碍笔惭骋コンサルティング、「サイバーセキュリティサーベイ2025」を発表

サイバーインシデントの被害额が高额化し、子会社管理や海外法规制への対策が重要になるなか、必要な取组み等をまとめたレポートを発表しました。

サイバーインシデントの被害额が高额化し、子会社管理や海外法规制への対策が重要になるなか、必要な取组み等をまとめたレポートを発表しました。

Article Posted date 16 April 2025

乐鱼(Leyu)体育官网コンサルティング株式会社(本社:東京都千代田区、代表取締役:関 穣、田口 篤、知野 雅彦、以下、乐鱼(Leyu)体育官网コンサルティング)は、国内企業におけるサイバーセキュリティに関する実態調査の結果やトレンド、対策の高度化に向けて必要となる取組み等についてまとめたレポート「サイバーセキュリティサーベイ2025」を本日発表しました。

生成AIの登場により、業務のさらなる効率化や高度化への期待が高まる一方で、生成AIを使ったランサムウェア攻撃や、自然な日本語でのビジネスメール詐欺の被害が増えるなど、サイバー攻撃は一段と巧妙化しています。被害にあった企業の経済的損失の大きさも深刻な問題となっており、サイバーセキュリティへの取組みは企業にとって重要な経営課題になっています。また、OT(Operational Technology)セキュリティ、製品セキュリティ、AIセキュリティに関しては、海外での法整備が進み、日本企業においても海外の規制を考慮した対応が必须となりつつあります。

本レポートでは、国内上场公司、および売上400亿円以上の未上场公司125社のサイバーセキュリティ责任者?担当者を対象に実施した、7回目となるサイバーセキュリティに関する调査结果を基に、「サイバー攻撃の実态」「サイバーセキュリティ管理态势」「サイバーセキュリティ対策」「子会社管理」「委託先管理」「翱罢セキュリティ」に、新たに「製品セキュリティ」「础滨セキュリティ」の2つを加えた8つの重要テーマについてまとめています。

なお、本調査は乐鱼(Leyu)体育官网ジャパンのメンバーファームである、有限責任 あずさ監査法人(本部:東京都新宿区)、株式会社乐鱼(Leyu)体育官网 FAS(本社:東京都千代田区)と共同で実施しました。

<注目すべき调査结果>

1.サイバー攻撃の実态
过去1年间で発生したサイバーインシデントによる被害金额が1,000万円以上となった回答は、44.0%に増加しており、年々被害额が高额化し被害内容も拡大。

2.サイバーセキュリティ管理态势
サイバーセキュリティ人材が「やや不足している」「大いに不足している」との回答は、75.5%となり引き続き高い水準に。

3.サイバーセキュリティ対策
重要な情报を定义、特定し、适切な管理を実施することは难しく、69.6%の公司が适切な管理が実施できていないと回答。

4.子会社管理
3分の1强の公司において、本社が子会社のサイバーセキュリティに関するガバナンス管理を行えていない状况が明らかに。

5.委託先管理
「委託先に対するセキュリティ指针を整备している、または整备する予定である」との回答が50.0%で、委託先におけるセキュリティの担保の対策を実施する公司が増加。

6.翱罢セキュリティ
翱罢セキュリティの成熟度が低い「成熟度レベル1」との回答が36.8%で最も多く、改善の余地が大きい状况が明らかに。

7.製品セキュリティ
製品セキュリティの成熟度が低い「成熟度レベル1」との回答が37.0%で最も多く、态势整备が进んでいない状况が明らかに。

8.础滨セキュリティ
础滨リスクに関する认识の高まりに合わせ、础滨リスクを管理する组织、ルール、プロセスを整备済みの公司は、前回调査の4.3%から今回调査の18.4%と大幅に増加。

テーマ1:サイバー攻撃の実态

过去1年间に発生したサイバーインシデントの合计被害额が1,000万円以上と回答した公司は、前々回(2022年)调査が16.1%、前回(2023年)调査が30.0%、今回调査が44.0%と、年々被害金额が高额化していることがわかります。

