サイバーセキュリティサーベイ2025

生成AIの登場で、サイバー攻撃は一段と巧妙化しています。特に、生成AIを使ったランサムウェア攻撃やAIが翻訳した自然な日本語が悪用される「ビジネスメール詐欺」の被害が増えています。ランサムウェアの身代金やサイバー攻撃の被害にあった企業の経済的な損失も深刻な問題になっており、サイバーセキュリティへの取組みは企業にとって重要な経営課題となっています。

また、OT（Operational Technology：制御システム）セキュリティ、製品セキュリティ、AIセキュリティに関しては、海外での法整備が進み、日本企業においても海外の規制を考慮した対応が必須となりつつあります。

本レポートでは、2024年に実施したサイバーセキュリティに関する調査結果を基に、重要テーマについてトレンドと必要となる取組みをまとめています。今回で7回目となる「サイバーセキュリティサーベイ」は、KPMGコンサルティングが、サイバーセキュリティ対策の高度化のための有益な情報提供を目的として調査を実施したものです。

1．サイバー攻撃の実態
2．サイバーセキュリティ管理態勢
3．サイバーセキュリティ対策
4．子会社管理
5．委託先管理
6．OTセキュリティ
7．製品セキュリティ
8．AIセキュリティ

サイバーインシデントの合計被害額は、年々高額化しており、1億円を超える被害があった企業も年々増加しています。被害内容についても、前回調査と比較し、ほとんどの項目で増加がみられます。特に、「自社の機密情報が漏えいした」「自社の従業員の個人情報が漏えいした」が大きく増加しています。

業務上の被害があったサイバー攻撃は「ランサムウェア」という回答が10.7％と 、最も多くなりました。また、業務上の被害はなかった攻撃と合わせると 「フィッシング」「マルウェア」に続いて、「不正送金等を指示するビジネスメール詐欺」の攻撃が多くみられました。生成AIの発達により、自然な日本語でのビジネスメール攻撃が増えており、企業はさらなる注意が必要です。

サイバーセキュリティ組織の人数は10人未満という回答が72.9%を占め、「やや不足している」「大いに不足している」との回答割合と重なります。サイバー攻撃の高度化に合わせて幅広い対策が必要となるなか、組織内の役割分担を明確にし、人材の専門性を高めていくことが求められています。

サイバーセキュリティ予算が「やや不足している」「大いに不足している」との回答は64.5%と高い水準にとどまっています。また、IT予算全体に対するサイバーセキュリティ対策予算の比率が5%未満との回答は約半数となっています。

企業で扱うデータは多岐にわたり、クラウド環境・オンプレミス環境の共存やITインフラ環境の複雑化により、情報の管理は困難さを増しています。そのような状況のなか、重要な情報を定義、特定し、適切な管理を実施することは難しく、69.8%の企業が適切な管理が実施できていないと回答しています。

また、重要な情報に対する技術的措置について、ログデータの収集・保管を行っている企業は75.8%にとどまっています。リモートワークの浸透に伴い、内部不正による情報漏えい事案が増えており、いつ誰がアクセスしたのかをしっかりと記録することが求められます。

パッチ（修正プログラム）の適用は高い割合で実施されていますが、パッチ公開から適用までの期間を決めていない企業が39.2%を占めています。また、パッチ適用によるシステムの不具合発生を想定し、10.6%の企業が「セキュリティパッチの適用ではない方法で何らかのリスク軽減策を講じている」「必要と感じるまでパッチの適用を積極的に実施していない」と回答しています。

サーバやネットワーク機器、クライアントPC等のハードウェア製品やセキュリティソフト含む各種ソフトウェア製品にはライフサイクルが存在し、いずれの製品も一定期間で販売・サポートが終了します。これらのライフサイクルを意識したうえで、回答者の83.3%がEOL（End of Life）/EOS（End of Sales、もしくは、End of Support）を見越して計画的にバージョンアップや機器リプレイスを実施したり、継続利用する場合も必要な対策措置を実施したりしています。

一方で、10.7%の企業が「EOL/EOS製品の存在は認識しているが、特別な対応はせず、継続して利用している」「特に対応していない」と回答しています。

「基本的には各社に委ねており必要に応じて報告・相談を受けている」という回答が28.2%、「子会社の情報セキュリティ状況を把握していない」という回答が9.4%にのぼり、3分の1強の企業において、本社が子会社のサイバーセキュリティに関するガバナンス管理を行えていない状況がうかがえます。

一方、約40%の企業が「子会社に対して、セキュリティ対策に必要なシステムやサービスを共通的に整備し提供している、または今後提供する予定である」と回答しており、企業によって、子会社のサイバーセキュリティ対策高度化の方針がまったく異なる様子がうかがえます。

委託先管理においては、「委託先に対するセキュリティ指針を整備している、または整備する予定である」との回答が50.0%、「委託先に対して、定期的にセキュリティ監査を実施している、または実施する予定である」という回答が30.0%、「現時点では委託先管理を実施していないが、これから実施する予定である」という回答が16.0％となっています。外部委託先管理の不備が原因のセキュリティインシデントが後を絶たない昨今において、委託先におけるセキュリティの担保のために何らかの対策を実施する企業が増えていることがうかがえます。

OTセキュリティの成熟度について「成熟度レベル1」という回答が最も多く、全体の36.8%にのぼることから、サイバーセキュリティのプロセスは未整備で文書化されておらず、プログラムでも整理されていないという企業が多数を占めていることがわかります。対して、高成熟度組織といわれる「成熟度レベル4」という回答は8.7%となっており、組織としてサイバーセキュリティを向上させるためにデータの収集と分析を実施している企業もあります。

制御システムに関するセキュリティアセスメントを年に1回以上実施している日本企業は22.4％となっていますが、海外では低成熟度組織（成熟度がレベル1、レベル2の組織）でも57.0％の企業が年に1回以上実施しており、海外に大きく遅れを取っています。

一方で、前回調査に引き続き「わからない」という回答が減少しており、セキュリティアセスメントに対する認識が醸成されていることを示しています。

EU（欧州）サイバーレジリエンス法（CRA）は、EU域内のデジタル製品に対するサイバーセキュリティ要件の厳格化を規定しており、同様の規制は、英国、米国でも整備が進んでいます。しかし、社内に製品セキュリティ組織を設置していないという回答が最も多く42.6%となりました。また、製品セキュリティ活動で参照している法規・ガイドラインについては「わからない」という回答が50.0%と最も多く、日本企業における製品セキュリティ対策の整備が進んでいない状況が浮き彫りになりました。

前回調査と比較し、「質問・問い合わせへのアシスト」にAIを導入している企業が大幅に増えています。また、「データ分析」「マーケティング活動」等についても前回調査より導入済みの企業が増えています。「セキュリティ監視」についても、導入を検討する企業が前回調査の19.4%から今回調査の32.0%と大幅に増えています。

AIの本格利用の拡大が進むにつれて、リスクへの認識も高まっています。前回調査と比較して、「アウトプットの正確性」を「非常に懸念している」との回答は31.4%から40.2%に、「アウトプットへの偏見」を「非常に懸念している」との回答は21.3%から32.0%と大幅に増えています。これは、前回調査時点と比較してAIの導入が進み、AIへの幻想が薄れていることの表れだと考えられます。AIを過度に信頼するのではなく、AIの得意分野・不得意分野に合わせて、業務に組み込んでいくことが求められます。

AIリスクに関する認識の高まりに合わせ、AIリスクを管理する組織、ルール、プロセスを整備済みの企業は、前回調査の4.3%から今回調査の18.4%と大幅に増加しました。「今後整備予定である」「今後整備の必要性を検討する予定である」との回答も多く、今後の整備が進むことが予想されます。

業種別では、「通信・IT・メディア」「建設・不動産」「運輸・インフラ」で整備済みとの回答が多くみられました。