KPMGコンサルティングは2025年4月16日、国内企業を対象にしたサイバーセキュリティに関する実態調査の結果をまとめた「サイバーセキュリティサーベイ2025」を発表した。今回で7回目となる同調査では、上場企業および売上400億円以上の未上場企業125社のセキュリティ責任者・担当者から回答を得たものだ。サイバー攻撃の実態から管理体制、AIセキュリティまで8つのテーマについて調査が行われ、特に攻撃被害の高額化が際立つ結果となった。
調査結果によると、過去1年間に発生したサイバーインシデントによる損害額が1,000万円以上となった企業は全体の44.0%に達している。この数値は2022年調査の16.1%、2023年調査の30.0%から大幅に増加しており、被害の高額化が顕著となっている。さらに注目すべきは、8%の企業が1億円以上の高額被害を被っていることだ。
業務上の被害があったサイバー攻撃で最も多かったのはランサムウェアであり、全体の10.7%を占めた。近年は生成AIを活用した攻撃の高度化が進んでいるのが特徴だ。KPMGコンサルティング 執行役員 パートナーの澤田智輝氏は「従来は日本語の壁があり、おかしな日本語のメールが届くことがありましたが、最近は生成AIを使って非常に自然な言語での攻撃が増えています」と指摘する。
一方、フィッシング攻撃については45.5%の企業が「攻撃はあったが被害はなかった」と回答しており、企業のセキュリティ対策が一定の効果を上げている実態も明らかになった。
セキュリティ管理体制については、「適切な人材がいる」と回答した企業は前回調査の11.2%から23.7%に増加したものの、依然として75.5%の企業が「人材が不足している」と回答しており、人材不足の深刻さが浮き彫りになっている。
特に注目すべきは、セキュリティ組織の規模だ。今回初めて調査した結果、72.9%の企業が10人未満の少人数でセキュリティ組織を運営していることが判明した。「クラウドの利用やスレットハンティングなど様々な運用面での対応が増える中、この人数で対応していくのは相当難しい」と澤田氏は懸念を示している。
セキュリティ予算については、55%の企業が「前年同様」と回答する一方、41.4%の企業が何らかの予算増加を実施しており、特に20%以上の大幅増額を行った企業も14.4%に上っている。しかし、IT予算全体に対するセキュリティ予算の割合は、最も多いのが「1%から5%未満」で36.4%にとどまっている状況だ。
運用の難しさが課題に、脆弱性管理とアイデンティティ管理に苦戦
セキュリティ対策の導入状況については、今回の調査で「導入したが運用に課題がある」という選択肢が新たに追加された。その結果、特に脆弱性管理とアイデンティティ・アクセス管理において運用の難しさが浮き彫りになっている。
「脆弱性管理、特にパッチ適用については、金融庁のガイドライン等でも重視されていますが、どのようにどこまで実施するかという点で苦労している状況です」と澤田氏は説明する。パッチ適用の方針についても、72.3%の企業が「内容を精査して適用可否を判断している」と回答した一方、10.6%は「なかなかパッチを適用できない」と回答している実態が明らかになった。
アイデンティティ管理についても、クラウドサービスの活用が進む中で管理すべきIDが増加しているという課題がある。従来の従業員やグループ会社社員だけでなく、スタートアップや学術機関など外部パートナーとの協業においてIDライフサイクル管理の重要性が増している状況だ。
情報管理に関しては、69.8%の企業が「重要な情報の適切な管理が実施できていない」と回答している。企業で扱うデータが多岐にわたる上、クラウド環境とオンプレミス環境の共存、ITインフラ環境の複雑化により、情報管理の困難さが増している実態が明らかになった。
サプライチェーン全体のセキュリティ強化が急務、OT・製品セキュリティで遅れ
子会社管理については、37.6%の企業が「サイバーセキュリティに関するガバナンス管理が十分に行われていない」と回答した。前回調査と比較して「中央管理を可能な限り行っている」という回答が増加しており、人材不足を背景に集約化の流れが進んでいる状況だ。
今後の施策としては、38.8%の企業が「セキュリティ対策の共通化・統合化」を志向している。澤田氏は「各子会社が独自にセキュリティ対策を行ってきた中で、これらを統合することは一足飛びには難しく、苦労している企業も多い」としつつも、「グローバル全体でのセキュリティ対策を進めることが良い」と指摘している。
委託先管理については、50.0%の企業が「委託先に対するセキュリティ指針を整備している、または整備する予定である」と回答している。「現在報道されているセキュリティインシデントでも、本社が直接攻撃を受けるよりも委託先経由での攻撃が増加している」と澤田氏は指摘し、欧州などの規制動向も踏まえ、サプライチェーン全体でのセキュリティ強化の重要性を強調した。
OTセキュリティについては、成熟度レベル1(「プロセスが未整備・文書化されていない」)と回答した企業が36.8%を占め、欧米企業と比較して大きな遅れが見られる。特にグローバル調査では成熟度レベル4・5の高成熟度組織が23%を超えるのに対し、日本企業ではレベル5が0%、レベル4が8.7%にとどまっている状況だ。
製品セキュリティについても同様の傾向が見られ、成熟度レベル1が最も多い37.0%という結果となった。EUのサイバーレジリエンス法など厳格化する国際規制に対応するためには、早急な体制整備が必要な状況だといえる。特に課題となっているのは組織体制で、製品セキュリティを担当する組織を「設置していない」企業が42.6%に上っている。
調査ではAIセキュリティに関する項目も新たに追加された。AIリスクを管理する組織、ルール、プロセスを整備済みの企業は、前回調査の4.3%から今回は18.4%と大幅に増加しており、AIセキュリティへの意識の高まりが見てとれる。
KPMGのサイバーセキュリティサーベイは大手企業からの回答が多く、特に製造業を中心に幅広い業種からの回答を得ている。サイバー攻撃の実態から最新のAIセキュリティまで、日本企業のセキュリティ課題を網羅した貴重な調査結果となっている。
