生成AI利用は8割超 日米豪3か国のセキュリティ実態
NRIセキュアテクノロジーズ株式会社(NRIセキュア)は、日本、米国、オーストラリアの3か国・計2,282社を対象に実施した「企業におけるサイバーセキュリティ実態調査2025」の結果を公表した。本調査は2002年度から継続して実施されており、今回で23回目となる。生成AIの利用状況、サプライチェーン対応、脅威認識、VPNセキュリティ、予算配分など、多角的な観点から各国の実態が示された。
生成AI利用率は83.2%へ上昇、活用フェーズに日米豪で差
生成AIの業務利用状況について、日本企業の83.2%が何らかの形で利用していると回答し、前年の65.3%から大幅に上昇した。利用率では米国97.8%、豪州97.7%に迫る水準である。
一方で、活用用途には明確な差がある。日本ではチャットツールなどの「社内業務利用」が中心であるのに対し、米豪では「外部APIを活用した社内システム実装」や「自社プロダクトへの組み込み」など、ビジネス価値創出を伴う高度な活用が進んでいる。
サプライチェーン評価対応に75.4%が課題
委託元から要求されるセキュリティ評価への対応について、75.4%が何らかの課題を感じていると回答した。最大の課題は「委託元ごとに内容やフォーマットが異なる」(42.8%)であり、評価内容やフォーマットの違いが課題として挙げられた。
経済産業省が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」については、制度を理解している企業のうち、2027年3月末までに準備完了予定と回答した企業は23.7%にとどまった。
ランサムウェアに続き「内部不正」「不注意」への警戒
IPA「情報セキュリティ10大脅威 2025」を基に、日本企業が警戒している脅威を尋ねた結果、1位は「ランサムウェアによる被害」(80.8%)であった。
注目すべきは、2位に「内部不正による情報漏えい等」(54.8%)、5位に「不注意による情報漏えい等」(42.4%)が入った点である。外部攻撃に加え、内部不正や不注意も上位に挙げられた。
VPN利用率は84.2%、4割近くが対策未完了
VPNの使用率は84.2%と高水準を維持している。一方、「最新のパッチ適用」を完了している企業は63.1%にとどまり、約4割が未完了の状態にある。
VPN機器の脆弱性を突く攻撃が続く中で、最新のパッチ適用が完了していない企業が一定数存在することが示された。
予算は「対応」「統治」へシフト
NIST CSF 2.0の6機能分類に基づく予算意向では、現在は「検知」(60.0%)と「防御」(56.7%)に重点が置かれている。
一方、今後3年間では「対応」(37.1%)と「統治」(20.9%)への予算増加意向が高い。インシデント発生を前提としたレジリエンス強化や、経営レベルで「対応」「統治」への予算増加意向が示された。
まとめ
本調査では、日本企業の生成AI利用率は83.2%に達し、米国(97.8%)、豪州(97.7%)に迫る高い水準となった。一方、活用用途では、社内業務利用が中心である日本に対し、米豪では外部API活用や自社プロダクトへの組み込みなどの取り組みが見られた。
また、サプライチェーン評価対応については75.4%が課題を感じていると回答し、内部不正や不注意も上位に挙げられた。VPN対策では、最新パッチ適用を完了していない企業が一定数存在することが示された。
予算意向では、現在は「検知」「防御」に重点が置かれる一方、今後は「対応」「統治」への増加意向が示された。
「企業におけるサイバーセキュリティ実態調査2025」の詳細なレポートは、次のWebサイトから入手可能だ。
https://www.nri-secure.co.jp/download/insight2025-report
