オープニングに登壇した慶應義塾大学の村井 純教授は、「デジタルトランスフォーメーション（DX）と人工知能（AI）の活用が前提となった社会では、サイバーリスクは不可避であり、技術対策だけでは不十分だ」と、セキュリティ対策に対する考え方の転換を訴えた。ゼロトラストに象徴されるサイバーセキュリティを「文化」として捉え、経営層から教育現場まで社会全体に広げる必要性を強調する。

国際情勢の緊張やAIの急速な普及を背景に、サイバー空間を巡る脅威は質・量ともに大きく変化している。「国際関係と最新のサイバー脅威：協力とパートナーシップの未来」と題した対談では、元米国国務省サイバー外交官のクリストファー・ペインター氏と、東海大学客員教授の三角育生氏が登壇し、国家安全保障とサイバーセキュリティの関係を議論した。

ペインター氏は「社会のテクノロジー依存が高まり、サイバー攻撃がもたらす社会的・経済的コストは飛躍的に増大している」と警鐘を鳴らす。国家を後ろ盾とする攻撃や犯罪グループの活動が活発化し、国家関与型の攻撃組織とサイバー犯罪集団の境界は曖昧になっている。特にランサムウエア被害は病院やエネルギー供給網など重要インフラにも拡大しており、「サイバー脅威は国家安全保障とも密接に関係する問題だ」と語った。

巧妙化するサイバー脅威に対抗するには、実効性のある国際協力と官民連携が不可欠である。ペインター氏は「官民連携を意味するPPP（Public Private Partnership）という言葉だけが先行しては意味がない。情報共有の範囲や役割分担を平時から具体化しておくことが必要だ」と話す。具体的には民間が防衛の第一線を担い、政府が外交や制裁などの手段で支援するといった役割分担が重要だという。

ペインター氏の指摘を受け、三角氏は「日米連携や官民連携を単なる枠組みやスローガンにとどめず、具体的な役割分担と実行を伴う実質的なパートナーシップへと進化させる必要性が浮き彫りになった」と総括した。

2025年は多くの企業がランサムウエア被害の深刻さを目の当たりにし、それが自身にも起こりうる現実の問題として突き付けられた年だった。「経営課題としてのサイバーセキュリティ」と題したパネルディスカッションでは、イオンでCISOを務める吉田俊介氏、東洋紡の執行役員CDOである矢吹哲朗氏、博報堂DYホールディングスCAIOの森 正弥氏が登壇し、サイバーリスクを経営判断としていかに捉え直すかを議論した。

モデレーターを務めた日本サイバーセキュリティ・イノベーション委員会の梶浦敏範氏は、「未知のリスクが高速かつ同時多発的に発生する現在の環境では、従来のPDCAサイクルでは対応が追いつかない」と指摘する。観察・状況判断・意思決定・実行を迅速に回す「OODAループ」に基づく即応型のリスクマネジメントが必要ではないかと問題提起した。

まずイオンの吉田氏は、AIの進化によって不自然でない日本語を用いたフィッシングが増加し、日本企業を狙う攻撃が急増していると説明する。多数のグループ会社や店舗、従業員を抱える企業では「対策が不十分な拠点から侵入され、被害が全体に広がるリスクが高い」とし、網羅的な対策の実行とガバナンス確立が最大の課題だと述べた。

東洋紡の矢吹氏は、サイバー攻撃によるサプライチェーン停止リスクを自然災害と同等に捉え、BCP（事業継続計画）を再構築している事例を紹介した。現在は複数のセキュリティツールをAIで統合的に判断する仕組みを構築している。業務停止や誤検知といった多少のリスクを許容してでも、「疑わしきは止める」という被害拡大防止を最優先する文化を現場に広めていると紹介した。

また博報堂DYホールディングスの森氏は、AI技術の進化で攻撃の次元が変わることに対し、対策が後手に回りかねない現状を危惧する。一方で「ゼロトラストや業務の棚卸しを伴うID管理の見直しといったセキュリティ対策は、AI活用の基盤にもなる」とし、「セキュリティ対策は将来のビジネス成長を支える投資だ」と強調した。

