サイバー攻撃は”経営リスク”：なぜ今、取締役会レベルでの対策が必須なのか

はじめに：サイバーセキュリティは「IT部門の問題」ではなくなった 「サイバーセキュリティは情報システム部門に任せておけばよい」——そう考える経営者は、もはやこの時代では絶滅危惧種と言えるでしょうにはいません。2024年から2025年にかけて、日本企業を襲った大規模なサイバー攻撃は、企業経営の根幹を揺るがす事態へと発展し、サイバーセキュリティが単なる技術的課題ではなく、まぎれもない「経営リスク」であることを明確に示しました。 アサヒグループホールディングスやアスクルといった日本を代表する大企業が相次いでランサムウェア攻撃の被害に遭い、基幹業務の停止や物流の混乱を引き起こしました。ある大手企業では、サイバー攻撃により売上で83億円、営業利益で47億円というマイナスを計上。アサヒグループホールディングスに至っては、最大90億円もの損失が見込まれる事態となっています。 これらの事例は、サイバー攻撃が企業の事業継続性、財務状況、そして社会的信頼に直結する重大な経営リスクであることを如実に物語っています。そして今、このリスクに対する責任が、取締役会という企業統治の最高意思決定機関にまで及んでいるのです。 サイバーリスクの現状：増大する脅威と深刻化する被害 被害額の実態 日本におけるサイバー攻撃の被害は、年々深刻化の一途をたどっています。トレンドマイクロの調査によれば、国内企業がランサムウェア攻撃によって被った平均被害額は約2.2億円にものぼります。また、日本ネットワークセキュリティ協会（JNSA）の調査では、ランサムウェアの平均被害金額は約2,386万円、内部工数は平均27.7人月とされています。 さらに衝撃的なのは、過去5年間で損失を公表した52社の累計損失額が約118億円に達し、1社当たりの平均被害額が2億2,000万円を超えているという事実です。中小企業においても数千万円規模の被害が報告されており、もはや企業規模を問わずすべての組織がサイバー攻撃のターゲットとなっています。 攻撃の巧妙化と多様化 現代のサイバー攻撃は、かつての無差別的な攻撃から、特定の企業や組織を狙った高度な標的型攻撃へと進化しています。特にランサムウェア攻撃においては、単にデータを暗号化して身代金を要求するだけでなく、機密情報を窃取して公開すると脅迫する「二重脅迫」の手法が主流となっています。 2024年の統計では、1日あたり約330万回ものサイバー攻撃が検知されており、その数は前年比154%増加しています。サプライチェーンを通じた攻撃、内部関係者による情報漏洩、クラウドサービスの脆弱性を突いた攻撃など、攻撃手法は多様化の一途をたどっています。 被害の多面性 サイバー攻撃による被害は、単に金銭的損失にとどまりません。基幹システムの停止による業務の中断、顧客情報の漏洩による信頼の失墜、株価の下落、取引先との関係悪化、さらには訴訟リスクなど、その影響は企業活動のあらゆる側面に及びます。 ある出版大手企業では、ランサムウェア攻撃により数週間にわたって業務が停止し、書籍の配送や新刊の発売が遅延する事態となりました。このような事業継続性への影響は、短期的な売上減少だけでなく、長期的なブランド価値の毀損にもつながります。 取締役の法的責任：善管注意義務とサイバーセキュリティ 善管注意義務の範囲 会社法第330条および民法第644条に基づき、取締役は会社に対して「善良な管理者の注意義務」（善管注意義務）を負っています。この善管注意義務は、経営者として通常払うべき注意を怠らずに、会社のために誠実に職務を行う義務を意味します。 そして現代において、サイバーセキュリティ体制の構築と運用は、この善管注意義務の重要な一部として明確に位置づけられています。取締役がサイバーセキュリティに関する体制整備を怠ったことが原因で企業に損害が発生した場合、善管注意義務違反として損害賠償責任を問われる可能性があるのです。 内部統制システムの構築義務 会社法第348条第3項第4号および第362条第4項第6号は、取締役（会）に対して内部統制システムの構築を義務づけています。サイバーセキュリティ対策は、この内部統制システムの中核をなす要素の一つです。 大阪地方裁判所の判例では、取締役は会社の業務の適正な確保をするために必要な体制（内部統制システム)の整備をする義務を負うとされています。サイバーセキュリティ体制が企業規模や業務内容に照らして適切でなく、サイバー攻撃により企業や第三者に損害が発生した場合、取締役は会社に対して善管注意義務違反による賠償義務を負うことになります。 監督責任と個人責任 WTW（ウイリス・タワーズワトソン）の調査によれば、グローバル企業においてサイバー攻撃後、組織の取締役や経営幹部が罰金、懲役、失職などの責任を負うケースが増加しており、回答者の51%がそのような事例を認識しています。 また、金融庁が2024年10月に改訂した「金融分野におけるサイバーセキュリティに関するガイドライン」では、経営陣がサイバーセキュリティを経営方針における重要課題の一つとして位置づけ、自らリーダーシップを発揮することが明記されています。経営陣がこの責任を怠った場合、善管注意義務違反や任務懈怠による損害賠償責任を問われ得るとしています。 サイバーセキュリティ経営ガイドラインが示す経営者の役割 ガイドラインの意義 経済産業省と独立行政法人情報処理推進機構（IPA）は、2023年3月に「サイバーセキュリティ経営ガイドライン Ver 3.0」を公表しました。