近年、デジタル技術の進化やビジネス環境の変化により、企業を取り巻くサイバーセキュリティリスクは多様化・深刻化しています。サイバー攻撃の高度化で、インシデント発生時の業務停止や経済的損失が増加傾向にあります。
また、生成AIやAIエージェントの普及は業務効率化を進める一方で、新たなセキュリティリスクやガバナンス上の課題を生み出しています。
本調査では、過去1年間のサイバーインシデントの被害額が10億円以上となった企業が初めて確認され、1億円以上の被害が1割を超えるなど、被害規模の拡大が顕著となりました。技術進展の速さにルール整備・リスク管理が追いついていない実態も見受けられ、AI活用とセキュリティの両立は多くの企業にとって喫緊かつ重要な経営課題となっています。
本レポートでは、2025年に実施したサイバーセキュリティに関する調査結果を基に、重要テーマについてトレンドと必要となる取組みをまとめています。今回で8回目となる「サイバーセキュリティサーベイ」は、KPMGジャパンが日本経済新聞社と共同で、サイバーセキュリティ対策の高度化のための有益な情報提供を目的として調査を実施したものです。
1. サイバー攻撃の実態
2. サイバーセキュリティ管理態勢
3. 子会社管理
4. 委託先・取引先管理
5. サイバーセキュリティ対策
6. AIセキュリティ
1.サイバー攻撃の実態
サイバーインシデントによる被害金額は年々増加するとともに、生成AI・ディープフェイクを用いた新たな攻撃による被害も発生しています。また、DXの進展により、サプライチェーン経由での業務停止リスクも拡大しています。
サイバーインシデントによる被害
8回目となる年次調査で初めて、サイバーインシデントによる年間合計被害額が10億円以上となった企業が確認され、被害の高額化が進んでいることが明らかになりました。サイバー攻撃の巧妙化に伴い、被害は情報漏えいにとどまらず、システム停止による業務の遅延・中断といった事業影響にも広がっています。
【サイバーインシデントによる被害金額】
サイバーインシデントの発生要因としてディープフェイクが顕在化
特に、生成AIを悪用したフィッシングやビジネスメール詐欺など、自然な日本語を用いた攻撃が増加しており、ディープフェイクを用いた不正な送金指示といった新たな攻撃手法も確認されました。こうした状況を踏まえ、技術的対策に加え、社員教育を含む対策の徹底と実効性の向上が引き続き求められます。
【過去1年間に発生したディープフェイクを用いた不正な送金指示による被害】
2.サイバーセキュリティ管理態勢
IT予算に占めるサイバーセキュリティ投資比率は上昇している一方、サイバーセキュリティ予算や人材の不足は引き続き課題となっています。加えて、約4割の企業にはサイバーセキュリティ推進組織が設置されていないことが明らかになりました。
サイバーセキュリティ予算の状況
サイバーセキュリティ予算は依然として不足感が強いものの、IT予算に占める投資比率は上昇しており、重要性の認識は高まりつつあります。一方で、投資判断はインシデント発生後の事後対応型に偏りがちで、中期的なセキュリティ計画が未整備な企業も多く見られます。
【IT投資に対するサイバーセキュリティ投資の比率】
サイバーセキュリティ推進組織の人員
また、サイバーセキュリティ推進組織については人材不足が深刻化しており、組織自体を設置していない企業も約4割にのぼっています。高度化するサイバー攻撃に対応するためには、計画・予算・人材を一体として整備していくことが引き続き重要な課題となっています。
【サイバーセキュリティ組織の人員数】
3.子会社管理
国内子会社に対しては、本社主導のサイバーセキュリティ管理が一定程度進む一方、企業規模が小さいほど本社の管理が限定的となる傾向が見られます。海外子会社ではその傾向がさらに強く、グループ横断でのセキュリティ対策の推進が課題となっています。
国内子会社に対するサイバーセキュリティ管理
国内子会社については約4割の企業で本社主導のサイバーセキュリティ管理が行われているものの、企業規模が小さくなるほど子会社任せとなる傾向が見られます。
【国内子会社に対するサイバーセキュリティ管理の方法】
海外子会社に対するサイバーセキュリティ管理
海外子会社では管理の分散・委任がさらに進んでおり、評価・教育・訓練といった対応の遅れが顕著です。加えて、グローバルでの人材不足を背景に、海外子会社に対策を一任することはリスクを高めており、実際に海外拠点を起点とした被害も多く確認されています。海外拠点リスクが高まるなか、国内外の子会社を含めたグループ横断でのセキュリティ対策の企画・推進が重要な課題となっています。
【海外子会社管理において実施・検討している施策】
4.委託先・取引先管理
委託先・取引先に対するサイバーセキュリティ管理は全体的に遅れており、基本的な施策でも実施率は低水準にとどまっています。特に非金融業では対応の遅れが目立ち、業種を問わずサプライチェーン全体を見据えた管理強化が求められます。
委託先・取引先に対するサイバーセキュリティ管理
委託先・取引先管理において、いずれの施策も実施率が4割を超える回答はありませんでした。また、基本となるセキュリティ指針の整備や選定時の対策確認でさえ十分に実施されていない企業が多く見られます。
【委託先・取引先に対して実施しているセキュリティ対策】
特に製造業をはじめとする非金融業では、多層的なサプライチェーンのなかで委託先管理が行き届かず、情報漏えいや業務停止リスクが高まりやすい状況にあります。また、委託先の対策状況を継続的にモニタリングする仕組みも十分に整備されていません。今後は、委託先のリスクに応じたセキュリティ管理とモニタリング体制の強化が重要な課題となっています。
【定期的なセキュリティ監査の状況(業種別)】
5.サイバーセキュリティ対策
多くの企業において、予算不足によりサイバーセキュリティ対策ツールの不足が明らかになりました。また、技術的対策だけでなく、導入後の運用定着や迅速なパッチ適用など、運用プロセス・管理体制への対応も十分に行われていません。
サイバーセキュリティ対策ツールの充足度合い
予算が不足している企業ほどセキュリティ対策ツールも不足している傾向が明確であり、対策ツール不足の主要因が予算不足にあることがうかがえます。結果として、必要性を認識しながらも十分な対策を講じられていない企業が多いと言えます。
【サイバーセキュリティ対策ツールの導入状況】
パッチ適用のタイミング
資産管理やID/アクセス管理、脆弱性管理などの対策は導入が進む一方で、運用定着に課題を抱える企業が多く、十分な効果を発揮できていない状況が見られます。さらに、インターネットに公開されているシステムであっても緊急度の高いパッチが迅速に適用されていないケースが多く、日常的な運用プロセスや管理体制の不十分さがセキュリティリスクを高める要因となっています。
【パッチ適用タイミング(業種別)】
6.AIセキュリティ
業務効率化を中心にAIの導入が進む一方、セキュリティ分野での活用は十分に広がっていません。加えて、AI利用に対する評価・監査・レビューなどのガバナンス整備も追いついておらず、シャドーAI対策も十分とはいえない状況にあります。社員教育などの多層的な対策は今後の課題となっています。
AIの導入状況
AIは業務効率化・自動化を中心に導入が進み、さまざまな活用が企業活動のなかに広く浸透してきています。一方で、セキュリティ目的でのAI活用は限定的にとどまっており、リスク検知や防御強化といった分野はこれからの導入が見込まれます。また、AI利用に対する評価・監査・レビューといったガバナンスが十分に整備されておらず、全社的な統制が追いついていないケースが少なくありません。
【AI利用にかかる監査/レビュー】
さらに、シャドーAI対策についてもポリシー整備にとどまる企業が多く、教育や技術的制御を含めた実効性の確保が課題となっています。
【シャドーAIを防ぐための対策】
本レポートの全文はこちらからダウンロードできます:
