catch-img

インシデント経験企業の経済的損失 実態調査

真藤 直観

専門家レポート

セキュリティの信用評価プラットフォーム「Assured」は、従業員数1,000名以上の大手企業に所属する情報システム・セキュリティ部門の方500名を対象に自社への直接的なサイバー攻撃やセキュリティインシデント、取引先に起因したセキュリティインシデントの経験有無ならびに経済的損失の実態を調査しました。

その結果、セキュリティインシデントを経験した企業のうち10%で、10億円以上の巨額な損失が発生。また、14%で1ヶ月以上の業務停止または重大な支障が発生していた実態が明らかになりました。セキュリティインシデントは、もはや単なるIT部門の課題ではなく、企業の存続をも脅かす「巨額の代償」を伴う経営リスクへと進化しています。企業は、この深刻な実態を正確に把握し、事業継続の観点から対策の抜本的な強化が急務となっています。

※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

調査結果サマリー

  • セキュリティインシデント経験有りと回答したうち、10%が10億円以上の経済的損失
    • 14.2%が、「1ヶ月以上」の業務停止または重大な支障
  • 66.8%が自社への直接的なセキュリティインシデントを、58.2%が取引先に起因したセキュリティインシデントを経験
    • 取引先起因のセキュリティインシデントは半数以上がITサプライチェーン起点に
  • サイバー攻撃による被害の件数・金額ともに増加傾向にある中、サイバー保険に「加入している」は全体の58.6%に留まる

調査結果詳細

1. インシデント経験企業の経済的損失と業務停止、影響は甚大—— 10%が10億円超の損失。「1ヶ月以上」もの業務停止または重大な支障が14%と影響長期化。

セキュリティインシデント経験有りと回答のあったうち、10%が10億円以上の甚大な経済的損失を被っていることが判明しました。また、1,000万〜5,000万円未満が12.5%と被害額を把握しているカテゴリの中で最も高い割合を占める結果となっており、セキュリティインシデントによる経済的な損失は、復旧・調査費用、賠償、機会損失などの対応コストが積算された結果、多くの企業で数千万円規模に達するという実態が浮き彫りとなっています。

 

また、セキュリティインシデントにより、業務が停止または重大な支障が出た期間は「1週間未満」が最多である一方、「1ヶ月以上」の長期化も14.2%に達しています。一度セキュリティインシデントが発生すると、復旧までに長期化を要し、事業へ甚大な影響を与えるため、被害が拡大する前の段階でセキュリティインシデントを食い止め、対応期間を最小化するための経営努力が強く求められています。

2.セキュリティインシデント経験とサプライチェーンリスクの実態—— リスクの起点はITサプライチェーンが最多

自社への直接的なサイバー攻撃やセキュリティインシデントを「経験したことがある」と回答したのは全体の66.8%に達しており、大半の企業が直接的な脅威に晒されている実態が明確に示されています。最も多発しているマルウェア・ランサムウェア感染(36.8%)は、企業の事業継続にも深刻な影響を及ぼす事例も起きています。

また、取引先に起因したセキュリティインシデントは58.2%が経験していました。この結果から、取引先を含めたサプライチェーン全体のリスクが深刻化しており、取引先企業におけるセキュリティインシデントが、自社事業に影響を与える事例が発生していることが分かります。具体的には、取引先がマルウェア(ランサムウェア含む)による被害を受けたことにより、「自社業務の遅延・停止が発生」(28.8%)、「自社の機密情報や個人情報の漏洩が発生」(25.0%)、さらには「取引先のシステムを経由したマルウェア感染」(17.0%)といった被害が確認されています。

さらに、インシデントの起点となった取引先としては、「システム開発・運用・保守委託先」(50.2%)が最も多く、次いで「クラウドサービス事業者」(37.5%)、「データセンター事業者」(28.9%)が続きました。これは、企業活動において、なくてはならないITシステムやクラウドサービスに関連する取引先が起因となりやすく、ITサプライチェーン全体でのリスク対応が喫緊の課題となっていることを示しています。