このガイドラインは、大企業および中小企業（小規模事業者を除く）の経営者を対象として、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項を体系的に示しています。 6年ぶりの改訂となった本ガイドラインでは、巧妙化した昨今のサイバー攻撃に備えるには、事前対策のみならず事後対策が必要であると明確に言及しています。これは、完璧な防御は不可能であることを前提に、被害を最小限に抑え、迅速に復旧できる体制を整備することの重要性を示しています。 経営者が認識すべき3原則 ガイドラインでは、経営者が認識すべき以下の3つの原則を掲げています。 原則1：経営者はサイバーセキュリティリスクを認識し、リーダーシップによって対策を進める サイバーセキュリティは経営課題であり、IT部門だけの問題ではありません。経営者自らがその重要性を理解し、組織全体に対策の必要性を明確に示すことが求められます。 原則2：自社および系列企業、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施 現代の企業活動は、多くのビジネスパートナーとの連携によって成り立っています。自社だけが対策を講じても、サプライチェーン上の他社が攻撃を受ければ、自社の事業にも影響が及びます。エコシステム全体でのセキュリティレベルの向上が不可欠です。 原則3：平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報の開示など、関係者との適切なコミュニケーションの実施 ステークホルダーとの信頼関係を維持するためには、適切な情報開示とコミュニケーションが欠かせません。インシデント発生時の迅速かつ透明性のある対応は、企業の信頼性を左右する重要な要素となります。 重要10項目の実践 ガイドラインでは、経営者が情報セキュリティ対策を実施する上での責任者となるCISO（Chief Information Security Officer：最高情報セキュリティ責任者）等に指示すべき「重要10項目」を定めています。 サイバーセキュリティリスクの認識、組織全体での対応の策定サイバーセキュリティリスク管理体制の構築サイバーセキュリティ対策のための資源（予算、人材等）確保サイバーセキュリティリスクの把握と実現するセキュリティレベルの検討サイバーセキュリティリスクに対応するための仕組みの構築サイバーセキュリティ対策における PDCAサイクルの実施インシデント発生時の緊急対応体制の整備インシデントによる被害に備えた復旧体制の整備ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策および状況把握サイバーセキュリティに関する情報の収集、共有および開示の促進 これらの項目は、予防から検知、対応、復旧に至るまでの包括的なセキュリティマネジメントを求めるものであり、取締役会レベルでの監督と意思決定が不可欠となります。 取締役会が果たすべき役割 リスクの可視化と評価 取締役会は、まず自社が直面するサイバーセキュリティリスクを正確に把握し、評価する必要があります。これには、保有する情報資産の棚卸し、想定される脅威の分析、現状の対策レベルの評価などが含まれます。 Protivitiの「2024年のトップリスク」調査では、ランサムウェアを含むサイバー攻撃の脅威を管理するための備えが十分ではない可能性が指摘されています。多くの組織が、中核事業の中断やブランドの毀損などをもたらす可能性のあるサイバー攻撃への対応準備が不足しているのです。 取締役会は、定期的にサイバーセキュリティリスクの状況報告を受け、経営戦略や事業計画との整合性を確認しながら、必要な対策の方向性を決定する役割を担います。 適切な経営資源の配分 サイバーセキュリティ対策には、適切な予算配分と人材の確保が不可欠です。しかし、多くの企業では、セキュリティ対策が「コスト」として認識され、十分な投資がなされていないのが現状です。 取締役会は、サイバーセキュリティ対策を「投資」として位置づけ、事業継続性を確保し、企業価値を守るための重要な経営判断として、必要な予算を承認する責任があります。また、専門性を持った人材の採用・育成についても、取締役会レベルでの支援が求められます。 PwCの調査では、金融機関を含む重要インフラを対象としたサイバー攻撃が相次いでおり、企業業績に影響する被害が今後も懸念されるとしています。こうしたリスクを踏まえれば、セキュリティへの投資は企業の持続可能性を担保する必須の経営判断と言えるでしょう。 ガバナンス体制の整備 取締役会は、サイバーセキュリティに関するガバナンス体制を整備し、その実効性を監督する責任を負います。具体的には、以下のような取り組みが必要です。 CISOの任命と権限の付与：サイバーセキュリティの最高責任者として、CISOを任命し、組織横断的な権限と責任を明確にします。CISOは、経営陣との定期的なコミュニケーションを通じて、セキュリティリスクの状況を報告し、必要な対策について助言する役割を担います。 リスク管理委員会の設置：取締役会の下に、サイバーセキュリティリスクを専門的に審議する委員会を設置することも有効です。これにより、より詳細な議論と迅速な意思決定が可能となります。 監査・監督機能の強化：監査役や社外取締役は、サイバーセキュリティリスク管理体制が適切に構築・運用されているかを独立した立場から監査・監督する役割を果たします。