2026年のサイバー防衛 どこに予算を振り向ければよいのか

2025年のサイバーリスク増大を受け、世界の組織の65％が投資拡大を計画中だ。調査では取引先経由の被害が7割に達しており、専門家はガバナンス強化やサイバーハイジーンの徹底を取締役会レベルで推進すべきだと警鐘を鳴らす。

[David Jones，Cybersecurity Dive]

　世界はもちろん、日本においても2025年はサイバー攻撃の被害が目立つ。著名な企業が攻撃された結果、生活にも影響があった。

　十分な防御対策が必要だろう。それを裏付ける予算はあるのだろうか。どこに予算を振り向ければよいのだろうか。

　リスクマネジメントサービスを提供するMarshが2025年12月9日（現地時間、以下同）に発表したレポート「Marsh Global Cyber Buyers' Study 2025」によると（注1）、日本を含む世界中の組織の65％は今後12カ月間でサイバーリスクを予防するための投資を増加させる計画だという。さらに、26％の組織が支出を25％以上増加させる予定のようだ。

2026年のサイバー防衛　どこに予算を振り向ければよいのか

　レポートによれば、今後12カ月で企業が支出を増やすと回答した上位5分野は次の通りだ。

・サイバーセキュリティ技術とリスク緩和策（70％）
・サイバーインシデントの計画と準備（68％）
・サイバーセキュリティ人材採用（67％）
・従業員のトレーニング（66％）
・サイバー保険（65％）

　レポートによると、企業の危機感は相当なものだ。過去12カ月の間に10社中7社が取引先や委託先に関連する重大なインシデントを少なくとも1件経験している。これは10社中7社がサプライチェーン攻撃を受けたという意味ではない。だが、自社システムに攻撃が到達していなくても、業務が中断・遅延したり、情報が漏えいしたりする場合がある。つまり対策が必要だ。

　顧客データに関するセキュリティの維持はもちろん、システム運用におけるレジリエンスの強化など、拡大し続ける課題に対して、世界中の組織がどのように取り組もうとしているのかをレポートは示唆した。

サイバー投資に力が入る英国、日本は？

　Marshの結論は、8つの地域にまたがる20カ国で、2200人以上のサイバーセキュリティリーダーを対象に実施した調査に基づいて示された。

　英国の組織は投資を増やす可能性が最も高く、回答者の4分の3が「その予定がある」と答えている。

　2025年、英国は歴史的に見ても極めて厳しいサイバーリスクにさらされた。小売業界を標的としたソーシャルエンジニアリング攻撃が相次ぎ（注2）、自動車メーカーのJaguar Land Rover（ジャガー・ランドローバー）が攻撃を受け（注3）、1カ月以上にわたって生産が停止する事態に陥った。こうした状況を受け、英国当局は企業の経営層に対し、サイバーレジリエンスを取締役会レベルの重要課題として位置付け、事業継続性の確保に注力するよう求めている（注4）。

　同社はレポートで20カ国を8つの地域（英国とカナダ、米国は単独で1地域）に分けている。8つの地域のうち、アジア（日本、韓国、シンガポール）は最も投資を増やす可能性が低いという結果になった。

英国の企業はどれほどのダメージを負ったのか

　英国の企業がサイバーセキュリティに対する投資を増やす理由の一つが、同国の自動車メーカーJaguar Land Roverが被ったサイバー攻撃があるだろう。

　2025年8月末、同社の内部ネットワークと主要なITシステムが外部からの不正アクセスにより侵害を受けた。同社が生産ライン運営に関わる全システムを即時シャットダウンしたことにより、主要な3工場での自動車生産が停止して、世界的な生産ラインにも影響が及んだ。数千人の従業員が出社停止や休業扱いになり、サプライチェーン全体にも大きな影響が出た。

　工場はすぐには再開できず、10月初旬ごろから段階的に生産を再開できた。これにより、英国全体の車両生産が記録的な低水準に落ち込んだ。同社は四半期損失が約4億8500万ポンド（約1000億円）に及んだ。このうち、攻撃に対する直接の対応コストは約2億ポンドだという。

　この他、従業員（現職、退職済み、契約社員）の個人情報の一部が盗まれた可能性がある（キーマンズネット編集部）

どのような投資が効果的なのか

　Marshのサイバー分野の責任者は、サイバーリスクを完全に防ぐのは難しいと注意を促しつつも、サイバーハイジーンの徹底やガバナンスの見直しが有効だと付け加えた。

　Marshのサイバープラクティスでマネージングディレクターを務めるパヤル・パテル氏は次のように述べた。

　「企業は、ベンダーが提供するセキュリティを精査するための枠組みを構築し、監査を定期的に実施する必要がある。その他、取るべき対策としては、強固なガバナンスフレームワークの順守や契約上の保護条項に関する適切な交渉、アクセス権限の見直し、利用しなくなったベンダーとの契約の適切な解除が挙げられる」

　Marshはレポートを作成するために、2025年1〜7月、日本、韓国、シンガポール、カナダ、フランス、ドイツ、イタリア、スペイン、インド、サウジアラビア、南アフリカ、アラブ首長国連邦（UAE）、ブラジル、コロンビア、メキシコ、ペルー、オーストラリア、ニュージーランド、英国、米国の20カ国を対象として企業や組織のサイバーリスクリーダーに質問した。中小企業から多国籍企業まで、幅広い業種と企業規模の組織を代表する人々を選んだ。

　回答者は自社のサイバーセキュリティ能力に対してさまざまなレベルの自信を示しており、中東およびアフリカ地域が83％と最も高い自信を示した一方、アジアと太平洋地域のセキュリティ専門家が自信を示した割合は50％と最も低い水準にとどまった。

出典：Majority of global firms plan to boost cyber spending in 2026（Cybersecurity Dive）
注1：Cyber catalyst report: Guiding priorities in cyber investments（Marsh）
注2：M&S chairman calls for mandatory disclosure of material cyberattacks（Cybersecurity Dive）
注3：Jaguar Land Rover attack cost British economy $2.5 billion（Cybersecurity Dive）
注4：UK authorities propose law to set minimum cyber standards for critical sectors（Cybersecurity Dive）

原文へのリンク