Japan

サイト内の現在位置

Global Cybersecurity Index2024を読んでみた

NECセキュリティブログ
  • Share

2026年1月9日

Global Cybersecurity Index(GCI)PDF[1]とはInternational Telecommunication Union(ITU)が発行している法整備、技術、組織、能力開発、国際協力の5つの観点から各国のサイバーセキュリティの成熟度を評価したものです。本記事ではGCIの2024年版をもとに、Tier分類や満点の国の分析・実例を通じて、グローバルなサイバーセキュリティの現状と今後の課題について考察しました。

目次

1. GCI(Global Cybersecurity Index)とは

Global Cybersecurity Index(以下「GCI」という)は、International Telecommunication Union(ITU)によって2015年から開始されたもので、世界各国のサイバーセキュリティの取り組み状況を総合的に評価する指標です。評価は、法整備、技術、組織、能力開発、国際協力の5つの観点から成熟度を判断し、各国を総合スコアでランク付けします。GCIは、各国のサイバーセキュリティの取り組みを理解し、改善点を特定するための重要なツールとして活用されています。さらに、GCIは単なるランキングではなく、各国の進捗状況や世界・地域レベルでの比較、そして国や地域間の「サイバーセキュリティ格差」を明らかにすることを目的としています。Global Cybersecurity Index 2024(以下「GCI2024」という)では、2023年~2024年にかけて194カ国の情報がまとめられ、各国が講じるサイバーセキュリティ対策の現状を把握できます。GCI2024では、スコアに応じてTier 1~Tier 5の5段階に分類し、成熟度の高い国から初期段階の国まで位置づけ、改善のためのロールモデルを提示しています。
本記事では、GCI2024の内容を読み、世界各国のサイバーセキュリティの現状や課題、そして今後の動向について整理しました。

2. GCIの仕組み

2-1. 評価構造

GCIは各国のサイバーセキュリティ成熟度を評価するために設計した指標で、以下の流れで評価されます。

図 1 GCI評価構造
  1. 83の質問
    各国の法制度、技術、組織体制、能力開発、国際協力に関する詳細な質問を行う。
  2. 20の指標
    質問を集約し、包括的な評価項目に整理する。
  3. 5つの領域
    国の安全を守るための総合的な評価軸として以下5つを設定し、それぞれ満点を20点とし、各国の成熟度を測定する。
    • 法整備:サイバー犯罪とサイバーセキュリティ関連の法律や規制の整備状況
    • 技術:国家及び業界別の専門機関を通じた技術対策や能力の導入、運用状況
    • 組織:国家レベルの戦略や専門機関の設置状況と実効性
    • 能力開発:サイバーセキュリティ能力の向上に向けた啓発キャンペーン、研修、教育、インセンティブ状況
    • 国際協力:政府機関、企業、国家間で構築されるパートナーシップ
  4. 総合スコア
    5つの領域の合計で各国の成熟度を0~100のスコアで評価し、順位付けする。

2-2. Tier分類の仕組み

GCIでは総合スコア(0~100)に基づき、各国を5つのTierに分類します。これは国のサイバーセキュリティ成熟度を段階的に示すもので、政策立案や国際比較の指標として活用されます。

図 2 Tier構造
  • Tier 1:ロールモデル
    全体のGCIスコアで95/100以上のスコアを獲得した国々を指し、サイバーセキュリティ対策を、5つの領域にわたって評価・策定・実施している。
  • Tier 2:前進段階
    全体のGCIスコアで85/100以上のスコアを獲得した国々を指し、サイバーセキュリティ対策を、最大4つの領域、または多数の指標にわたって評価・確立・実施している。
  • Tier 3:確立段階
    全体のGCIスコアで55/100以上のスコアを獲得した国々を指し、サイバーセキュリティ対策を適度な数の領域または指標にわたって評価・確立・実施している。
  • Tier 4:進化・発展段階
    全体のGCIスコアで20/100以上のスコアを獲得した国々を指し、サイバーセキュリティ対策を少なくとも1つの領域、または複数の指標にわたって評価・確立・実施している。
  • Tier 5:構築段階
    全体のGCIスコアで20/100未満の国々を指し、サイバーセキュリティ対策を少なくとも1つの指標にわたって評価・確立・実施している。

3. サイバーセキュリティ先進国の特徴

GCI2024PDF[2]の世界平均スコアは65.7/100と前回2020年のスコアである51.71/100から向上しています。これは各国がサイバーセキュリティの5つの領域にわたる施策を拡充してきた成果を反映しています。特に法制度の分野は多くの国で進展が見られ、国際条約に準拠した法律の整備が進んでいます。一方、能力開発や技術の分野は依然として多くの国で課題が残っており、教育・人材育成や標準化、インシデント対応能力の強化等が求められています。