定期的な監査を通じて、形式的な対策に終わることなく、実効性のある体制が維持されているかを確認することが重要です。 インシデント対応体制の構築 サイバー攻撃は「起こるかもしれない」リスクではなく、「必ず起こる」前提で備えるべきリスクです。取締役会は、インシデント発生時の対応体制を事前に整備し、その実効性を定期的に検証する必要があります。 インシデント対応計画（IRP：Incident Response Plan）の策定、CSIRT（Computer Security Incident Response Team）の設置、定期的な訓練の実施など、平時からの準備が求められます。また、インシデント発生時における意思決定権限、情報伝達ルート、ステークホルダーへの開示方針などを明確にしておくことが重要です。 サプライチェーンリスクへの対応 サプライチェーン攻撃の深刻化 近年、サプライチェーンを通じたサイバー攻撃が増加しています。これは、セキュリティ対策が比較的脆弱な中小企業やサプライヤーを攻撃の入口として、最終的に大企業や重要インフラに侵入する手法です。 経済産業省は、サプライチェーンを通じたセキュリティリスクの深刻化を受けて、企業のセキュリティ対策状況を可視化する新たな制度の検討を進めており、2026年10月以降の運用開始が予定されています。この制度は、取引先を含めたセキュリティレベルの「見える化」を推進し、企業間での信頼性の担保を目指すものです。 取引先管理の重要性 取締役会は、自社だけでなく、取引先やビジネスパートナーのセキュリティ対策状況についても把握し、必要に応じて改善を促す責任があります。具体的には、以下のような取り組みが考えられます。 セキュリティ基準の設定：取引先に求めるセキュリティ基準を明確にし、契約条項に盛り込みます。 定期的な監査：重要な取引先に対しては、定期的なセキュリティ監査を実施し、基準の遵守状況を確認します。 情報共有と支援：特に中小企業の取引先に対しては、脅威情報の共有や技術的支援を通じて、サプライチェーン全体のセキュリティレベル向上を図ります。 情報開示とステークホルダーとのコミュニケーション 透明性の確保 近年、企業のサイバーセキュリティに対する取り組みは、投資家、顧客、取引先など、さまざまなステークホルダーにとって重要な関心事となっています。特に上場企業においては、有価証券報告書や統合報告書において、サイバーセキュリティリスクとその対応状況を開示することが求められるようになっています。 取締役会は、自社のサイバーセキュリティに関するポリシー、対策状況、過去のインシデントとその対応、今後の計画などについて、適切な範囲で情報を開示し、ステークホルダーとの信頼関係を構築する必要があります。 インシデント発生時の対応 万が一、サイバーインシデントが発生した場合、迅速かつ適切な情報開示が企業の信頼性を左右します。隠蔽や遅延は、二次的な風評被害や株価の下落、さらには法的責任の追及につながりかねません。 取締役会は、インシデント発生時の情報開示方針を事前に定め、いつ、誰が、どのような内容を、どの媒体を通じて公表するかを明確にしておく必要があります。また、関係当局への報告義務についても、法令に基づいて適切に対応することが求められます。 今後の展望：規制強化と社会的責任 規制環境の変化 サイバーセキュリティに関する規制は、国内外で強化の方向にあります。2025年4月からは、ECサイト運営者に対してセキュリティガイドラインに基づく対策の実施が義務化され、特に脆弱性診断の実施が求められるようになります。 また、個人情報保護法の改正や、EUの一般データ保護規則（GDPR）など、データ保護に関する国際的な規制も厳格化しています。これらの規制に違反した場合、巨額の罰金や刑事責任を問われる可能性があります。 取締役会は、こうした規制環境の変化を常に把握し、コンプライアンスを確保するための体制を整備する責任があります。 ESGとサイバーセキュリティ 近年、ESG（環境・社会・ガバナンス）投資の観点から、企業のサイバーセキュリティへの取り組みが評価されるようになっています。特に「ガバナンス」の要素として、適切なリスク管理体制の構築は重要な評価項目となっています。 投資家は、サイバーセキュリティリスクが適切に管理されていない企業に対して、投資を控えたり、株主提案を通じて対策の強化を求めたりするケースが増えています。取締役会は、ESG の観点からも、サイバーセキュリティ対策を企業価値向上の重要な要素として位置づける必要があります。 社会的責任としてのセキュリティ 企業は、自社の利益を追求するだけでなく、社会の一員として公共の利益に貢献する責任を負っています。サイバーセキュリティ対策もまた、顧客や取引先の情報を守り、社会インフラの安定性を維持するという社会的責任の一環です。 特に重要インフラを担う企業や、大量の個人情報を扱う企業においては、自社のセキュリティ対策の不備が社会全体に甚大な影響を及ぼす可能性があります。取締役会は、こうした社会的責任を深く認識し、高いレベルのセキュリティ対策を実施することが求められます。 実践への第一歩：取締役会が今すぐ取り組むべきこと 現状把握とギャップ分析 まず、自社のサイバーセキュリティ対策の現状を正確に把握することから始めましょう。「サイバーセキュリティ経営ガイドライン Ver 3.0」の重要10項目をチェックリストとして活用し、現状とあるべき姿とのギャップを明確にします。 IPAが提供する「サイバーセキュリティ経営ガイドライン Ver 3.0実践のための手引き」など、支援ツールを活用することで、段階的に対策レベルを向上させることが可能です。 