[調査・レポート]

2026年1月5日(月)IT Leaders編集部、日川 佳三

リスト

　脆弱性管理サービス「yamory」やセキュリティリスク/信用評価サービス「Assured」を提供しているアシュアードは2025年12月、大手企業（従業員数1000人以上）におけるセキュリティインシデントの経験有無と経済的損失に関する調査を実施した。情報システム/セキュリティ部門に所属する500人を対象に、自社への直接的な攻撃や取引先に起因したインシデントなどについて調べている。

　調査では、セキュリティインシデントの経験がある企業のうち10%は、10億円以上という巨額の経済的損失が発生していたことが判明した。被害額は1000万～5000万円未満が最も多く、12.5%だった（図1）。「セキュリティインシデントによる経済的な損失は、復旧・調査費用、賠償、機会損失などの対応コストが積算された結果、多くの企業で数千万円規模に達するという実態が浮き彫りとなっている」（アシュアード）。

図1：インシデント対応にかかった費用（出典：アシュアード）
拡大画像表示

　インシデントによって業務が停止または重大な支障が出た期間は「1週間未満」が最多で、「1カ月以上」と回答した企業は14.2%に上った（図2）。アシュアードは、一度セキュリティインシデントが発生すると復旧までに長期化を要し、事業へ甚大な影響を与えることを指摘。「被害が拡大する前の段階でセキュリティインシデントを食い止め、対応期間を最小化するための経営努力が強く求められる」としている。

図2：インシデントによって業務が停止または重大な支障が出た期間（出典：アシュアード）
拡大画像表示

　自社への直接的な攻撃やインシデントを「経験したことがある」と回答した企業は全体の3分の2、66.8%を占め、大半の企業が直接的な脅威に晒されていることがわかる。最も多発しているインシデントの種類はマルウェア・ランサムウェア感染（36.8%）だった（図3）。

図3：自社への直接的な攻撃を経験した割合とインシデントの内容（出典：アシュアード）
拡大画像表示

　取引先に起因したインシデントは58.2%が経験していた。取引先がマルウェア（ランサムウェア含む）被害を受けたことで、「自社業務の遅延・停止が発生」（28.8%）、「自社の機密情報や個人情報の漏洩が発生」（25.0%）、さらには「取引先のシステムを経由したマルウェア感染」（17.0%）といった被害が生じている（図4）。

図4：取引先に起因したインシデントを経験した割合とインシデントの内容（出典：アシュアード）
拡大画像表示

●Next：インシデントの起点は？