経営者たちは、この不安定性が早晩収束するとはみていないようです。「EY-Parthenon CEO Outlook調査(2025年9月期)」によると、57%もの経営者が地政学的および経済的不確実性は1年以上続くと予測しており、うち24%は3年以上続くと見込んでいます。
重要インフラ(電力、交通、通信、エネルギーなど)は、地政学的な不安定性の影響を、国家支援型サイバー攻撃という形で被る恐れがあります。こうした攻撃は国家や地域間の緊張を高めますが、一般的には武力衝突までには至らず、宣戦布告なしに敵対的な意思を示す手段として広く取られるようになってきています。企業にとっては、インフラの停止が工場の稼働停止、サプライチェーンや輸送の混乱、資産の損傷などを引き起こす可能性があります。
重要インフラに関連するサードパーティサプライヤーが攻撃対象となった場合、企業は二次的な被害を受けることになります。サイバー犯罪者は、世論の圧力を利用することで性急に解決を急ぐ方向性をつくり出し、身代金獲得につなげたいという動機を持ち得ます。そのため、空港や鉄道システムなど世間の関心の高いインフラ関連企業を標的にする可能性が高まります。
制度の不安定さも、企業のサイバーセキュリティ環境に影響を与えています。「政治勢力は各国・地域で再編されつつあり、分極化はますます進んでいます。つまり選挙ごとに、政策が大きく転換する可能性が高まっているのです」と、EY Global Government & Infrastructure Industry LeaderのCatherine Fridayは述べています。
規制に関しては、サイバースペースは国境のない世界とはなっておらず、特に多国籍企業にとって状況は一層複雑です。現在注目されるのはAI規制ですが、世界各地で規制状況が異なるため、企業は絶えず変化する政策に準拠し続けねばならない状況に陥っています。
「多国籍企業は現在、複数の法域において、複雑なサイバーセキュリティ、AI、データを含む技術規制に直面しています。最も先進的な企業は、コンプライアンスを技術に組み込んでいます。これにより変動性のある制度に対して、全面的に再構築する必要がなくなり、柔軟な調整によって対応できるようにしています」とEY Global Government and Infrastructure Cyber LeaderのPiotr Ciepielaは述べます。
4. 相互接続性
企業は、サプライヤーとの強固なパートナーシップを構築できてこそ成長します。他方、サイバー犯罪は、広範な攻撃対象領域を足場に拡大します。こうした危険な領域は、サイバーセキュリティの成熟度が異なるサードパーティによって構成される相互接続型のエコシステムによって形成されます。
企業が社内のAI機能を構築する際、多くの場合、大規模言語モデル(LLM)はサードパーティを利用します。LLMをゼロから構築するには莫大な費用と計算資源が必要になるからです。
外部リソースを活用して社内ツールを迅速に開発するというハイブリッド型のAI開発手法は、他の社内技術の開発方法と大きく違わないものの、スピードの代償としてサイバーセキュリティリスクの高まりが懸念されています。2025 EY Global Third-Party Risk Management Survey(EYグローバルサードパーティリスク管理調査2025年版:英語版のみ)によると、サードパーティリスク管理プログラムの実行では、他のどのリスクよりもサイバーセキュリティリスクの検出頻度が高くなっています。
組織の複雑性も増しています。EY Global Cyber Risk and Cyber Resilience LeadのRudrani Djwalapersadは次のように述べます。「組織がますます複雑かつ相互接続されるようになり、サイバー環境が絶えず変化する時代において、CISOが担う判断の重要性は高まっています。CISOは、企業全体のAIイニシアチブの安全性を確保するだけでなく、サードパーティと連携してエコシステム全体の安全性も確保する必要があります。」
EYの調査によると、企業ではサイバーセキュリティ部門だけでも平均で47種類ものツールを使用しています。さらに詳細に見ると、従業員はAIを使用する中でそのリスクに気づいています。EYの別の調査(英語版のみ)では、39%の従業員がAIを責任を持って使用することに自信が持てていないと回答しています。
