セキュリティ投資は増えている。それでも、なぜインシデントは増え続けるのか
日本では今、サイバーセキュリティへの投資が過去にないほど拡大しています。しかし、その一方で、サイバーインシデントも増え続けています。
これは一見すると矛盾しているように見えます。
「これだけ投資しているのに、なぜ被害が減らないのか。」
私は20年以上サイバーセキュリティの現場に携わってきましたが、この問いは、今の日本のサイバーセキュリティを考える上で、最も重要なテーマの一つだと感じています。
セキュリティ市場は2兆円規模へ
株式会社矢野経済研究所によると、日本のサイバーセキュリティ市場は、2025年度に前年度比9.2%増の1兆9,471億円、2026年度には前年度比9.0%増の2兆1,220億円へ拡大すると予測されています。あわせて同社は、経営層のサイバーセキュリティに対する認識が、従来の「平時を維持するためのコスト」から、「事業継続を支える経営基盤」へと変化しつつあると指摘しています。
企業はEDR、XDR、SOC、ゼロトラスト、AIを活用した検知基盤など、さまざまな技術へ投資を続けています。
予算も増えています。
技術も進化しています。
それにもかかわらず、インシデントは増えています。
被害は依然として拡大している
警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2025年のサイバー犯罪の検挙件数は15,108件で過去最高となりました。また、フィッシング報告件数は245万4,297件に達し、「右肩上がりの増加が継続」していると明記されています。
さらに、同じ警察庁資料では、ランサムウェア攻撃の被害企業について、組織規模別では中小企業が約6割を占めるとされています。
「大企業だから狙われる」
「うちは小さいから大丈夫」
そのような時代ではありません。
むしろ、攻撃者から見れば、中小企業は比較的侵入しやすい標的です。そして、中小企業はサプライチェーンを通じて大企業や重要インフラともつながっています。
一社への侵害が、多くの組織へ連鎖的な影響を及ぼす時代になっています。
いま攻撃されているのは、人間である
私は、ここに大きな誤解があると思っています。
私たちは長い間、サイバーセキュリティを「技術の問題」として捉えてきました。もちろん技術は重要です。しかし、現在の攻撃は、技術だけを狙っているわけではありません。
人を狙っています。
そのことを示す代表的な調査として、Verizonの『2025 Data Breach Investigations Report Executive Summary』は、侵害事案における human element の関与は前年同様おおむね60%前後で推移していると述べています。これは日本国内に限定した統計ではありませんが、少なくとも現代のサイバー攻撃の多くが、人間の判断・行動・反応を入口として成立しているという国際的傾向を示す重要なデータです。
フィッシングメール。
偽の請求書。
経営者になりすました送金依頼。
AIを活用した精巧なソーシャルエンジニアリング。
攻撃者は脆弱性スキャンだけをしているのではありません。
人間の心理をスキャンしているのです。
人は弱いからハックされるのではない
多くの被害者は、セキュリティを全く知らない人ではありません。
フィッシングを知っています。
注意すべきことも知っています。
研修も受けています。
それでも被害は起こります。
なぜでしょうか。
人は、忙しい。疲れている。急いでいる。責任を感じている。誰かを助けたいと思っている。迷惑をかけたくないと思っている。つまり、人は弱いからハックされるのではない。人間だからハックされる。
攻撃者は知識を破っているのではありません。
焦り、責任感、善意、時間的プレッシャーを利用して、人の判断を乱しているのです。
AI時代はさらに「人」が標的になる
この点を象徴するのが、IPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威2026」です。IPAは2026年版で、組織向け脅威として初めて「AIの利用をめぐるサイバーリスク」を選出し、3位に位置づけました。
IPAのプレス発表は、このリスクの内容として、AIに対する不十分な理解に起因する情報漏えい、AIの生成結果を十分に検証せずに利用することによる問題、さらにAIの悪用によるサイバー攻撃の容易化・手口の巧妙化などを挙げています。
これは非常に象徴的です。
AIは防御側にも恩恵をもたらします。しかし同時に、攻撃者にも強力な武器を与えています。
生成AIによって、より自然な日本語のフィッシングメール、個人に合わせた説得メッセージ、経営者を模倣した音声、本物そっくりのWebサイトを、短時間かつ低コストで作れるようになりました。
つまり、攻撃はより速く、より安く、より心理的に巧妙になっています。
技術競争だけでは、追いつけなくなりつつあるのです。
必要なのは、人間中心のサイバーセキュリティ
だからこそ私は、AI時代のサイバーセキュリティは、人間中心へと視点を広げる必要があると考えています。
もちろん技術投資は必要です。しかし、それだけでは十分ではありません。
私たちは、人が焦るとき、人が責任を感じるとき、人が疲れているとき、人が孤立しているときに、どのような判断をするのかを理解しなければなりません。
そして、「止まる」「確認する」「相談する」ことを、本番でできるように練習する必要があります。
私はこれをデジタル避難訓練と呼んでいます。
地震や火災と同じように、サイバーインシデントも突然起こります。その時、人は理想通りには動けません。普段の訓練レベルまで、行動の質が落ちます。
だからこそ、
知っていることより、練習していること。
これがますます重要になっていくのです。
日本のサイバーセキュリティ投資は、これからも増え続けるでしょう。実際、市場規模も政府予算も拡大を続けています。
しかし、攻撃もまた、AIによって加速度的に進化していきます。そして、その多くは技術ではなく、人間を入口として成立します。警察庁が示すように、被害組織の約6割が中小企業であるという事実は、決して他人事ではありません。
これからの時代に問われるのは、
「どの製品を導入するか」
だけではありません。
人がプレッシャーの中でも良い判断をできる環境を、どうつくるのか。
それこそが、AI時代のサイバーセキュリティにおける、次の大きな課題なのだと思います。
参考文献・参照資料
https://www.yano.co.jp/press-release/show/press_id/4130
2025年度市場規模を1兆9,471億円(前年比9.2%増)、2026年度予測を2兆1,220億円(前年比9.0%増)と公表。
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf
サイバー犯罪検挙件数15,108件、フィッシング報告件数245万4,297件、ランサムウェア被害企業の約6割が中小企業などを掲載。
Verizon, 2025 Data Breach Investigations Report Executive Summary
https://www.verizon.com/business/resources/reports/2025-dbir-executive-summary.pdf
"the involvement of the human element in breaches remained roughly the same as last year, hovering around 60%"
独立行政法人情報処理推進機構(IPA)「プレス発表『情報セキュリティ10大脅威 2026』を決定」
https://www.ipa.go.jp/pressrelease/2025/press20260129.html
組織向け脅威の3位に「AIの利用をめぐるサイバーリスク」が初選出と明記。
https://www.cyber.go.jp/pdf/council/cs/dai43/43shiryou6.pdf
令和7年度当初予算額 2,051.5億円を掲載。