取締役会での定期的な議論 サイバーセキュリティを取締役会の定例議題とし、定期的に状況報告を受け、議論する体制を整えます。CISOや情報セキュリティ部門の責任者から直接報告を受けることで、経営層と現場との認識のズレを防ぐことができます。 外部専門家の活用 サイバーセキュリティは高度に専門的な領域であり、社内だけで対応することには限界があります。外部の専門家やコンサルティング会社の知見を活用し、客観的な評価と助言を得ることが重要です。 また、サイバー保険の加入も、リスクの移転手段として有効です。ただし、保険はあくまで事後的な金銭的補償であり、根本的な対策を怠る理由にはなりません。 教育と意識向上 サイバーセキュリティ対策は、技術的な対策だけでは不十分です。従業員一人ひとりがセキュリティ意識を持ち、適切な行動を取ることが不可欠です。 取締役会は、経営層自らが率先してセキュリティ教育を受け、組織全体に対してその重要性を示すことで、企業文化としてのセキュリティ意識を醸成する必要があります。 結論：サイバーセキュリティは経営の最重要課題 デジタル化が加速する現代において、サイバーセキュリティは企業の持続可能性を左右する最重要課題となっています。サイバー攻撃による被害は、金銭的損失にとどまらず、事業継続性、社会的信頼、そして企業価値そのものを脅かします。 取締役には、会社法に基づく善管注意義務として、適切なサイバーセキュリティ体制を構築し、運用する法的責任があります。この責任は、もはや情報システム部門やセキュリティ担当者だけが負うものではなく、取締役会という経営の最高意思決定機関が主体的に取り組むべき課題なのです。 「サイバーセキュリティ経営ガイドライン Ver 3.0」が示す3原則と重要10項目は、取締役会がこの責任を果たすための具体的な指針を提供しています。経営者自らがリーダーシップを発揮し、サプライチェーン全体を視野に入れた対策を講じ、ステークホルダーとの適切なコミュニケーションを図ることが求められています。 サイバーリスクは日々進化し、新たな脅威が次々と出現しています。完璧な防御は不可能であるという前提のもと、継続的な改善と、インシデント発生時の迅速な対応体制を整備することが重要です。 取締役会レベルでのサイバーセキュリティ対策は、もはや選択肢ではなく、企業が社会において事業を継続するための必須要件です。今この瞬間も、あなたの会社は、見えない脅威に晒されています。明日、あなたの会社がサイバー攻撃の標的となったとき、取締役会として適切な対応ができる体制は整っていますか？ その問いに対する答えが、これからの企業の未来を決定づけるのです。 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE

フィジカルAIに対するサイバーセキュリティ対策：統合レポート

Librus株式会社事業開発部 1. フィジカルAIとは何か フィジカルAI(Physical AI)とは、AIがセンサーなどを通じて現実世界（物理空間）を理解し、ロボットなど物理的な実体を伴って自律的に行動する技術の総称である。従来のデジタル空間で動作する生成AIとは異なり、フィジカルAIは現実世界と直接相互作用する点が特徴であるNTT。自動運転車、人型ロボット、産業用ロボット、ドローンなど、様々な形態で実装され、製造、物流、医療、家庭サービスなど幅広い分野での活用が期待されている。 2. フィジカルAIの脆弱性と脅威の構造 2.1 外部起因の脆弱性（Exogenous Vulnerabilities） 最新の学術研究によれば、フィジカルAIシステムは外部環境と内部システムの両面から脆弱性に晒されている。arXivで公開された論文"Towards Robust and Secure Embodied AI"（2025年2月）は、フィジカルAIの脆弱性を体系的に分類している。 物理攻撃（Physical Attacks）： センサー欺瞞攻撃が代表的である。カメラ、LiDAR、レーダーなどの知覚システムに対する敵対的攻撃により、物体認識を誤らせることが可能である。例えば、特殊なパターンのステッカーを貼付することで自動運転車の画像認識システムを欺く攻撃が実証されている。 サイバーセキュリティ脅威： 無線通信の脆弱性が深刻な問題となっている。2025年9月に発見されたUnitree社製ロボット（Go2、G1、H1、B2）の脆弱性（CVE-2025-35027、CVE-2025-60017）は、Bluetooth Low Energy（BLE）とWi-Fi設定における重大な欠陥を露呈したIEEE Spectrum。これらの脆弱性により、コマンドインジェクション、ルートOSアクセス、ハードコード化された暗号鍵の悪用が可能となり、攻撃者はロボットを完全に制御できる状態であった。 2.2 内部起因の脆弱性（Endogenous Vulnerabilities） センサー障害とソフトウェア欠陥： 内部システムレベルの脆弱性として、センサーの故障、ソフトウェアのバグ、ファームウェアの欠陥が挙げられる。これらは環境認識の精度低下や制御システムの誤動作を引き起こす。 AIモデルへの攻撃： 大規模視覚言語モデル（LVLMs）や大規模言語モデル（LLMs）を組み込んだフィジカルAIシステムは、ジェイルブレイク攻撃や命令の誤解釈による脆弱性を抱えている。2026年現在、AI関連の脆弱性は最も急速に増加しているサイバーリスクであり、調査対象組織の87%がこれを認識している。 