KPMGジャパンは2月17日、国内企業におけるサイバーセキュリティに関する実態の調査レポート「サイバーセキュリティサーベイ2026」の発行に先立ち、主要な結果を速報として発表した。この調査は、日本経済新聞社と共同で行った。
8回目となる今回の調査では、国内上場企業424社のサイバーセキュリティ責任者・担当者から得た回答を基に、「サイバー攻撃の実態」「サイバーセキュリティ管理態勢」「子会社管理」「委託先・取引先管理」「サイバーセキュリティ対策」「AIセキュリティ」の6つの重要テーマについてまとめている。その概要は以下のとおり。
1.サイバー攻撃の実態
サイバー攻撃の巧妙化に伴い、被害額は高額化し、過去1年間に発生したサイバーインシデントの年間合計被害が10億円以上となったとの回答が今回初めて確認された。また、1億円以上の被害が発生した回答の割合も年々増加しており、今回初めて1割を超えた。
2.サイバーセキュリティ管理態勢
IT予算に対するサイバーセキュリティ予算の比率は「1〜5%未満」が最多で、セキュリティ予算が不足しているとの回答は6割を超えた。しかし、予算が不足していると回答した企業において、中期計画や単年度計画が策定されていない傾向が見られた。
3.子会社管理
国内外の子会社のセキュリティ管理を比較すると、国内に比べて海外子会社は管理されていない傾向が見られる。また、グループ共通の施策導入についても、海外子会社への展開は遅れている傾向が見られる。
4.委託先・取引先管理
実際に被害のあったサイバーインシデントの発生経路は国内の委託先・取引先が最多で、海外の委託先・取引先については「攻撃があったかわからない」が4割弱となった。管理が不十分な一方で、業種別のセキュリティ管理については、金融が最も進んでおり、特に委託先選定時のセキュリティ対策アンケート取得が約9割に達するなど業種間で施策実施に大きな差が見られた。
5.サイバーセキュリティ対策
回答企業の8割弱が対策ツールの不足を認識している。導入したサイバーセキュリティ対策についても運用に課題がない対策はなく、特にネットワークセキュリティ対策、資産管理、アイデンティティ/アクセス管理、脆弱性管理などの運用に課題があると回答した企業が多い結果となった。そのほか、インターネットに公開されているゾーンのシステムでも5割弱において、パッチが適時に適用されていないなど、パッチ適用の遅れが顕著となった。
6.AIセキュリティ
「業務効率化・自動化」や「データ分析・予測」といった分野で、AIの導入が進んでいる傾向が見られた。また、外部のAIサービスを利用する際のセキュリティ評価の実施率は、業種によって大きく異なる結果となった。そのほか、シャドーAI対策として、利用規定等のポリシーを策定していると回答した企業が6割弱に達する一方で、社内の関連ポリシーに基づく監査やレビュー実施率は、2割強にとどまった。外部AIサービス利用におけるセキュリティ評価の実施率が業種間でばらつくなど、AI利用の統制が十分に機能していない状況が明らかになった。
関連リンク