「何円損したか不明」がサイバー攻撃経験企業の3割、「委託先が原因」が5割 対策強化の障壁は?アシュアード調査

アシュアードは、サイバー攻撃やセキュリティインシデントに関する実態を調査した。インシデント経験企業の10%が10億円以上の損失を被り、14.2%で1カ月以上の業務停止が発生するなど、深刻な実態が浮き彫りになった。

» 2026年01月20日 13時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 セキュリティ信用評価プラットフォームを運営するアシュアードは2025年12月、「サイバー攻撃やセキュリティインシデントに関する実態調査」の結果を公表した。

 調査では、従業員数1000人以上の大手企業に所属する情報システム・セキュリティ部門の500人を対象に、自社への直接的な攻撃や取引先に起因するインシデントの経験、経済的損失の実態、対策強化における障壁などを調べた。

サイバー攻撃経験企業が把握している損失額と業務への影響の実態

 セキュリティインシデントを経験した企業のうち、10%が10億円以上の甚大な経済的損失を被っている事実が判明した。被害額を把握していない企業が約3割に上り、把握している中で最も高い割合を占めたのは「1000万〜5000万円未満」(12.5%)だ。同社は損失額について、復旧・調査費用、賠償、機会損失などの対応コストが積み重なり、多くの企業で数千万円規模に達していると分析している。

インシデントによる経済的損失額(提供:アシュアード

 業務への影響について、停止または重大な支障が出た期間は「1週間未満」が最多だった。他方で「1カ月以上」に及ぶ長期化も14.2%に達している。一度インシデントが発生すると復旧までに時間を要し、事業へ甚大な影響を与えるため、被害が拡大する前の段階で食い止め、対応期間を最小化するための経営努力が強く求められているという。

業務停止または支障が出た期間(提供:アシュアード

「システム開発・運用・保守委託先」が5割 サプライチェーンリスクの実態

 自社への直接的なサイバー攻撃やセキュリティインシデントを「経験したことがある」と回答したのは全体の66.8%に上る。特に多発しているのは「マルウェア・ランサムウェア(身代金要求型マルウェア)感染」(36.8%)で、企業の事業継続に深刻な影響を及ぼす事例も起きている。

自社への直接的なインシデント経験(提供:アシュアード

 取引先に起因したセキュリティインシデントを経験した企業は58.2%に達した。取引先を含めたサプライチェーン全体のリスクが深刻化している実態がうかがえる。

 取引先に起因した主な被害内容は次の通り。

  • 「自社業務の遅延・停止が発生」(28.8%)
  • 「自社の機密情報や個人情報の漏えいが発生」(25.0%)
  • 「取引先のシステムを経由したマルウェア・ランサムウェア感染」(17.0%)

取引先に起因した具体的な被害内容(提供:アシュアード

 インシデントの起点となった取引先は、主に以下の3つのカテゴリーが挙げられている。

  • 「システム開発・運用・保守委託先」(50.2%)
  • 「クラウドサービス事業者」(37.5%)
  • 「データセンター事業者」(28.9%)

インシデントの起点となった取引先(提供:アシュアード

 企業活動に不可欠なITシステムやクラウドサービスに関連する取引先がリスクの起点になりやすく、ITサプライチェーン全体での対応が喫緊の課題となっているという。

リスクマネジメント体制の課題と今後の対策

 サイバー攻撃による被害が増加傾向にある中、サイバー保険に「加入している」と回答した企業は全体の58.6%にとどまった。「10億円以上の巨額被害が発生し得る現状を鑑みれば、経営層は完璧な防御が難しいことを前提に、保険加入や補償額の見直しなど、実態に即した対応を視野に入れることも重要だ」とアシュアードは指摘する。

 インシデント発生後の対策強化における障壁を尋ねたところ、以下の項目が上位に挙がった。

  • 「対策を推進・運用する人材(リソース)の不足」(50.4%)
  • 「対策に必要な専門知識・ノウハウの不足」(41.3%)
  • 「経営層の理解不足」(28.5%)
  • 「予算確保の困難さ」(23.4%)

 過半数が人材不足を課題として挙げており、緊急性の高い状況下でも専門的なリソースの確保が大きな壁となっている。約4人に1人が経営層の理解や予算確保を課題としており、セキュリティ対策を経営課題として位置付け、意識改革を図ることが重要だという。

対策強化を進める上での障壁(提供:アシュアード

 アシュアードの真藤直観氏(Assuredクラウド評価事業部 セキュリティサービス部 部長)は次のように分析している。「経済的損失が10億円を超えるケースが10%に達している事実は、サイバーリスクが企業の財務基盤や存続そのものを揺るがす経営リスクへと深刻化したことを物語っている。セキュリティ対策をIT部門の課題とするのではなく、経営層が最優先事項として関与することが不可欠なフェーズに突入している」

 58.2%が取引先起因のインシデントを経験している点についても、「経営層はサプライチェーンの最も弱い部分を事業継続のリスクとして認識し、状況を正しく把握することが重要だ」と同氏は指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2026
人に頼れない今こそ、本音で語るセキュリティ「モダナイズ」
4AI by @IT - AIを作り、動かし、守り、生かす
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。