【図表1:过去1年间に発生したサイバーインシデントの合计被害额】

「サイバーセキュリティサーベイ2025」を発表_図表1

业务上の被害があったサイバー攻撃で最も多かったのは「ランサムウェア(10.7%)」で、被害がなかったものの攻撃された手法で最も多かったのは「フィッシング(45.5%)」、次いで「マルウェア(43.8%)」でした。そのほか、生成础滨の発达により、より自然な日本语を使った「不正送金等を指示するビジネスメール诈欺」の攻撃手法も増えています。

テーマ2:サイバーセキュリティ管理态势

サイバーセキュリティ人材に関する调査では、人材が「やや不足している」「大いに不足している」と回答した公司は75.5%と、引き続き高い水準になっています。ただし、前回调査と比较すると「适切である」と回答した公司は11.2%から23.7%へ増加しています。

【図表2:サイバーセキュリティ人材の充足?不足感】

「サイバーセキュリティサーベイ2025」を発表_図表2

テーマ3:サイバーセキュリティ対策

公司で扱うデータが多岐にわたるうえ、クラウド环境やオンプレミス环境の共存、滨罢インフラ环境の复雑化により、情报管理の困难さが増すなか、重要な情报を定义、特定し、适切な管理を実施することは难しく、69.8%の公司が适切な管理を実施できていないと回答しています。

【図表3:重要な情报の管理状况】

「サイバーセキュリティサーベイ2025」を発表_図表3

テーマ4:子会社管理の実态

公司の28.2%がサイバーセキュリティに関し「基本的には各社に委ねており必要に応じて报告?相谈を受けている」と回答、9.4%の公司が「子会社の情报セキュリティ状况を把握していない」と回答しました。3分の1强の公司において、本社が子会社のサイバーセキュリティに関するガバナンス管理を行えていない状况がうかがえます。

【図表4:サイバーセキュリティにかかる子会社管理の状况】

「サイバーセキュリティサーベイ2025」を発表_図表4

テーマ5:委託先管理

50.0%の公司が「委託先に対するセキュリティ指针を整备している、または整备する予定である」と回答しており、30.0%の公司が「委託先に対して、定期的にセキュリティ监査を実施している、または実施する予定である」と回答しています。外部委託先管理の不备が原因のセキュリティインシデントが后を絶たない状况において、委託先に対し何らかのセキュリティ対策を実施する公司が増えています。

【図表5:委託先管理で実施している対策】

「サイバーセキュリティサーベイ2025」を発表_図表5

テーマ6:翱罢セキュリティ

翱罢セキュリティの成熟度について、5段阶の评価で成熟度が最も低い「成熟度レベル1」と回答した公司が最も多く全体の36.8%を占めており、减少倾向ではあるものサイバーセキュリティのプロセスが未整备であることがわかります。対して、积极的な対策をとる高成熟度组织といわれる「成熟度レベル4」以上の回答合计は8.7%にとどまっています。

【図表6:制御システムセキュリティの成熟度の前回调査との比较】

「サイバーセキュリティサーベイ2025」を発表_図表6
レベル5 サイバーセキュリティプロセスは、既存のプロセスからのフィードバックにより継続的に改善され、组织のニーズにより适切に対応している。
レベル4 组织のサイバーセキュリティプログラムは、成果を向上させるためにデータの収集と分析を実施している。
レベル3 サイバーセキュリティは、文书化されたプロセスや手顺に基づき実施されている。
レベル2 サイバーセキュリティの実装において、基本的なプロジェクトマネジメントが実施されている。
レベル1 サイバーセキュリティのプロセスは未整理で文书化されておらず、プログラムで整理されてもいない。

テーマ7:製品セキュリティ

製品セキュリティの成熟度を5段阶で评価する指标で调査した结果、成熟度が最も低い「成熟度レベル1」と回答した公司が最も多く、37.0%にのぼることから、製品セキュリティのプロセスは未整备で文书化されておらず、プログラムでも整理されていない公司が3分の1以上あることがわかります。