3. 具体的な脅威シナリオと実例 3.1 Unitree G1人型ロボットの脆弱性事例 2025年9月、VicOne Lab R7とセキュリティ研究者により、Unitree G1人型ロボットに3つの重大な無線脆弱性が発見された。この事例は商用人型ロボットプラットフォームの初の大規模公開エクスプロイトとして記録されている。日経クロステックhttps://xtech.nikkei.com/atcl/nxt/column/18/02801/101500027/ 攻撃シナリオとして、以下が実証された： Bluetooth経由での不正アクセスによるロボット制御の乗っ取りセンサーデータの窃取とプライバシー侵害悪意のあるコマンドの実行による物理的な危害の可能性ロボット間のウイルス感染の連鎖（ロボット・ツー・ロボット感染） さらに重大な問題として、収集されたデータが中国のサーバーに無断で送信されていた可能性が指摘され、データ主権とスパイ活動の懸念が浮上している。 3.2 AIを活用した自律的サイバー攻撃 AIによるサイバー攻撃の高度化も顕著である。2026年の予測では、AIエージェントを活用した攻撃が、従来の数日かかっていた攻撃面のマッピングを数分で完了し、自律的なエクスプロイテーションを実行できるようになっている。 Lazarus Alliancehttps://lazarusalliance.com/the-biggest-cybersecurity-threats-of-2026/ 4. 攻撃対象領域（Attack Surface）の拡大 フィジカルAIシステムの攻撃対象領域は、従来のPCやスマートフォンとは根本的に異なる。VicOne CEOの指摘によれば、意思決定を司るAIモデル、センサー入力、アクチュエータ制御、無線通信、クラウド接続など、多層的な攻撃ベクトルが存在する。 自動運転車を例にとると、以下の攻撃面が存在する： V2X（Vehicle-to-Everything）通信の脆弱性LiDARやカメラへの物理的攻撃GPSスプーフィングECU（電子制御ユニット）への侵入OTA（Over-The-Air）アップデートの改ざん 5. サイバーセキュリティ対策の体系的アプローチ 5.1 設計段階のセキュリティ（Security by Design） 多層防御アーキテクチャ： VicOne Lab R7が提唱する統合検証プロセスは、システムレベルとAIロジックを一括で保護するアプローチであるVicOne。出荷前の包括的なセキュリティスキャンにより、システムとAIモデルの隠れた脆弱性を可視化し、優先的に対処すべきポイントを明確化する。 セキュアな通信プロトコル： 認証と暗号化の強化が必須である。World Economic Forum Global Cybersecurity Outlook 2026によれば、64%の組織がAIツールをデプロイする前にセキュリティ評価プロセスを導入しており、これは前年の37%から大幅に増加している。 5.2 運用段階の防御 ランタイム防御とR-SOC： VicOne Lab R7のRthenaは、フィジカルAI専用に設計されたR-SOC（ロボティクス・セキュリティ・オペレーションセンター）を提供し、継続的な監視と迅速な対応を実現する。全方位型ランタイム防御エージェントにより、OTA（Over-The-Air）アップデートのなりすまし、モデル改ざん、センサー乗っ取りなどの脅威に対処する。 ゼロトラストアーキテクチャ： World Economic Forumの報告書"AI Agents in Action"では、AIエージェントの資格情報、権限、相互作用を人間ユーザーと同様に管理する必要性が強調されている。すべての相互作用をデフォルトで信頼しないゼロトラスト原則に基づく継続的な検証、監査証跡、堅牢なアカウンタビリティ構造が不可欠である。 5.3 AIモデルの完全性保護 データポイズニング対策： AIモデルのトレーニングデータへの攻撃を防ぐため、データの完全性検証と異常検出が重要である。87%の組織がAI関連の脆弱性を2025年に最も急速に成長したサイバーリスクと認識している。 モデルの検証とモニタリング： AIモデルの読み込み時および実行時における完全性保護が不可欠である。攻撃者は軽量かつ効率的に動作する特化型モデルを使用し、クラウドの計算資源を活用してより複雑な攻撃を仕掛けることが可能であるVicOne。 6. 規制とコンプライアンスの動向 6.1 国際標準とフレームワーク ISO/IEC 42001:2023： 世界初のAIマネジメントシステム国際標準であり、AIシステムのリスク管理、影響評価、ライフサイクル管理、サードパーティサプライヤー監視を規定している。 従来のロボット安全規格： 数十年にわたり、ロボット工学の安全性の基盤はISO 13849-1（パフォーマンスレベル）とIEC 61508（SIL - 安全整合性レベル）であった。フィジカルAIシステムがこれらの規格に準拠できるかが重要な課題となっている。 6.2 地域別規制の差異 EU（欧州連合）： CRA（Cyber Resilience Act）：2027年12月11日全面適用予定。