実態との差が明らかに IPA「情報セキュリティ10大脅威」と日本企業警戒度トップ10：脱VPNは進まず、利用率8割維持

NRIセキュアテクノロジーズは、「企業におけるサイバーセキュリティ実態調査2025」を実施した。VPN、サプライチェーンセキュリティ対策評価制度、セキュリティ関連予算などで日本企業の課題が浮き彫りになった。

[＠IT]

　NRIセキュアテクノロジーズ（以下、NRIセキュア）は2026年2月12日、日本、米国、豪州の3カ国の企業計2282社（日本1263社）を対象に実施した「企業におけるサイバーセキュリティ実態調査2025」の結果を発表した。調査期間は2025年6〜8月。2002年度から実施しており、今回で23回目となる。

　調査の結果、VPN（仮想プライベートネットワーク）、サプライチェーンセキュリティ対策評価制度、セキュリティ関連予算などで日本企業の課題が浮き彫りになった。

「情報セキュリティ10大脅威」と日本企業の警戒度トップ10との実態差

　情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威2025 組織編」を基に日本企業の警戒度を調査したところ、1位は「ランサム攻撃による被害」（80.8％）で一致していたが、2位以下で差が見られた。

　2位に「内部不正による情報漏えい等」（54.8％）、5位に「不注意による情報漏えい等」（42.4％）がランクインし、IPAの発表順位よりも高い結果となった。外部からのサイバー攻撃と同様に、内部不正やミスへの強い警戒感も浮き彫りになった。

「情報セキュリティ10大脅威2025」と日本企業の警戒度との実態差（提供：NRIセキュア）

VPN利用率8割維持、脱VPNは進まず

　VPN使用率は84.2％と前年度調査（85.3％）から横ばいで推移しており、「脱VPN」は進んでいない。

　加えて「最新のパッチ（修正プログラム）適用」を完了している企業は63.1％にとどまり、4割近くの企業がVPN機器の脆弱（ぜいじゃく）性を放置している恐れがある。

VPNセキュリティ対策の実施率（提供：NRIセキュア）

サプライチェーン評価の負担増が深刻化

　委託元から求められるセキュリティ評価について、75.4％の企業が何らかの課題を感じていることが分かった。最大の課題は「委託元ごとに内容やフォーマットが異なり、対応が煩雑になる」（42.8％）だった。

委託元から要求されるセキュリティ評価の課題（提供：NRIセキュア）

　経済産業省が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」（参考）について、制度を理解している企業のうち、運用開始予定の2027年3月末までに準備が完了すると回答した企業は23.7％にとどまった。

サプライチェーン評価制度に向けた準備完了時期（提供：NRIセキュア）

予算配分は「対応」「統治」へシフト

　米国国立標準技術研究所（NIST）のサイバーセキュリティ対策ガイダンス「NIST Cybersecurity Framework 2.0」（NIST CSF 2.0）の6つの機能分類で予算配分の意向を調査したところ、現在は「検知」（60.0％）と「防御」（56.7％）にリソースが集中している。

　今後3年間で予算を増やしたい分野では「対応」（37.1％）と「統治」（20.9％）の伸び幅が大きく、インシデント発生時の被害抑止や回復力（レジリエンス）を高める意向が見られた。

NIST CSF 2.0の機能別の予算意向（提供：NRIセキュア）

　「サイバーセキュリティを経営課題として組織横断的に取り組む姿勢への変化が示唆されている」とNRIセキュアは指摘している。