生成AIの社会実装が急速に進む中、目下の課題はAI活用を前提としたセキュリティ対策やガバナンスの策定が追いついていないことだ。「AI前提時代のセキュリティマネジメント」と題したパネルディスカッションには日本航空の福島雅哉氏、千葉工業大学学長の伊藤穰一氏、森・濱田松本法律事務所の岡田 淳氏が登壇。AI活用が常態化する時代に求められるセキュリティとガバナンスの在り方について議論した。

福島氏は、「AIが業務効率化や価値創出の中核になりつつある半面、AI活用を控えること自体が、長期的な経営リスクになり得る」と指摘する。伊藤氏もAIエージェントの進化には「光と影がある」と語り、「AIは非常に有能だが、設計次第では容易に誤作動や誘導を受ける存在でもある。重要な判断や実行には、必ず人間の関与する設計が不可欠だ」と訴える。

こうした技術的・運用上の課題を踏まえ、岡田氏は、「自律的に動作するAIの行為責任やデータの扱いは、技術だけで完結する問題ではない」と話す。AIの活用が広がるほど、企業には社内ルールの整備や契約の見直し、法制度との整合性を含めた、包括的なリスクマネジメントが求められると強調した。こうした議論を受け、モデレーターを務めた村井氏も、「AI前提社会では技術・組織・ルールを一体で設計することが重要だ」と総括した。

こうした状況で深刻なのが「セキュリティ人材不足」だ。現場では「人が足りない」という声が繰り返し上がる一方で、その解決策は十分に共有されてきたとは言い難い。「セキュリティ人材不足の打開策を探る」と題したパネルディスカッションでは、企業、研究機関、教育、捜査の第一線に立つ登壇者が集い、人材育成と活用の現実的な打ち手について議論が交わされた。

議論の冒頭、企業が直面する人材確保の現状が共有された。メルカリ執行役員CISOの市原尚久氏は、同社のセキュリティチームの6割以上が外国籍人材で構成されていることを紹介し、「国内市場だけに目を向けていても人材は集まらない。しかし、グローバルに視野を広げれば、必要な人材は確実に見つかる」と述べた。セキュリティ人材不足は数の問題ではなく、採用の前提や発想そのものを見直す必要があると話す。

人材の育成には官民をまたぐ人材循環が効果的と言われる。国立研究開発法人情報通信研究機構（NICT）の伊東 寛氏は自身が官と民の双方を経験してきた立場から、「立場が変わることで、同じ事象であっても見え方は大きく変わる」と指摘する。その上で経営層に対し、「決めること、任せること、責任を取ること。この3つは腹をくくって実行してほしい」と訴え、人材を生かす覚悟が不可欠だとした。

一方、教育の観点からは、情報セキュリティ大学院大学の稲葉 緑教授が問題提起を行った。企業は外部委託に依存しがちで、「社内にセキュリティ人材を置き、育てる」という発想が乏しいと話す。「人材不足を嘆く前に、経営層が必要性を理解し、長期視点で育成に取り組む姿勢が求められる」（稲葉氏）

「長期視点で育成に取り組む」という姿勢は、当然“官”にも求められる。警察庁の濱石佳孝氏は、民間企業から警察庁への出向経験を踏まえ、「官民で実効性ある情報共有を進めるには、互いの言葉や文化を理解できる人材が欠かせない」と述べた。単線的なキャリアではなく、多様な経験を認める仕組みづくりこそが、セキュリティ人材の裾野拡大につながるとの見解を示した。

クロージングセッションでは経済産業省の奥家敏和氏が登壇し、村井氏とともに日本のサイバーセキュリティ政策の現在地と今後の方向性について意見を交わした。ここでも語られたのは官民連携の重要性である。

奥家氏は「重要インフラの多くが民間によって運営される日本においては、官と民が連携し、現場レベルで実装可能な対策を着実に積み重ねていくことが不可欠だ」と力説する。

その中で奥家氏が日本の強みとして挙げるのが、製造業を中心に培われてきた現場力や運用技術、OT（制御技術）分野の知見だ。現実世界とサイバー空間が高度に融合する「サイバーフィジカル領域」において、日本は世界に発信できるモデルを構築できる可能性があると期待を寄せる。「AIやロボットが社会に浸透する中、安全性と信頼性を重視する日本の文化は、大きな競争力になり得る」と語った。

最後に村井氏は、「サイバーセキュリティは専門家だけの課題ではなく、社会全体で共有されるべき文化だ」と総括し、イベントを締めくくった。