製品安全と長期的なソフトウェア責任を連動AI規則（AI Act）：高リスクAIに対するリスクベースの規制 米国： NISTフレームワーク、SBOM（Software Bill of Materials）開示、IoT Cyber Trust Markの任意ラベリングによる市場の透明性重視 中国： サイバーセキュリティ法（CSL）、データセキュリティ法（DSL）、個人情報保護法（PIPL）、MLPS 2.0によるデータ主権重視GB/T 45502-2025（サービスロボット向け基準、2025年10月1日施行） VicOne Lab R7のプラットフォームは、CRA準拠からSBOMの自動化まで、AIロボットの出荷段階から安全性・準拠性・監査対応を支援している。 7. 組織的対策とベストプラクティス 7.1 リスクの可視化と優先順位付け VicOne Lab R7は「リスクの見える化」から始めることを推奨している。可視化がなければ、影響度の小さい領域にリソースを割いてしまい、本当に業務を止めかねない脆弱性を見逃す可能性がある。ワンストップ型サイバーセキュリティスキャンプラットフォームにより、システムとAIの隠れた脆弱性を可視化し、優先的に対処すべきポイントを明確化する。 7.2 脅威インテリジェンスと情報共有 地政学的な不安定性がサイバーセキュリティを再定義している。World Economic Forum Global Cybersecurity Outlook 2026によれば、64%の組織が地政学的に動機付けられたサイバー攻撃を全体的なサイバーリスク軽減戦略に考慮している。 高レジリエンス組織のCEOの52%が国家アクターに関する脅威インテリジェンスを優先し、48%が政府機関や情報共有グループとの連携を強化している。これに対し、レジリエンスが不十分な組織のCEOではそれぞれ13%、6%にとどまっている。 7.3 サプライチェーンセキュリティ 高レジリエンス組織のCEOの78%がサプライチェーンとサードパーティの依存関係をレジリエンス強化の最大の課題と認識している。対策として、70%がセキュリティ機能を調達プロセスに統合し、59%がサプライヤーの成熟度評価を優先している。 8. 人材とスキルギャップの課題 8.1 サイバーセキュリティ人材不足 World Economic Forumの調査によれば、54%の組織がAIをサイバーセキュリティに活用するための知識・スキルの不足を実装の障壁として挙げているWEF。 地域別では、サハラ以南アフリカ（70%）とラテンアメリカ・カリブ海地域（69%）のCEOが、現在のサイバーセキュリティ目標を達成するためのスキルが不足していると認めている。 8.2 AIリテラシーの重要性 World Economic Forumの"The Future of Jobs Report 2025"によれば、「ネットワークとサイバーセキュリティ」は2030年に向けて最も急速に成長するスキルの上位3つに入っている（AI・ビッグデータ、テクノロジーリテラシーとともに）。AIは人間の専門知識を置き換えるのではなく、専門家が戦略的監督、ガバナンス、ポリシーに焦点を移し、日常的な運用タスクを自動化に委任することを可能にしている。 9. 業界別の対策動向 AIツールをサイバーセキュリティ能力の強化に採用する動きは業界によって異なる。エネルギーセクターは侵入・異常検知を重視（69%）、素材・インフラセクターはフィッシング保護を優先（80%）、製造・サプライチェーン・輸送セクターは自動化されたセキュリティ運用の利用が多い（59%）。 10. 今後の展望と提言 10.1 協調的アプローチの必要性 フィジカルAIのセキュリティは、単一の組織や国だけでは確保できない。VicOne Lab R7とDecloak Intelligenceの戦略的パートナーシップのように、ファームウェア、通信、AIモデルの完全性、センサーのプライバシー制御に至るまで、多層的かつ包括的なサイバーセキュリティを実現する業界横断的な協力が不可欠である。 10.2 プロアクティブな防御戦略 World Economic Forumは、サイバーセキュリティの未来は今日の選択に依存すると強調している。先見性、能力、イノベーションへの投資、業界、セクター、国境を越えた協力の強化により、ボラティリティを推進力に変え、より安全でレジリエントなデジタル未来を共に構築できる。 10.3 継続的なモニタリングと適応 セキュア・バイ・デザインは「出発点」であり、「ゴール」ではない。AIロボットが通信・センサー・学習モデルを備えたフィジカルAIへと進化する中で、出荷後に新たな攻撃対象領域が生まれる。運用時の継続的な監視、OTA署名の検証、モデルの完全性チェックなど、現場での安全を保つためには継続的なサイバーセキュリティ対策が不可欠である。 結論 フィジカルAIは、AIがサイバー空間から物理世界へと飛び出す歴史的な転換点を示している。しかし、この技術革新は同時に、前例のないサイバーセキュリティの課題をもたらしている。2025年のUnitree G1の脆弱性事例が示すように、わずかな設計上の見落としが数千台のロボットを危険に晒す可能性がある。 エビデンスベースの分析から明らかなのは、フィジカルAIのセキュリティには、設計段階からのセキュリティ組み込み、運用段階での継続的監視、AIモデルの完全性保護、サプライチェーンセキュリティ、人材育成、国際協力という多面的なアプローチが必要だということである。地政学的不安定性、AI脆弱性の急増、サイバー対応型詐欺の増加という2026年の脅威環境において、組織は技術的対策と戦略的ガバナンスを統合し、レジリエンスを構築する必要がある。 フィジカルAIの時代において、サイバーセキュリティはもはやバックオフィスの技術的機能ではなく、政府、企業、社会にとっての中核的な戦略的関心事である。私たちの選択が、より安全で信頼できるフィジカルAI社会の実現を左右するのである。 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE

サイバーセキュリティにおけるリスクアセスメントサービスのトレンドと事例に関するレポート

Librus株式会社コンサルティングサービス事業部 エグゼクティブサマリー 2024年は、サイバーセキュリティ分野において転換点となる年となった。日本国内におけるランサムウェア被害の公表件数が過去最大の84件に達し、新興ランサムウェアグループの台頭により脅威の複雑化が進展している。本レポートでは、こうした脅威環境の変化を背景に、リスクアセスメントサービスの重要性の高まりと市場トレンドを分析する。 主要な知見として、日本企業のパッチ適用期間（MTTP：Mean Time To Patch）が平均36.4日と世界平均の1.2倍に達しており、脆弱性対応の迅速化が急務となっている。また、サイバーセキュリティ市場規模は2024年に180億米ドルに成長し、継続的脅威曝露管理（CTEM）アプローチの採用が急速に拡大している。 企業の経営層においても、SECの新規則やEUのNIS2指令により、サイバーセキュリティへの関与とリスク評価への責任が明確化されており、今後はより戦略的なアプローチが求められる。 1. 2024年のサイバーセキュリティ情勢概観 1.1 脅威ランドスケープの変化 2024年のサイバー脅威環境は、国家を背景とするグループからの攻撃をはじめとするサイバー攻撃の洗練化・巧妙化が一層進展した年として特徴づけられる。特に、ランサムウェア攻撃の手法が多様化し、従来のデータ暗号化に加えて、データ窃取後の恐喝を目的とした攻撃が新たに30件確認されている。 2024年の主要サイバー脅威統計 日本国内ランサムウェア被害公表件数: 84件（過去最大）国内セキュリティインシデント総数: 1,319件（前年度比10.4%増）不正アクセス事案: 372件（最多）マルウェア感染: 315件紛失・盗難: 213件 1.2 新興ランサムウェアグループの台頭 2024年下半期に急速に拡大した新興ランサムウェアグループが、上位10グループによるリーク数の90%を占める状況となっている。RansomHub、8base、Hunters International、BlackSuit、Undergroundなどの新興グループが日本企業を標的とした攻撃を展開している。 グループ名活動開始時期特徴RansomHub2024年2月頃2024年下半期最も活発。アンチEDR技術を駆使8base2022年3月頃中小企業（従業員数1-200名）を主要標的Hunters International2023年第3四半期解体されたHIVEグループとの関連性指摘BlackSuit2023年5月頃ContiやRoyalとの関係性指摘Underground2023年7月頃拡張子変更せずファイル暗号化が特徴 2. リスクアセスメントサービスの主要トレンド 2.1 継続的監視への移行 従来の年1回のポイントインタイム監査から、継続的監視（Continuous Monitoring）への移行が加速している。IBMの報告によると、2023年のデータ侵害の世界平均コストは445万ドルで、3年間で15%増加しており、早期検知の重要性が高まっている。 2.2 CTEMアプローチの採用拡大 Gartnerが2022年に提唱した継続的脅威曝露管理（CTEM：Continuous Threat Exposure Management）アプローチの採用が急速に拡大している。CTEMは以下の5つのステップで構成される。 既存のサイバーセキュリティ露出のスコープ定義隠れた脆弱性の発見プロセス開発悪用可能性に基づく脅威の優先順位付け様々な攻撃シナリオの検証・評価組織全レベルでの従業員動員 2.3 サイバーリスク定量化（CRQ）の普及 財務的観点からのサイバーリスク定量化（Cyber Risk Quantification：CRQ）が注目を集めている。CRQにより、技術的なリスクを金銭的影響と発生確率で表現することで、経営層との意思疎通が改善され、より効果的な予算配分が可能となっている。 3. 国際的なフレームワークとベストプラクティス 3.1 NIST Cybersecurity Framework 2.0 2024年に更新されたNIST CSF 2.0は、従来の5つの機能（識別、保護、検知、対応、復旧）に「統治（Govern）」機能を追加し、より包括的なサイバーセキュリティ管理を実現している。組織のリスク管理戦略と cybersecurity の統合がより明確化された。 3.2 ISO/IEC 27001:2022 情報セキュリティマネジメントシステム（ISMS）の国際標準であるISO 27001の2022年版では、クラウドセキュリティ、プライバシー保護、サプライチェーンセキュリティに関する管理策が強化されている。 フレームワーク統合事例 多くの組織がNIST CSFの戦略的フレームワークとISO 27001の運用管理を組み合わせたハイブリッドアプローチを採用している。NIST CSFがリスク管理の方向性を示し、ISO 27001が具体的な管理策の実装を支援する相補的関係を構築している。 3.3 規制要件の強化 米国SECの2023年サイバーセキュリティ規則やEUのNIS2指令により、取締役会レベルでのサイバーセキュリティ責任が明確化されている。