3-1. 各地域における各領域の満点の国数及び割合

各領域の満点の国数及び割合を地域別にまとめました。

図 3 地域別各領域の満点の国数
図 4 地域別各領域の満点の国割合

図3を見ると法整備(68カ国)や国際協力(54カ国)で満点を獲得している国が多い一方、能力開発(21カ国)は最も少なくなっています。法整備の分野では、国際的な標準や規範の整備が進み、多くの国が法的枠組を整備していることがわかります。こうした取り組みはサイバー犯罪やサイバー攻撃への対応を強化するための基盤として不可欠であり、各国が積極的に取り組んできた結果と言えます。一方、能力開発の分野では、専門人材の育成や教育体制の整備が難しく、満点の国が限られていることから、持続的な人材育成が世界的な課題であることが示唆されます。図4より地域別の割合を見ると、ヨーロッパは満点の国の割合が多く、特に法整備では70%と突出しており、国際連携においても50%となっています。これはNIS2などのEUを中心とした統一的な政策や国際連携の枠組みが機能していることの表れと考えられます。アラブ・北アフリカでは、他地域と比べて能力開発における満点の国の割合が1位となっています。これは地政学的要因や金銭目的の攻撃が多く、その対策として能力開発が進んでいる可能性があります。
この分布から、制度や国際連携の整備が進む一方で、能力開発や組織運用の成熟には各国で差があることがわかります。特に法制度や技術基盤が整っていたとしても、現場の人材育成や組織の運用力が追い付いていないケースが多く、今後は「人」と「組織」の強化がグローバルな課題になると考えられます。

3-2. 5つの領域がすべて満点(合計100点)の国

GCIの合計点が95-100点のTier1の国は、アメリカ合衆国、日本、フランス、ドイツ、シンガポール等含めて47カ国あります。その中でも5つの領域全てが満点(合計点100点)を獲得した国の一覧を図 5に、地域別にあらわしたものを図 6にまとめました。

図 5 GCI満点(100点)を獲得した国一覧
図 6 GCIスコア満点(100点)の国(地域別)

これらの国々はサイバーセキュリティに関する法制度の整備だけでなく、最新技術の導入、強固な組織体制、継続的な人材育成、そして国際的な連携の全てにおいて高水準を維持しています。例えば英国やフィンランド共和国はEUやNATOとの連携を活かし、国際的な情報共有や共同演習を積極的に実施しています。これらの国々はGCIが示す理想的なサイバーセキュリティ体制のロールモデルであり、取り組み事例を参考にすることでGCIのスコアを高めるだけでなく、強固なサイバーセキュリティ体制を築くことが出来ます。

3-3. 満点の国の取り組み事例

GCI(Global Cybersecurity Index)で満点評価を獲得した国々は、サイバーセキュリティ分野で先進的な政策や実践的な取り組みを展開しています。ここでは、英国とインドネシアの事例を紹介し、それぞれの強みや特徴を解説します。

3-3-1. 英国の政策・取り組み

  • 国家サイバーセキュリティセンター(NCSC)new window[3]の設立
    2016年にNCSCを設立し、政府・企業・一般市民を対象にサイバー脅威への対応を強化しています。NCSCはインシデント対応や情報共有、教育・啓発活動等幅広く展開し、官民連携の基盤となっています。
  • 包括的な国家戦略の策定
    National Cyber Security Strategyを策定し、法整備・技術基盤・人材育成・国際協力など多角的な施策を推進しています。特に教育分野では、学校や大学向けのサイバーセキュリティプログラムを充実させ、次世代人材の育成に力を入れています。また、官民連携や国際的な情報共有を通じて、国家全体のレジリエンスを高める取り組みも進めています。
  • 国際協力の強化
    NATO、Five Eyesを中心に、EUとも情報共有や標準策定で協力し、国際的な枠組みを通じてグローバルなサイバー脅威への対応力を高めています。

3-3-2. インドネシアの政策・取り組み

  • 法制度の整備
    電子情報・取引法(ITE法):サイバー犯罪や電子署名、データ保護を規定しています。
    個人データ保護法(PDP法, 2022年施行):個人データの収集・処理・保存を規制し、違反には罰則を設けています。
    政府規則第71号/2019:電子システム提供者に対し、セキュリティ対策の義務を課しています。
  • 国家機関の設立
    国家サイバー暗号庁(BSSN)が設立され、政府全体のサイバーセキュリティ政策を監督しています。

このように、英国、インドネシアでは多角的な政策、取り組みを実施することがGCIで満点を獲得に繋がっています。

4. まとめ

GCI2024の分析から、世界各国でサイバーセキュリティの法整備や国際協力が進展しており、EUやNATOを中心とした国際連携、アジア太平洋地域の急速なデジタル化、アラブ・北アフリカの政府主導体制等、地域毎に特徴的な取り組みがある一方、能力開発や運用の成熟には依然として課題がみられました。今後は以下のような対策が必要になると考えられます。

  • 教育の充実:学校や企業でのサイバーセキュリティ教育を強化し、現場で実践できるスキルを身につけること及びアウェアネス向上の機会を増やすこと。
  • 組織内の情報共有と連携:部門間でセキュリティ情報を共有し、インシデント対応を迅速に行える体制を整えること。
  • 最新技術の活用:ポリシー作成、脆弱性診断、攻撃検知等においてAIを活用することで攻撃への対応力を強化すること。

GCIの指標や先進国の事例を参考に各国、各組織が自らのサイバーセキュリティ体制を継続的に見直し、強化していくことが重要と考えます。

参考文献

執筆者プロフィール

R汰(りた)※ハンドルネーム
担当領域:サイバーセキュリティ人材育成

海外向けサイバーセキュリティ人材育成に従事。

執筆者の他の記事を読む

アクセスランキング