チェック・ポイント・ソフトウェア・テクノロジーズ 日本法人社長 佐賀文宣氏

――サイバーセキュリティに関して、企業は2025年にどのような課題と向き合うことになりますか。

佐賀　サイバー攻撃が複雑化するなかで万全な対策を行うためには、専門性がより求められます。ここで問題となるのが2点。専門知識を持った人材が不足することと、セキュリティ対策ツールの増加です。

具体的な数字を挙げましょう。

ISC2※1によると、現在、グローバルで550万人のセキュリティ人材がいますが、需要に対して470万人も不足しています。その割合は前年から19.1%も増加していて、需要と供給のギャップはますます広がりました。

※1：ISC2（international Information System Security Certification Consortium）　サイバーセキュリティ専門家のトレーニングと認定を行う非営利の会員制組織。世界で50万人以上が所属する

一方、企業は平均で54個ものセキュリティ対策ツールを使用しています。

「誰でもランサムウェア」の恐怖

――AIがサイバー攻撃に悪用され、攻撃が巧妙化・激化することを懸念する声も挙がっています。

佐賀　攻撃側も当然AIを使います。

企業が現在直面しているサイバー脅威の1位と2位は、ランサムウェアとサプライチェーン攻撃です。

ランサムウェアは洗練され、高機能化しています。ゼロデイ攻撃が増えていますし、AIを使って検知の網をすり抜ける技術が向上してきています。また、従来は侵入後に展開、実行まで最低1日かかっていましたが、最近では5時間以内と短くなっています。

もう1つ危惧しているのが、ランサムウェア攻撃のツール化です。

高度な技術を持つ集団にしか作れなかったランサムウェアが、今では販売されていて、誰でも購入して使えるようになりました。弊社のリサーチ部門は、2025年に「ランサムウェアの民主化」が進むと予測しています。

そして、十分に防御策が敷かれた大企業の本社ではなく、防御の弱い海外拠点や取引先から侵入するサプライチェーン攻撃も顕著に増えています。

この対策は非常に難しいものです。大企業が中小規模の取引先を守るという構図を想像しがちですが、実際には取引先のほうが大きいケースもあります。企業間で、セキュリティに関する情報をどのように出し合い共有するかが課題となります。

このように攻撃が非常に活発になるなか、企業に大きなインパクトをもたらす別の動きもあります。サイバーセキュリティに関する規制の強化です。

――米国や欧州で次々と、新たな法規制が作られていますね。

佐賀　経済的なインパクトの大きさを、日本企業もかなり気にしています。

米国では2022年と2023年に、攻撃を受けた場合の報告・開示義務を定めた法律が施行され、違反すると非常に高額な罰金が課せられます。

欧州では2024年にNIS2※2が施行され、報告義務に違反すると、売上の最大2%または1000万ユーロ（約16億円）の罰金が課されます。2025年には、最大1500万ユーロまたは売上高の2.5%とさらに高額な罰金を課す欧州サイバーレジリエンス法（EUCRA）※3の適用も始まります。

※2：NIS2指令　EUにおけるサイバーセキュリティに関する法令。2016年に施行されたNIS指令の改訂版で、2023年に発効。NIS指令から対象範囲が大きく拡大した。EU加盟国が本指令を国内法へ置き換えることで拘束力を発揮する

※3：欧州サイバーレジリエンス法（EUCRA：EU Cyber Resilience Act）　2024年に欧州ネットワーク・情報セキュリティ機関（ENISA）が採択した法案で、脆弱性・インシデントについて当局やユーザーへの報告・通知義務を課す