サイバー攻撃による企業被害が拡大している。ランサムウエア（身代金要求型ウイルス）やサプライチェーンを狙う攻撃が常態化し、AI（人工知能）による攻防の高度化も進む。中堅企業でもゼロトラスト導入が必須要件となりつつあり、ITセキュリティーに加えて工場・社会インフラを視野に入れたOT（オペレーショナルテクノロジー）セキュリティーの強化も急がれる。政府も「能動的サイバー防御」を含む制度整備に踏み込み、官民挙げた対処能力の底上げが進む。セキュリティー対策は自治体や企業にとって最重要な投資案件として浮上してきた。

　情報処理推進機構（IPA）の「情報セキュリティ白書2025」は、ランサムウエアや標的型攻撃、DDoS攻撃などが国内外で多数観測され、手口の巧妙化・洗練化も進むとして「サイバー空間の脅威はますます増大している」と指摘する。AI時代の到来は、脅威の質を変えた。白書では生成AIを含むAI技術の進展を踏まえ、攻撃・防御双方でAI利用が進む一方、AIシステムへの攻撃や悪用、認知領域への攻撃も懸念されると警鐘を鳴らす。

　現実の被害も深刻化している。昨年秋にはアサヒグループホールディングスがサイバー攻撃でシステム障害に見舞われ、国内の受注・出荷、顧客対応などの業務に影響が及んだ。アスクルもランサムウエア攻撃によりサービス停止を経験し、情報漏えいも確認されるなど影響が広がった。大手企業でも事業継続に直結する打撃を受ける事例が相次ぎ、サイバーセキュリティーへの関心は一段と高まっている。

国内市場は5861億円、生成AIが投資を後押し
　こうした環境変化を背景に、国内のセキュリティーソフトウエア市場は拡大している。IDC Japanによると、2024年の国内市場規模は前年比14.6%増の5861億円。市場の約3割を占めるエンドポイントセキュリティーは同10.1%増の1734億円、インシデント対策は同15.8%増の1125億円、高度化する攻撃を分析するセキュリティーアナリティクスは同22.9%増の856億円となった。急増する被害と経営者の意識変化、生成AI活用に伴う課題が投資を押し上げていると分析する。

　IDC Japanは今後も「引き続き高いレベルの投資が続く」とし、成長ドライバーとして生成AIの活用と、それを支えるセキュリティー基盤（ID管理と認証、アクセス管理、データセキュリティーなど）を挙げる。29年に向けて年平均12.0%成長を続け、同年には1兆307億円と1兆円規模に乗せる見通しだ。

　脅威側の中心にあるのはランサムウエアだ。IPAの「情報セキュリティ10大脅威2025」では、1位が「ランサム攻撃による被害」（10年連続10回目）、2位が「サプライチェーンや委託先を狙った攻撃」（7年連続7回目）、3位が「システムの脆弱ぜいじゃく性を突いた攻撃」（5年連続8回目）。これに内部不正、機密情報を狙った標的型攻撃、リモートワーク環境を狙った攻撃などが続く。

OTとゼロトラスト対策急務　量子暗号も視野に
　生成AIを業務に本格活用する企業の増加に伴い、セキュリティー対策は不可欠な要素になっている。AIは、攻撃と防御の双方で活用され、AI生成のフィッシング、マルウエア、脆弱性探索などAI駆動攻撃が増加し、対抗する側にはAIによる異常検知やレスポンス自動化など、SOC（セキュリティー・オペレーション・センター）の機能強化が求められる。

　攻撃対象はサプライチェーン全体に広がり、企業側には取引先も含めた幅広い対応が求められている。取引先や委託先を含めた弱点が突破口となり、被害が連鎖するケースも相次いでおり、中堅・中小企業の対策強化は待ったなしの状況だ。さらに工場や設備など、従来オンプレミス中心だった領域もネットワーク化が進み攻撃対象となっている。OT領域の防御強化は、事業継続の観点から重要性を増す。

　企業の対策は境界防御からの脱却が急務となっている。クラウドベースでネットワークとセキュリティーを統合するSASE（サッシー）の導入、「何も信用しない」を前提にID・デバイス・ネットワークを継続的に検証するゼロトラストの実装が中心テーマとなる。

　中長期では暗号の更新も避けられない。量子コンピューターの計算能力が現実味を帯びる中、既存暗号方式が短期間で突破される恐れがあり、次世代暗号化技術として「耐量子計算機暗号（PQC）」技術の早期整備が求められる。

　政策面でも、昨年は「能動的サイバー防御」などサイバー対策を強化する「サイバー対処能力強化法」が成立した。官民一体での情報連携と対処能力強化は、社会インフラとしてのデジタル基盤を守る上で欠かせない。

　AIなどIT技術の進展は急ピッチで進む一方、セキュリティーリスクも増大する。IDC Japanは「ユーザー企業は最新の攻撃状況や自社リスクを把握し、常に備え運用していく必要がある」と指摘する。セキュリティーはコストではなく経営基盤として再定義されつつある。