サイバーセキュリティ関連の脅威が増すなか、少数のテクノロジープラットフォームや特定のシステムにリスクが集中することは、2025年の最大のリスクとなるでしょう。2024年に発生したCrowdStrike社の世界規模のシステム障害は、推定52億USドルの損失をもたらしました。この一件は悪意のある攻撃によるものではなかったのですが、今後、意図的に悪意のある攻撃が行われれば、より壊滅的な影響を受ける可能性があります。
サービスや能力が少数の大手プロバイダーに集中することで、単一のインシデントが多数の企業や組織に波及したり、世界的な障害を引き起こす脅威が高まります。重要インフラや一般消費者が使用する製品にも、コネクテッドデバイスや自律型デバイスが普及することで、破壊的なサイバー攻撃に対する新たな脆弱性が生まれています。従来の運用統制モデルは急速に時代遅れになりつつあります。それに代わり絶え間ない混乱に直面する中で、企業は「適応性」「イノベーション」「レジリエンス」を向上させることが急務となっています。
デジタルエコシステムにおける集中リスクが高まる3つの要因
1.大胆な国家脅威アクターの台頭:ヨーロッパと中東での対立が激化する中、国家脅威アクター(国家から資金援助などの支援を受けて活動するサイバー攻撃者)はデジタル空間における既存の行動規範を無視するようになっています。2025年、地政学的にさらに多くの「レッドライン」を超える出来事が起こると、これらの国家脅威アクターは、軍事的、政治的、経済的な優位性を得るために、重要インフラや集中化されたテクノロジープロバイダーに対して、システムを破壊するサイバー作戦を引き続き展開するでしょう。
これまで国家は特定の国家に結びつけられないように第三者の代理グループなどを介してサイバー攻撃を行ってきましたが、2025年は、デジタル領域において国家間の直接対立が激化する転換点となるかもしれません。
2.脆弱な重要ターゲット: 世界のデジタルエコシステムを支える重要なシステムやデータは、当然、格好なターゲットとして狙われます。多数のユーザーが集中するクラウドサービスは、リスクを恐れない大胆な脅威アクターにとって莫大な利益をもたらすターゲットです。サプライチェーン上の弱点をついたり、ソフトウェアの更新を悪用することで、ほとんどのセキュリティ対策をすり抜け、システムに侵入できるようになります。AIや産業用ロボットなどの新たなテクノロジーがますます活用されることで、デジタルの集中リスクはさらに高まるでしょう。
3.効果が見込めない政府の対応: ほとんどの政府は、集中型のデジタルエコシステムが社会に与えるリスクを認識しているものの、効果的に対応できていません。EUのNIS2指令やデジタル・オペレーショナル・レジリエンス法(DORA)などの規制は、企業に対し自社だけでなくサプライヤーのデジタルレジリエンスも管理する義務を課しています。米国も同様のガイドラインを既に発行しており、中国は重要なデジタルテクノロジーのセキュリティを確保しようと、以前から積極的に取り組んでいます。
残念ながら、これらの取り組みは、企業が破壊的な集中リスクにさらされる状況を大幅に改善するには至っていません。規制当局は、重要なテクノロジーの開発が世界で数社に集中している状況に対し、これらの企業の分割を求めていますが、その実現可能性は非常に低いです。
ビジネスへの影響
自社のネットワークを自力で保護できる企業はほとんどなく、重要なテクノロジーの依存関係を管理できている企業はさらに少ないでしょう。大胆な脅威アクターは、以前は守られていた暗黙のルールを無視して攻撃を仕掛けてきます。2025年も、企業は世界規模のシステム障害に備えなければなりません。変化に柔軟に対応し、トラブルが発生しても業務をすぐに再開できるアジリティ(俊敏性)とレジリエンス(回復力)を兼ね備えた企業が生き残り、そうでない企業は、今後も継続的に業務が停止するなどの問題を抱えることになるでしょう。