サイバー攻撃を「社会現象」として捉え直す──“全社で回す”セキュリティへの転換【JAPANSecuritySummit 2025】
「今日は皆さんと一緒に、“社会現象としてのサイバー攻撃”を考えていきたい」——そう語ってセッションを始めたのは、株式会社AIセキュリティラボの阿部一真氏です。
日々、延べ数百社規模で企業の悩みや課題を聞いてきた立場から、現場で起きている変化を“社会のうねり”として整理し、いま求められるセキュリティの考え方を提示しました。
このセッションの主題は、脅威の解説そのものではありません。DXが進む現代において、サイバーリスクが「IT部門の守り」では済まなくなっている現実を踏まえ、どうすれば組織として、事業として、継続的に対策を回せるのか。そこに焦点が置かれていました。
DXはフェーズ3へ:デジタルが事業に直結した瞬間、リスクも直結する
阿部氏は、DXの進展を「フェーズ1・2」と「フェーズ3」で分けて捉えます。
- フェーズ1・2:業務の電子化・データ化、社内業務をデジタルで回す
→ 情シス・セキュリティ部門が推進し、デジタルは事業を「支える」
- フェーズ3:デジタルでビジネスそのものを変える
→ 事業部門が推進し、デジタルが事業を「左右する」
ここで強調されたのが、「フェーズ1・2とフェーズ3はまったく別物」という認識です。
デジタルが事業の中心に入ってくるほど、サービス停止は売上や信用に直結し、サプライチェーンを通じて取引先や顧客にも影響が広がる。結果として、サイバーリスクは経営リスクに直結する——この構図が、セッション全体の前提になっていました。
AIの進化が変えたのは“攻撃の高度化”だけではない
DXに加えて、AIの進化も環境を大きく変えています。阿部氏はAIがもたらす変化を2つに整理しました。
1つ目は、攻撃が高度化し、人間だけでは難しかったレベルの攻撃も実行しやすくなったこと。
そして2つ目は、それ以上に重要だとして、「誰でも攻撃できるようになった」点を挙げます。
Ransomware as a Service(RaaS)のように、攻撃がツール化され、買えば使える世界が広がっている。つまり、サイバー攻撃は“天才的なハッカーが起こす事件”ではなく、組織的に、あるいはより広い層でも起こり得る現象になっている。阿部氏が「社会現象」という言葉を使う背景には、この“攻撃の裾野の拡大”があります。
NISTも変わった:「ガバナンス」が前面に出てきた理由
ここで阿部氏は、サイバーレジリエンスの流れ(特定→防御→検知→対応→復旧)を踏まえつつ、近年のアップデートで「ガバナンス(統制)」がより重視されてきた点に触れます。
意思決定し、実行し、運用する。技術や現場対応だけでなく、組織として統制し、継続的に回す枠組みが必要になってきた——それは、サイバー攻撃が社会現象化し、影響範囲が拡大している時代背景の反映だ、という見立てです。
CTEMが突きつける“ビジネス”視点:守る目的は継続性
さらに阿部氏は、Gartnerが提唱するCTEM(Continuous Threat Exposure Management)を紹介します。
資産を把握し、優先順位を付け、脆弱性を発見し、検証し、対応する——一見するとNISTの流れとも似ています。
ただし阿部氏は、両者の差として「ビジネス」を挙げました。
CTEMは明確に“事業を継続させる”ことを中心に置く。だからこそContinuous(継続的)が前提となる、という整理です。
この“継続”と“ビジネス評価”こそが、現場で難所になりやすいポイントでもあります。
現場の難所は2つ:「継続できない」と「ビジネスで語れない」
阿部氏が、企業との対話で頻繁に聞く悩みとして挙げたのが次の2点です。
- 継続的に運用するのが難しい
一度やるのはできても、回し続けるのが難しい。人も予算も限られ、他の業務も山積している。
- ビジネス観点で評価・説明するのが難しい
これまで主に対応してきたIT部門 / セキュリティ部門に、事業インパクトやROIの説明まで求められると負荷が大きい。ステークホルダーも増え、調整が難しくなる。
そして阿部氏は結論として、「IT部門だけでは厳しい局面が増える」と述べます。
だからこそ、事業部門や経営層を巻き込み、全社で協力して回す全社体制に転換する必要がある——この“体制の転換”が、セッションの核となる提案でした。
全社で回すには:誰でもできる仕組みと、可視化・改善サイクル
「全社でやる」と決めた瞬間、必要になる条件が変わります。阿部氏は、全社運用に移った際に浮上する論点を整理しました。
- 専門家でなくても実行できる環境が必要
- 定期的に振り返り、改善するサイクルが必要
- 属人化を避け、誰かに依存しない形が必要
- リスクと対策状況を可視化し、報告できる必要がある
- ステークホルダー増加によりコミュニケーション設計が重要になる
- ROIなどビジネス言語での説明が避けられない
打ち手の方向性としては、実行面は「仕組み化」、管理運用面は「可視化と最適化サイクル」。人が頑張る前提から、回り続ける設計へ移る必要がある、という話でした。
AIセキュリティラボの提案:診断の民主化と運用の統合
最後に阿部氏は、自社の取り組みとして2つのプロダクトを紹介します。
- AeyeScan:Webアプリ / Webサイトの脆弱性診断を、社内で「いつでも誰でも好きなだけ」実行できるようにするプラットフォーム。専門家でなくても扱える操作性、診断後の分かりやすいレポート自動出力などを特徴として挙げました。
- AeyeCopilot:脆弱性対策を継続的に管理・可視化・運用するための統合マネジメント基盤。AIスキャンの実行だけでなく、全社で回すための運用を支える位置づけとして語られ、11月リリース予定の新プロダクトと紹介されました。
導入例としては、事業会社(開発部門 / 情報システム部門 / セキュリティ部門)に加え、開発ベンダー、SIer、セキュリティベンダー側でも利用されている点が触れられました。2週間の伴走型トライアル、デモ・ハンズオンセミナーなど、導入前に試せる導線も提示されています。
社会現象になったなら、対策も“全社現象”にしないと回らない
阿部氏の話を通じて浮かび上がったのは、サイバーセキュリティが“技術課題”から“組織課題”へ移行している現実でした。DXフェーズ3でデジタルが事業中枢に入った以上、セキュリティも経営と事業の言葉で語られ、継続的に回されなければならない。
攻撃が民主化される時代に、守りだけが専門家依存のままでは続かない。
だからこそ、専門家でなくても動ける仕組み、全社で共有できる可視化、改善サイクルを前提にした運用設計が求められる——セッションは、その第一歩を「体制」と「仕組み化」という観点から示していました。
