サプライチェーンに関しては、取引先から求められるセキュリティ評価への対応について、委託を受けている企業の75.4％が「何らかの課題がある」と回答した。 最大の悩みは、「委託元ごとに内容やフォーマットが異なり、対応が煩雑になる」点で、標準化されていない評価票への個別対応が現場の負荷を押し上げている。 こうした状況を受け、経済産業省は、企業の対策状況を★の段階で可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討を進めている。 制度を「理解している」企業のうち、2027年3月末までに準備完了と答えたのは23.7％にとどまり、多くの企業で運用開始までの体制整備が遅れている実態も示された。ent.iij.ad+2

脅威動向では、IPAの「情報セキュリティ10大脅威 2025（組織編）」を踏まえ、日本企業のセキュリティ担当者が警戒する項目を聞いたところ、「ランサムウェアによる被害」が80.8％で1位となった。 依然として最大のリスクと認識されており、身代金要求型攻撃への備えが最重要課題となっている。 注目されるのは、「内部不正による情報漏えい等」（54.8％）と「不注意による情報漏えい等」（42.4％）が、それぞれ2位と5位に入った点である。 これらはIPAが示す公式順位よりも高く、日本企業の現場では、外部攻撃と同等以上に「身内の不正やミス」といったコントロールしにくいリスクへの警戒感が強まっている。ict-miraiz+2

VPNセキュリティの実態も深刻だ。VPN機器の脆弱性を突く攻撃が相次ぎ、大企業を中心にゼロトラストへの移行機運が高まっているものの、VPN利用率そのものは84.2％と前年（85.3％）からほぼ横ばいだった。 にもかかわらず、「最新パッチを適用済み」と答えた企業は63.1％にとどまり、およそ4割は対策が未完了の可能性がある。 攻撃が常態化するなか、基本的なメンテナンスさえ追いつかない状態でVPN利用を継続しているという、極めて危うい状況が浮かび上がった。security-insight+2

セキュリティ予算の配分では、NIST CSF 2.0の6機能分類を用いて、現在と今後3年間の投資意向を分析した。 現状、日本企業が相対的に多く予算を割いているのは「検知」（約60％）と「防御」（約57％）で、従来型の境界防御と監視への依存が続いている。 一方、今後3年間で予算を増やしたい分野としては「対応」（37.1％）と「統治」（20.9％）の伸びが大きく、すべての攻撃を防ぐことは難しいという前提のもと、インシデント時の被害抑止や復旧力の強化に舵を切り始めている。 また、「統治」への関心の高まりは、サイバーセキュリティを技術部門だけのテーマではなく、経営課題として組織横断的に扱おうとする意識変化を示している。nri-secure.co+2

NRIセキュアは、生成AIの利用率では米・豪に迫りつつも、システム実装レベルでは日本企業が後れを取っている点を指摘する。 さらに、ランサムウェアに加えて内部不正や不注意による漏えいへの警戒が高まり、技術対策だけでなく統制・教育の重要性が再認識されていると分析する。 こうした環境変化と脅威の高度化を踏まえ、今後は「予防・検知」中心の投資から、有事の「対応・復旧」、そして全体を統括する「統治」へと予算・体制の重心が移っていくと展望している。news.livedoor+2