【図表7:製品セキュリティの成熟度】

「サイバーセキュリティサーベイ2025」を発表_図表7
レベル5 製品セキュリティプロセスは、既存のプロセスからのフィードバックにより継続的に改善され、组织のニーズにより适切に対応している。
レベル4 组织の製品セキュリティプログラムは、成果を向上させるためにデータの収集と分析を実施している。
レベル3 製品セキュリティは、文书化されたプロセスや手顺に基づき実施されている。
レベル2 製品セキュリティの実装において、基本的なプロジェクトマネジメントが実施されている。
レベル1 製品セキュリティのプロセスは未整理で文书化されておらず、プログラムで整理されてもいない。

テーマ8:础滨セキュリティ

础滨リスクに関する认识の高まりに合わせ、础滨リスクを管理するルールやプロセスの整备においても「整备済み」と回答する公司が、前回调査の4.3%から18.4%へ大幅に増加しています。また、业种别の整备状况では、「通信?滨罢?メディア」(26.7%)が1位で、「建设?不动产」(25.0%)「运输?インフラ」(20.0%)が整备済みと回答しています。

【図表8:础滨リスクを管理する组织、ルール、プロセスの整备状况(全体)】

「サイバーセキュリティサーベイ2025」を発表_図表8

お问合せ

「サイバーセキュリティサーベイ2025」概要

名称:サイバーセキュリティサーベイ2025
対象:国内上场公司、および売上高400亿円以上の未上场公司のサイバーセキュリティ责任者?担当者
调査期间:2024年8月9日~10月25日
调査方法:メールによるアンケートの送付、ウェブによるアンケートの回収
有効回答数:125社

本レポートの全文はこちらからダウンロードできます:「サイバーセキュリティサーベイ2025

「サイバーセキュリティサーベイ2025」を発表_表紙

碍笔惭骋コンサルティングについて

碍笔惭骋コンサルティングは、碍笔惭骋インターナショナルのメンバーファームとして、ビジネストランスフォーメーション(事业変革)、テクノロジートランスフォーメーション、リスク&コンプライアンスの3分野から公司を支援するコンサルティングファームです。戦略策定、组织?人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専门知识と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自动车、製薬?ヘルスケア、エネルギー、情报通信?メディア、サービス、パブリックセクターなどのインダストリーに対し、幅広いコンサルティングサービスを提供しています。

あずさ监査法人について

有限責任 あずさ監査法人は、全国主要都市に約7,000名の人員を擁し、監査証明業務をはじめ、財務会計アドバイザリー、内部統制アドバイザリー、ESGアドバイザリー、規制対応アドバイザリー、IT関連アドバイザリー、デジタル?データ関連アドバイザリー、スタートアップ関連アドバイザリーなどの非監査証明業務を提供しています。金融、テレコム?メディア、テクノロジー、パブリック、消費財?小売、ライフサイエンス、自動車等、産業?業種(セクター)ごとに組織された監査事業部による業界特有のニーズに対応した専門性の高いサービスを提供する体制を有するとともに、乐鱼(Leyu)体育官网インターナショナルのメンバーファームとして、142の国と地域に拡がるネットワークを通じ、グローバルな視点からクライアントを支援しています。

乐鱼(Leyu)体育官网 FASについて

乐鱼(Leyu)体育官网 FASは、乐鱼(Leyu)体育官网インターナショナルのメンバーファームであり、乐鱼(Leyu)体育官网ジャパンを形成する中核会社の一社です。企業戦略の策定から、トランザクション(M&A、事業再編、企業?事業再生等)、ポストディールに至るまで、企業価値向上にむけた取り組みを総合的にサポートします。主なサービスとして、M&Aアドバイザリー(FA業務、バリュエーション、デューデリジェンス、ストラクチャリングアドバイス)、事業再生アドバイザリー、経営戦略コンサルティング、不正調査等を提供しています。