【VIVA VC シーズン2 第18回】高市政権で注目されるサイバーセキュリティ。日本のスタートアップの勝ち筋は？

はじめに

高市政権が11月に発表した「日本成長戦略」で重点分野として位置付けられた「サイバーセキュリティ」。

今回は、アサヒグループホールディングスとアスクルを襲ったランサムウェア攻撃をきっかけに、日本企業が直面するサイバーセキュリティの現状と、この領域における日本のスタートアップの可能性について議論します。
ビールや文房具が届かないという私たちの日常に直結する問題から、国家の経済安全保障まで、サイバーセキュリティは今や誰もが無関心ではいられないテーマとなっています。

※この記事はポッドキャスト「VIVA VC」シーズン2第18回をもとに作成しました。番組では、サイバーセキュリティの最新動向や日本企業が狙われる背景についてさらに詳しく語っています。ぜひお聴きください。

身近に迫ったサイバー攻撃の脅威[03:01-06:15]

2025年9月から10月にかけて、日本を代表する大企業が相次いでランサムウェア攻撃の被害に遭いました。9月29日にアサヒグループホールディングスがサイバー攻撃を受け（10月3日に発表）、10月19日にはアスクルが攻撃を受けたことを発表し、いずれも受注・出荷システムが停止する事態となりました。

アサヒグループの事例では、スーパードライの出荷が止まり、コンビニやスーパーに「ビールの在庫がありません」という張り紙が並びました。バーではソーダが入荷できず、カクテルやハイボールの味が変わってしまうという事態も発生しました。さらに、アサヒグループへの発注が止まったことで、他のメーカーへの注文が殺到し、業界全体が混乱に陥りました。

アスクルの場合も、「LOHACO（ロハコ）」を含む受注・出荷システムが一時停止し、日常業務に大きな影響を与えました。オフィス用品や日用品の通販サービスが止まることで、多くの企業や個人が困難な状況に置かれたのです。約10日間にわたりシステム障害が続き、法人向け通販の出荷にも影響が出ました。

ランサムウェアとは、企業が保有する機密データや個人情報を盗み、それを暗号化して人質にとり、身代金を要求する犯罪の手口です。「ランサム（身代金）」と「ソフトウェア」を組み合わせた造語で、日本では「身代金要求型ウイルス」とも呼ばれています。

なぜ日本企業が狙われるのか[06:16-14:51]

日本企業へのランサムウェア攻撃が急増しています。2025年上半期だけで116件の攻撃が確認されており、これは半年間としては過去最大水準です。しかも、これは確認されているケースだけの数字であり、未遂や開示されていない事例を含めれば、実際の被害はさらに膨大なものと考えられます。

警視庁「令和７年上半期における サイバー空間をめぐる脅威の情勢等について 」より

この背景には、大きく3つの要因があります。

DX推進の落とし穴

第一に、日本企業のDX推進が進む中で、セキュリティ面の脆弱性が生まれています。多くの日本企業、特に製造業では、レガシーシステムに最新のデジタル技術を「継ぎはぎ」で追加していくケースが多く、その過程で侵入経路が増えてしまっているのです。クラウド化・リモートアクセス・グローバルサプライチェーン管理の導入と、昔ながらのオンプレミスシステムを併存させている構造そのものがリスクとなっています。

IoT（センサー）やOT（生産ライン）連携、スマートファクトリー、リアルタイム物流化が進むほど、サイバー攻撃で事業停止になるリスクが高まり、攻撃者にとっての「攻撃インセンティブ」も高くなるという悪循環に陥っています。日本企業は抜本的な改革よりも、既存システムへの追加・改修を重ねる傾向があり、この「継ぎはぎ」がセキュリティホールを生み出しています。

コロナ禍によるリモートワークの普及も、攻撃者にとっては格好の標的となりました。侵入経路として最も多いのが、VPNやリモートデスクトップ経由での侵入で、全体の約8割を占めるというデータもあります。VPNはセキュリティを高めるイメージがありますが、実はポートを開放してアクセスを許可する仕組みであるため、脆弱性があれば攻撃者にとっては狙いやすい入口となってしまうのです。

AIを使った高度な攻撃

第二に、AIの発展により、攻撃の精度と効率が飛躍的に向上しています。かつては、片言の日本語や怪しいメールで詐欺だと見抜けましたが、今やAIによって完璧な日本語のテキストや音声が生成できるようになっています。

さらに深刻なのが「ランサムウェア・アズ・ア・サービス（RaaS）」の登場です。これは、ランサムウェア攻撃をするためのツールやサービスがブラックマーケットで販売されている状況を指します。開発者と実行者が分かれており、悪意を持った人が資金さえ払えば、高度なランサムウェアを購入して攻撃できるようになっています。身代金はシェアされるというビジネスモデルまで成立しているのです。

MITの調査によれば、被害を受けた企業の約8割が「AIが攻撃に使われていると感じる」と回答しています。AIの活用により、標的企業のリスト作成、侵入経路の特定・最適化、さらには身代金交渉のプロセスまで、攻撃のあらゆる段階で自動化が進んでいます。まさに「意思を持つウイルス」と言っても過言ではない状況です。

身代金支払いの抑止力の差

第三に、日本と海外では身代金支払いに対する抑止力に大きな差があります。

アメリカでは「OFAC規制」があり、制裁対象への金銭支払いが「制裁違反に問われ得る行為」として強く警告されています。実質的に強い抑止効果が働いており、米国企業は身代金攻撃を受ける前の防御を徹底しています。州レベルでも公的機関の支払い禁止が進んでいます。イギリスでも、公的機関や重要インフラ事業者に対しては身代金支払いを禁止し、報告義務を課す法整備が準備中です。