3. リスクマネジメント体制と今後の対策——サイバー保険の加入状況と、インシデント後対策強化のボトルネック

サイバー攻撃による被害の件数・金額ともに増加傾向にある中、サイバー保険への加入状況について尋ねたところ、「加入している」は全体の58.6%に留まりました。10億円以上の巨額被害が発生し得る現状を鑑みれば、経営層は自社のサイバーリスク対策を経営課題として捉えるとともに、完壁に防御することが難しいことを前提に、サイバー保険の加入や補償額の見直しなど、実態に即した対応を視野に入れることも重要です。

インシデント発生後の対策強化における最大の障壁として最も回答率が高かったのは、「対策を推進・運用する人材(リソース)の不足」で過半数(50.4%)に達しています。次いで、「対策に必要な専門知識・ノウハウの不足」(41.3%)が続き、インシデント後の緊急性の高い状況下であっても、専門的な知識やそれを実行するリソースの確保が最も大きな課題となっていることが明確に示されています。また、「経営層の理解不足」(28.5%)や「予算確保の困難さ」(23.4%)も約4人に1人が回答しており、セキュリティ対策を経営課題として位置づけ、必要なリソースを確保するための経営層の意識改革が重要となっています。

<調査概要>

サイバー攻撃などのセキュリティインシデントの経済的損失を調査

  • 調査主体: セキュリティの信用評価プラットフォーム「Assured」
  • 調査対象: 全国、従業員数1,000名以上の企業に勤める情報システム・セキュリティ担当者
  • 有効回答数: 500名
  • 調査時期: 2025年12月
  • 調査手法: インターネットリサーチ(調査協力:株式会社クロス・マーケティング

※構成比は小数点第二位を四捨五入しているため、合計が100%にならない場合があります

  

専門家コメント

セキュリティインシデントによる経済的損失が10億円を超えるケースが10%に達している事実は、サイバーリスクがもはやITの範疇を超え、企業の財務基盤や存続そのものを揺るがす経営リスクへ深刻化したことを物語っています。したがって、セキュリティ対策を単なるIT部門の課題として捉えるのではなく、経営層が自らの最優先事項として深く関与することが不可欠なフェーズに突入しています。

また、注目すべきは、58.2%が取引先起因のインシデントを経験している点です。これは自社が万全の対策を講じていても、取引先の脆弱性が、企業の存続を脅かすほどの深刻なリスクになり得ることを示しています。

経営層は、このサプライチェーンの「もっとも弱い部分」が企業の事業継続における新たなリスクになることを認識し、それぞれの状況を正しく把握することが重要です。

セキュリティの信用評価プラットフォーム「Assured」は、今後も社会全体のセキュリティ強化に貢献できるよう、引き続きサービス向上に努めてまいります。

真藤 直観
真藤 直観
監査法人にてSOC1, SOC2レポート業務を経験後、インターネット企業にて内部統制構築業務を推進。その後、再び監査法人にて金融機関のシステムリスクにかかわる監査・アドバイザリー業務に従事したのち、セキュリティ評価プラットフォーム「Assured」を運営する株式会社アシュアードに入社。セキュリティ領域のセキュリティエキスパートとして評価業務、顧客支援、事業開発等に携わる。 主な資格:CISA、システム監査技術者、CIA

前の記事

prev-article-image

2025年のクラウドサービス(SaaS)セキュリティレポート( 「Assuredクラウド評価」独自データ調査 )

RELATED ARTICLE

関連記事

一覧をみる
セキュリティ課題を解決する 最新セミナー情報はこちら
セキュリティ課題を解決する 最新セミナー情報はこちら
クラウドサービスのセキュリティ評価にお困りではありませんか?Assuredサービス資料を確認する
セキュリティ課題を解決する 最新セミナー情報はこちら

PAGE TOP

ASSURED_logo
採用情報はこちら

Visional グループ 運営サービス

© Assured, Inc.

© Assured, Inc.