KPMGコンサルティング、「サイバーセキュリティサーベイ2025」を発表
finbridge_adminKPMGコンサルティングは4月16日、「サイバーセキュリティサーベイ2025」を発表した。本レポートは国内上場企業および売上高400億円以上の未上場企業125社のサイバーセキュリティ責任者・担当者を対象に実施した調査結果をまとめたもので、サイバー攻撃の実態や対応体制・セキュリティ成熟度などについて多角的に分析している。生成AIの台頭によって従来の攻撃手法がさらに巧妙化し、企業が受ける損害も深刻さを増していることが浮き彫りとなった。
調査によれば、過去1年間に発生したサイバーインシデントの被害額が1,000万円以上と回答した企業は44.0%だった。これは2022年の16.1%、2023年の30.0%から大きく増加している。最も被害が多かったのは「ランサムウェア」(10.7%)、攻撃自体は受けたが被害がなかった手法としては「フィッシング」(45.5%)、次いで「マルウェア」(43.8%)が多い。生成AIの普及により日本語がさらに自然になった「ビジネスメール詐欺」も増加傾向だ。
一方、サイバーセキュリティ人材が「やや不足している」「大いに不足している」とする企業は75.5%と依然高水準だった。ただし「適切である」と答えた企業は11.2%から23.7%へ増えており、わずかに改善の兆しも見られる。
企業が扱う情報の多様化やオンプレミスとクラウド環境の共存、ITインフラの複雑化により、重要情報の特定や適切な管理は課題となっている。実際、69.8%の企業が「情報の適切な管理ができていない」と回答し、セキュリティの脆弱性が明らかとなった。
また、子会社管理についても問題が浮上。約3分の1強の企業で本社が子会社のサイバーセキュリティガバナンスを十分に行えていない。委託先管理では、50.0%の企業がセキュリティ指針を整備・予定と回答し、30.0%が定期的なセキュリティ監査を実施・予定としたが、依然として不十分な実態がうかがえる。
OT(制御システム)や製品セキュリティの成熟度も低い水準が目立つ。OTセキュリティで成熟度レベル1(プロセス未整備)と回答した企業は36.8%、製品セキュリティも37.0%にのぼった。いずれも組織的な態勢整備に遅れがみられる。
AIセキュリティについては、AIリスクの認識が高まる中、リスク管理の組織やルール・プロセスを「整備済み」と回答した企業は18.4%で、前回調査の4.3%から大幅に伸長した。特に「通信・IT・メディア」や「建設・不動産」業界で積極的な取り組みが進む。
KPMGコンサルティングは本調査結果を踏まえ、国内外の法規制や全社的なガバナンス強化、AI・OTなど新分野への対応強化が今後の企業に不可欠だと指摘している。
添付画像一覧