経営層は単なる予算承認者から、積極的なリスク管理参加者へと役割が変化している。 4. 日本市場の動向と特徴 4.1 市場規模と成長予測 日本サイバーセキュリティ市場規模　 2024年市場規模: 180億米ドル2033年予測市場規模: 433億米ドル年平均成長率（CAGR）: 10.3%2032年予測（別統計）: 263億米ドル 4.2 日本特有の課題 日本企業が直面する特有の課題として、パッチ適用の遅延問題が深刻化している。トレンドマイクロの調査によると、日本組織の平均パッチ適用期間（MTTP）は36.4日で、これは世界平均の1.2倍に相当する。 4.3 委託先からの情報漏洩問題 2024年には、印刷業や配送業などデータ集積型業種のランサムウェア被害により、委託元の個人情報漏洩が深刻化した。株式会社イセトーの事例では約150万件の個人情報漏洩が発生し、「データサプライチェーン」問題の深刻さが浮き彫りとなった。 委託先経由の情報漏洩件数推移2024年下期には委託先から漏洩した情報件数が300万件を超過。組織は委託先のサイバーリスク評価の見直しが急務となっている。 5. 技術革新とAIの活用 5.1 AI・機械学習によるリスク評価の高度化 人工知能（AI）と機械学習（ML）技術の活用により、膨大なデータを迅速に分析し、従来よりも効率的にセキュリティリスクを特定することが可能になっている。米国国勢調査局の予測では、2024年前半にAIを活用する企業が劇的に増加するとされている。 AI活用の主要分野: SIEM（Security Information and Event Management）での偽陽性の除去ファイアウォールとマルウェア対策の自動化異常検知とパターン認識の高精度化脆弱性スキャンの効率化 5.2 リアルタイム脅威検知 従来の定期的なリスクアセスメントから、リアルタイムでの脅威検知・評価への移行が進んでいる。Continuous Threat Exposure Management (CTEM) の普及により、動的なリスク環境に対応した評価手法が確立されつつある。 5.3 Attack Surface Management (ASM) の導入 攻撃対象領域管理（ASM）ツールの導入により、組織のデジタル資産とその脆弱性を継続的に監視・評価することが可能となっている。これにより、早期の脆弱性発見とリスク管理の精度向上が実現されている。 6. 将来予測と推奨事項 6.1 市場予測 日本のサイバーセキュリティ市場は、2025年から2034年の期間で年平均成長率14.6%の継続的成長が予測されている。特に、リスクアセスメント分野では以下のトレンドが予想される。 CRQ（サイバーリスク定量化）ツールの普及拡大ツール統合によるオールインワンプラットフォームの採用増加経営層レベルでのサイバーリスク関与の法制化サイバー保険との連携強化 6.2 組織への推奨事項 6.2.1 リスクの可視化 組織は「サイバーリスクの可視化」を最優先課題として取り組むべきである。リスク指標を用いた統計データから、ランサムウェアに感染した組織が非感染組織よりも高いリスク指標を記録していることが示されており、継続的なリスク監視が重要である。 6.2.2 Security by Contract の推進 委託先のセキュリティ対策として、「Security by Contract」アプローチを推奨する。これは、契約段階でセキュリティ要件を明確化し、"Same Data, Same Management"原則に基づく管理体制を構築することである。 6.2.3 多要素認証（MFA）の徹底 認証情報の漏洩リスクに対する最も効果的な対策として、多要素認証（MFA）の全面的な導入を強く推奨する。また、定期的なパスワード変更と権限管理の厳格化も重要である。 6.3 政策・制度面での展望 能動的サイバー防御に関する法案が2025年5月に成立予定であり、経済安全保障推進法における基幹インフラ事業者を中心としたサプライチェーンセキュリティ強化が進展する見込みである。これに伴い、インシデント対応体制のより一層の強化が必要となる。 7. 結論 2024年のサイバーセキュリティ環境は、脅威の高度化・複雑化と市場の急速な成長により、リスクアセスメントサービスの重要性が飛躍的に高まった年となった。日本企業が直面する課題は多岐にわたるが、適切なフレームワークの採用と継続的な改善により、効果的なリスク管理が実現可能である。 特に重要なのは、従来の年1回の評価から継続的監視への移行、経営層の積極的関与、そして技術革新を活用したリスク可視化である。また、委託先を含むサプライチェーン全体のセキュリティ強化は、今後の重要な課題として位置づけられる。 組織は、NIST CSF 2.0やISO 27001等の国際標準を基盤としつつ、自社の事業特性に応じたカスタマイズされたリスクアセスメント体制を構築することが求められる。同時に、AIや機械学習等の新技術を積極的に活用し、より効率的で精度の高いリスク評価を実現することが、持続的な競争優位性の確保につながるであろう。 今後の展望として、サイバーセキュリティは単なるIT部門の課題から、組織全体の戦略的経営課題へと位置づけが変化していく。この変化に適応し、プロアクティブなリスク管理体制を構築した組織が、デジタル社会における持続的成長を実現できると考えられる。 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE