KPMGジャパンと日経が国内企業のサイバーセキュリティ調査結果を発表、被害額10億円以上が初確認
KPMGジャパン(東京都千代田区、共同チェアマン:山田 裕行氏、知野 雅彦氏)は、日本経済新聞社(本社:東京都千代田区)と共同で、国内企業を対象としたサイバーセキュリティに関する実態調査を実施し、「サイバーセキュリティサーベイ2026」の発行に先駆けて、主要な調査結果を速報として公表しました。
生成AIの普及に伴い、サイバー攻撃はより一層巧妙化しており、金銭的被害の高額化や委託先・子会社・海外拠点といった自社以外を経由するサイバーインシデントの増加など、サイバーセキュリティへの取り組みは企業にとって重要な経営課題の一つとなっています。こうした状況下で、企業はサイバーセキュリティの管理体制を強化すべく様々な施策を推進していますが、予算や人材の確保、グループ会社や委託先・取引先の管理、対策ツールの運用やAIの活用など、複雑な課題への対応が求められています。
8回目を迎える今回の調査では、国内上場企業424社のサイバーセキュリティ責任者・担当者から得られた回答を基に、「サイバー攻撃の実態」、「サイバーセキュリティ管理態勢」、「子会社管理」、「委託先・取引先管理」、「サイバーセキュリティ対策」、「AIセキュリティ」という6つの重要テーマについて分析がまとめられています。なお、本調査は日本経済新聞社およびKPMGインターナショナルの日本におけるメンバーファームである有限責任 あずさ監査法人(本部:東京都新宿区)、KPMGコンサルティング株式会社(本社:東京都千代田区)、株式会社KPMG Forensic&Risk Advisory(本社:東京都千代田区)(KPMGジャパン)と共同で実施されました。
この記事の目次
注目すべき調査結果の概要
サイバー攻撃の実態について
サイバー攻撃の巧妙化により、被害額は高額化しており、過去1年間に発生したサイバーインシデントの年間合計被害が10億円以上となったという回答が今回初めて確認されました。また、1億円以上の被害が発生したという回答の割合も年々増加しており、今回初めて1割を超える結果となりました。
サイバーセキュリティ管理態勢について
IT予算に対するサイバーセキュリティ予算の比率は「1〜5%未満」が最多で、セキュリティ予算が不足しているという回答は6割を超えました。しかしながら、予算が不足していると回答した企業において、中期計画や単年度計画が策定されていない傾向が見られました。
子会社管理について
国内外の子会社のセキュリティ管理を比較すると、国内に比べて海外子会社は管理されていない傾向が見られます。また、グループ共通の施策導入についても、海外子会社への展開は遅れている傾向が見られます。
委託先・取引先管理について
実際に被害のあったサイバーインシデントの発生経路は国内の委託先・取引先が最多で、海外の委託先・取引先については「攻撃があったかわからない」が4割弱となりました。管理が不十分な一方で、業種別のセキュリティ管理については、金融が最も進んでおり、特に委託先選定時のセキュリティ対策アンケート取得が約9割に達するなど業種間で施策実施に大きな差が見られました。
サイバーセキュリティ対策について
回答企業の8割弱が対策ツールの不足を認識しています。導入したサイバーセキュリティ対策についても運用に課題がない対策はなく、特にネットワークセキュリティ対策、資産管理、アイデンティティ/アクセス管理、脆弱性管理などの運用に課題があると回答した企業が多い結果となりました。そのほか、インターネットに公開されているゾーンのシステムでも5割弱において、パッチが適時に適用されていないなど、パッチ適用の遅れが顕著となりました。
AIセキュリティについて
「業務効率化・自動化」や「データ分析・予測」といった分野で、AIの導入が進んでいる傾向が見られました。また、外部のAIサービスを利用する際のセキュリティ評価の実施率は、業種によって大きく異なる結果となりました。そのほか、シャドーAI対策として、利用規定等のポリシーを策定していると回答した企業が6割弱に達する一方で、社内の関連ポリシーに基づく監査やレビュー実施率は、2割強にとどまりました。外部AIサービス利用におけるセキュリティ評価の実施率が業種間でばらつくなど、AI利用の統制が十分に機能していない状況が明らかになりました。
テーマ1:サイバー攻撃の実態
過去1年間に発生したサイバーインシデントの合計被害額が「10億円以上」と回答した企業が初めて確認されました。
また、1億円以上の被害額が発生した企業は、前々回(2023年)調査の6.7%、前回(2025年)調査の8.0%から、今回調査では10.1%へと増加し、サイバーインシデントの高額化が年々顕著になっていることが明らかになりました。さらに、サイバーインシデントによって発生した被害額が1億円以上となった企業の割合は、適切な人員を確保している企業と比較すると、人員が不足している企業で高くなる傾向が確認されました。
業務上の被害が発生したサイバー攻撃で最も多かった手法は、「ランサムウェア(6.9%)」、次いで「DDoS(サービス妨害)攻撃(4.3%)」となりました。被害がなかったものの攻撃された手法で最も多かったのは、「フィッシング(49.2%)」で、次いで生成AIの発達に伴い「メールを用いた不正な送金指示(ビジネスメール詐欺)(38.2%)」が増加しており、「ディープフェイクを用いた不正な送金指示(6.2%)」の攻撃も発生しています。
【図2】サイバーインシデントの直接的な要因(攻撃手法)
テーマ2:サイバーセキュリティ管理態勢
セキュリティ予算について、回答企業の63.2%が「大いに不足している(10.3%)」、「やや不足している(52.9%)」と回答しました。また、従業員が少ない企業ほど、サイバーセキュリティ予算について「大いに不足している」、「やや不足している」との回答が増加する傾向が見られました。
【図3】サイバーセキュリティ予算の不足状況
IT予算に対するサイバーセキュリティ予算の比率は、「1%〜5%未満」との回答が最も多く、次いで「わからない」を除けば、「5%〜10%未満」との回答が多い結果となりました。
【図4】サイバーセキュリティ予算(業種別)
サイバーセキュリティ推進組織の人員規模について、前回の調査と比較すると、「大いに不足している」、「やや不足している」と回答した企業がともに増加しました。また、「サイバーセキュリティ推進組織を設置していない(39.4%)」との回答が最も多い結果となりました。
【図5】(左)サイバーセキュリティ推進組織の人員不足感(右)サイバーセキュリティ推進組織の専任人数
テーマ3:子会社管理
グループ会社でのセキュリティ人材の不足が指摘されているなか、グループを含む全社共通のCSIRT・SOCの整備や情報システム資産管理について、「実施済み」、「実施予定」と回答した企業が6割を超えていることが明らかになりました。
【図6】国内子会社に実施・検討しているセキュリティ施策
また、子会社のセキュリティ管理方法において、国内外の子会社の管理を比較すると、国内子会社に比べて海外子会社では管理されていない傾向が見られます。グループ共通の施策導入についても、海外子会社への展開は遅れている傾向が見られます。
【図7】子会社のセキュリティ管理方法(国内外の比較)
テーマ4:委託先・取引先管理
業務上の被害を生じさせたサイバーインシデントが発生した経路としては、「国内の委託先・取引先(10.8%)」が最多で、海外の委託先・取引先については「攻撃があったかわからない(36.3%)」が4割弱と最も多く回答していました。
【図8】サイバーインシデントが発生した経路
「委託先選定時のセキュリティ対策アンケート取得」について、最も多く「実施している」と回答した業種は金融で、業種間で施策実施に大きな差が見られました。
【図9】委託先・取引先の管理(アンケート取得)
委託先・取引先のセキュリティ管理施策では、「委託先に対するセキュリティ指針の整備」や「委託先選定時のセキュリティ対策アンケート取得」が、比較的進んでいることが明らかになりました。
テーマ5:サイバーセキュリティ対策
導入済みのセキュリティ対策ツールについては、「不足しているため、追加検討する(19.8%)」、「やや不足しているため、追加検討する(56.2%)」と回答した企業が8割弱にのぼり、多くの企業でツールが十分ではないと認識していることが明らかになりました。特に、セキュリティ予算が「大いに不足している」と回答した企業では、約98%がツール不足を実感しています。
【図10】セキュリティ対策ツールの充足度合い
セキュリティ対策の導入が進む一方で、「運用の一部に課題がある」、「購入したが、想定通りに運用が機能していない」といった課題もあり、運用面でのギャップが見受けられます。特に、「ネットワークセキュリティ対策」、「資産管理」、「アイデンティティ/アクセス管理」、「脆弱性管理」は、運用に課題があると回答する企業が多い結果となりました。
【図11】サイバーセキュリティ対策の導入状況(導入率順)
速やかに(公開から1週間以内に)パッチを適用しているシステムは、「インターネットに公開されているゾーンのシステム」、「重要な業務システム」、「上記以外のシステム」の順で多くなり、危険度と重要性に応じてパッチを適用している傾向が読み取れます。ただし、「インターネットに公開されているゾーンのシステム」であっても、5割弱において、適時に適用されていないことが明らかになりました。
【図12】パッチ適用のタイミング
テーマ6:AIセキュリティ
「業務効率化・自動化」や「データ分析・予測」といった分野にて、AIの導入が進んでいる傾向が見られました。また、セキュリティ対策への導入は、「検討中」との回答が最も多く、今後の導入が予測されます。
【図13】分野別のAI導入状況
外部のAIサービス利用時のセキュリティ評価の実施率は、業種によって実施率に大きな差がある結果となりました。
【図14】外部のAIサービスを利用する際のセキュリティ評価
シャドーAI(正規に許可されていないAIツールの業務利用)を防ぐために導入されている対策は、「利用規定など、ポリシーの策定(59.7%)」が最も進んでいるなか、社内ポリシーに基づく監査やレビューの実施率は、「定期的に実施」、「不定期に実施」を合わせても2割強にとどまり、今後取り組むべき課題として挙げられます。
【図15】シャドーAIを防ぐための対策
【図16】AI利用にかかる監査やレビュー
「サイバーセキュリティサーベイ2026」の概要
名称:企業のサイバーセキュリティに関する調査
対象:国内上場企業のサイバーセキュリティ責任者・担当者
調査期間:2025年10月2日〜11月28日
調査方法:メール・郵送によるアンケートの送付、ウェブ・郵送によるアンケートの回収
有効回答数:424社
今後、本調査結果に、サイバーセキュリティ対策の高度化に向けたポイントや詳細の解説を加え、「サイバーセキュリティサーベイ2026」として発表される予定です。
出典元:KPMGジャパン