一方、日本ではガイドラインで慎重対応を求めるにとどまっており、禁止や届出義務は未整備です。日本企業は「お客様のために早く復旧しなければ」というプレッシャーから身代金を支払いやすく、日本企業が魅力的なターゲットとなる要因になっています。

国内サイバーセキュリティ業界の現状と「3つの勝ち筋」[14:52-20:06]

こうした状況の中、日本のサイバーセキュリティ業界を見渡すと、圧倒的にプレイヤーが少ないという現実があります。

海外、特にアメリカでは、クラウドストライクをはじめとするメガスタートアップが大規模な資金調達を行い、成長しています。米国はAWSなどのクラウドインフラ領域とAI基盤を押さえているため、それに紐づくクラウドベースのセキュリティスタートアップが次々と生まれています。

しかし、クラウド・AI基盤領域を米国に依存する日本にとって、同じ土俵で競争しても勝ち目は薄く、独自の戦略が必要です。言語も文化も習慣も異なる日本市場において、どこにチャンスがあるのかを特定し、戦略的にプレイヤーを育てていくことが、経済安全保障の観点からも重要な課題となっています。

今回のニュースをきっかけに、国内のサイバーセキュリティ業界を深掘りしてリサーチを行った結果、3つの重要な領域が浮かび上がってきました。

1. インシデント報告プラットフォーム

能動的サイバー防御（ACD法）に関する法整備が進む中、来年末頃から官民連携でサイバー攻撃の被害情報を共有する動きが本格化します。しかし現状、多くの日本企業は、インシデントが発生した際にそれをエスカレーションし、決まったテンプレートで国に報告するシステムが整備されていません。 このような官民連携のインシデント報告・監査用プラットフォームは、今後ほとんどの企業が導入を迫られるため、SaaS企業にとって大きなチャンスがあると考えられます。

2. サイバー攻撃の早期検知

サイバー攻撃を早期に検知する領域も重要です。これは非常に難しい分野で、一歩間違えれば通信傍受のような問題にもなりかねません。 しかし、今回のACD法（能動的サイバー防御を導入する法律）では、独立機関が承認すれば「通信メタデータ」を把握できるようになりました（おそらく2026年から適用）。メタデータとは、通信内容そのものではなく、どこから配信されているか、どれくらいの容量かといった関連情報です。メールの本文ではなく、送信時刻や送信元といった情報を指します。このサイバープライバシーを守りながら通信メタデータを分析する領域も、大きな可能性を秘めています。

3. 能動的サイバー防御のシミュレーション

能動的サイバー防御とは、攻撃の可能性がある場合、その攻撃元を無害化するために自ら攻撃しに行けるという仕組みです。これは警察や自衛隊が実行する領域ですが、そのための訓練やシミュレーションシステムの開発は民間企業にも可能です。 現実世界での訓練と同様に、仮想的な攻撃シナリオを作成し、それに対してどうアプローチするかを練習できるシステムは、今後必須となるでしょう。

VCとしての視点：今が絶好のタイミング[20:07-06:15]

これらの領域に共通するのは、時間軸です。すぐに市場が立ち上がるわけではありませんが、10年後でもない。「2〜3年後」に法制度が一気に解禁され、市場が動き出すタイミングが見えています。だからこそ、今のうちの準備が最も重要なのです。

政権交代により、高市政権では安全保障分野への注力が予想されています。政治的な議論はさておき、現実問題として法整備が進み、市場が立ち上がるのであれば、そこで活躍できるプレイヤーを作っていく必要があります。

何より、これらの領域は海外企業では対応が難しく、日本企業がプレイヤーとなる必然性があります。国家の経済安全保障にも直結する重要な分野であり、VCとしても戦略的に支援していくべき領域だと考えています。

おわりに

今回のアサヒグループやアスクルの事件を通じて、多くの人が「サイバー攻撃が自分たちの身近に迫っている」と実感したのではないでしょうか。ビールが飲めない、文房具が届かない。そんな日常レベルの影響を目の当たりにしました。

しかし、これが製造業だけでなく、医療業界で起きたらどうなるでしょうか。アメリカの調査では、93%の医療機関が過去1年間でサイバー攻撃を経験しており、そのうち約70%が患者ケアに影響があったという報告もあります。命に関わる問題にもなり得るのです。

どんどんサイバー攻撃の影響が私たちの生活を脅かすようになる一方で、その原因の多くは、私たち一人ひとりの日々のセキュリティに対する心がけや、企業のシステム投資にあります。めんどくさいからと会社から要求されるセキュリティ対策を疎かにしてしまうこともあるかもしれませんが、それが大きなリスクにつながります。日頃の行動の積み重ねが重要なのです。

今回の件をきっかけに、企業やビジネスパーソンの一人ひとりが、サイバーセキュリティに関する意識を少しでも高めていただければと思います。

そして起業家の皆さんには、この領域にもっともっとチャレンジしてほしいと考えています。政権交代による追い風もあり、国家レベルでの支援体制も整いつつあります。日本のスタートアップがサイバーセキュリティ分野で活躍できる大きなチャンスが、今まさに訪れています。

執筆 ： 岩澤 脩 | ファーストライト・キャピタル 代表取締役・マネージングパートナー
編集 ： ファーストライト・キャピタル | リサーチ・チーム
2025.11.17