「情報セキュリティベンチマーク」などのツールを活用することも有効です。
2つめの変化は、サイバーセキュリティと安全保障の融合です。欧米や近隣アジア地域に続き、日本でもサイバーセキュリティと安全保障を一体として捉える考え方が主流になりつつあります。それに伴い、政府による官民連携施策がより具体化していく見込みです。インシデント発生時には、企業も監督省庁などへのよりスピーディーな情報共有が求められる可能性があります。そのため、被害発生時の情報共有のあり方について経営層を含めて認識を合わせておくことが必要です。
3つめの変化は、データセキュリティに関する守備範囲の拡大と立体化です。近年では個人情報だけでなく、産業データの保全も求められるようになりました。意図せぬ知的財産の流出などを防ぐため、データの適切なマネジメントが重要です。さらに、2025年度は原則3年ごとに行われる個人情報保護法改正検討のタイミングに当たることから、改正に向けた検討が進められています。とりわけ、日本では子どもの個人情報の取り扱いに関する具体的な規定が、現行の個人情報保護法上にはなく、国内外で規制の検討が進んでいることに留意する必要があります。
4つめの変化は、セキュリティのガードレール化です。生成AIに関する懸念やリスクへの適切な対処について、内閣府のAI戦略会議は「ガードレールの設置が必要」と表現しました。AIなどの先端領域では、イノベーションを維持しつつ必要なリスク対策を行う「ちょうどよい」セキュリティ規制が求められています。このような動きは、他技術領域にも広がっていくことが予想されます。イノベーションとセキュリティ対策を両立するには、原則と実装のギャップを埋めるための検討が必要です。脅威分析やリスク分析を実施した上で、イノベーションの円滑な実装にも配慮しつつ、技術に関連するリスクの実態を把握しながら必要な対策を行う、リスクベース型の規制対応などへ段階的に移行することも有効です。
5つめの変化は、フロンティア領域におけるサイバー脅威の増加です。宇宙・海洋といったフロンティア領域へのデジタル技術導入が進むにつれ、これらの領域を狙うサイバー攻撃も増えています。インシデント発生リスクの増大とともにセキュリティの重要性がますます認識され、例えば宇宙に関連するものであれば経済産業省や関連団体が中心となってルール形成が進んでいくでしょう。フロンティア領域でのセキュリティ対策でも、サプライチェーン全体のリスクを考慮することが欠かせません。企画段階からサプライチェーンの関係主体を巻き込み、関連するサービスやシステムの脅威分析を行うことが求められます。
6つめの変化は、セキュリティに関する社会技術的アプローチの普及です。「社会技術的」とは、技術的要素と社会的要素を一体的に捉える考え方です。AIなどの技術が身近になった今、人間の認知的な脆弱性を狙った脅威が増しています。このような背景のもと、倫理や法、人間の認知・行動といった社会的要素と技術を一体的に捉える社会技術的アプローチの重要性が高まっています。各国では関連する規制が強化されており、日本でも社会技術的な観点から既存規制を見直す兆しが見られます。企業においては、関連する技術に対して社会的要素を含めた脅威分析を行い、とりわけセキュリティの社会的要素に関する知見を持った専門家と協働して対策を検討することが有効です。
1つめの変化は、セキュリティ対策の透明化です。サプライチェーン強化に向けて、組織のセキュリティ対策状況を対外的に開示する流れが加速しています。国内では「サプライチェーン強化に向けたセキュリティ対策評価制度」が数年以内に運用開始予定であり、直近ではインターネットとの通信が行える幅広いIoT製品を対象として、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的とした「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の申請受付が2025年3月に開始されました。
このような変化に対応するには、委託先に発注する際にも、適正水準のセキュリティ対策を有する組織を選定する責任が生じる可能性があります。セキュリティ対策評価制度開始に向け、ガイドラインや基準を参考にして求められる水準を把握することが重要です。組織的観点の評価については、情報処理推進機構(IPA)の「情報セキュリティベンチマーク」などのツールを活用することも有効です。
2つめの変化は、サイバーセキュリティと安全保障の融合です。欧米や近隣アジア地域に続き、日本でもサイバーセキュリティと安全保障を一体として捉える考え方が主流になりつつあります。それに伴い、政府による官民連携施策がより具体化していく見込みです。インシデント発生時には、企業も監督省庁などへのよりスピーディーな情報共有が求められる可能性があります。そのため、被害発生時の情報共有のあり方について経営層を含めて認識を合わせておくことが必要です。
3つめの変化は、データセキュリティに関する守備範囲の拡大と立体化です。近年では個人情報だけでなく、産業データの保全も求められるようになりました。意図せぬ知的財産の流出などを防ぐため、データの適切なマネジメントが重要です。さらに、2025年度は原則3年ごとに行われる個人情報保護法改正検討のタイミングに当たることから、改正に向けた検討が進められています。とりわけ、日本では子どもの個人情報の取り扱いに関する具体的な規定が、現行の個人情報保護法上にはなく、国内外で規制の検討が進んでいることに留意する必要があります。
4つめの変化は、セキュリティのガードレール化です。生成AIに関する懸念やリスクへの適切な対処について、内閣府のAI戦略会議は「ガードレールの設置が必要」と表現しました。AIなどの先端領域では、イノベーションを維持しつつ必要なリスク対策を行う「ちょうどよい」セキュリティ規制が求められています。このような動きは、他技術領域にも広がっていくことが予想されます。イノベーションとセキュリティ対策を両立するには、原則と実装のギャップを埋めるための検討が必要です。脅威分析やリスク分析を実施した上で、イノベーションの円滑な実装にも配慮しつつ、技術に関連するリスクの実態を把握しながら必要な対策を行う、リスクベース型の規制対応などへ段階的に移行することも有効です。
5つめの変化は、フロンティア領域におけるサイバー脅威の増加です。宇宙・海洋といったフロンティア領域へのデジタル技術導入が進むにつれ、これらの領域を狙うサイバー攻撃も増えています。インシデント発生リスクの増大とともにセキュリティの重要性がますます認識され、例えば宇宙に関連するものであれば経済産業省や関連団体が中心となってルール形成が進んでいくでしょう。フロンティア領域でのセキュリティ対策でも、サプライチェーン全体のリスクを考慮することが欠かせません。企画段階からサプライチェーンの関係主体を巻き込み、関連するサービスやシステムの脅威分析を行うことが求められます。
6つめの変化は、セキュリティに関する社会技術的アプローチの普及です。「社会技術的」とは、技術的要素と社会的要素を一体的に捉える考え方です。AIなどの技術が身近になった今、人間の認知的な脆弱性を狙った脅威が増しています。このような背景のもと、倫理や法、人間の認知・行動といった社会的要素と技術を一体的に捉える社会技術的アプローチの重要性が高まっています。各国では関連する規制が強化されており、日本でも社会技術的な観点から既存規制を見直す兆しが見られます。企業においては、関連する技術に対して社会的要素を含めた脅威分析を行い、とりわけセキュリティの社会的要素に関する知見を持った専門家と協働して対策を検討することが有効です。
企業はセキュリティに関するトレンド変化を踏まえた対策を
セキュリティロードマップで示した変化に対応するためには、従来の「セキュリティ」の定義にとらわれず、デジタル技術が及ぼしうる脅威の実態を広い視野で想定する必要があります。そのためには、新たに登場しうる脅威やリスクについて経営層を含めた認識合わせをした上で、実効的な戦略を立案し、各施策の実行のために社内外の関係者と幅広く協働していくことが望まれます。
プロフィール
-
木村 匠のポートレート 木村 匠
NRIセキュアテクノロジーズ
マネジメントコンサルティング事業本部 -
入澤 康紀のポートレート 入澤 康紀
NRIセキュアテクノロジーズ
マネジメントコンサルティング事業本部 -
石井 優斗のポートレート 石井 優斗
NRIセキュアテクノロジーズ
マネジメントコンサルティング事業本部 -
市村 海璃のポートレート 市村 海璃
NRIセキュアテクノロジーズ
マネジメントコンサルティング事業本部 -
仁尾 紗智乃のポートレート 仁尾 紗智乃
NRIセキュアテクノロジーズ
マネジメントコンサルティング事業本部
※組織名、職名は現在と異なる場合があります。