[調査・レポート]

2026年2月20日(金)神 幸葉（IT Leaders編集部）

リスト

　KPMGジャパンは、日本経済新聞社と共同で国内企業におけるサイバーセキュリティに関する実態を調査し、年次セキュリティレポート「サイバーセキュリティサーベイ2026」として主要な調査結果を発表した。

　8回目となる今回の調査では、国内上場企業424社のサイバーセキュリティ責任者・担当者から得た回答を基に、「サイバー攻撃の実態」「サイバーセキュリティ管理態勢」「子会社管理」「委託先・取引先管理」「サイバーセキュリティ対策」「AIセキュリティ」の6つのテーマについてまとめている。

「10億円以上」が初報告、サイバー攻撃被害の高額化が進む

　調査では、過去1年間に発生したサイバーインシデントの合計被害額が「10億円以上」と回答した企業が初めて確認された（2.3％）。また、1億円以上の被害額が発生した企業は、前々回（2023年）の6.7％、前回（2025年）の8.0％から、今回調査では10.1％へと増加し、サイバーインシデントの高額化、巨額化が顕著になっている（図1）。

図1：過去1年間に発生したサイバーインシデントの被害額（出典：KPMGジャパン）
拡大画像表示

　インシデントの要因として、回答企業が最も被害を被ったのは「ランサムウェア」（6.9％）だ。一方、攻撃はあったが業務上の被害はなかったという回答が多かった手法のトップは「フィッシング」（49.2％）で、これに「メールを用いた不正な送金指示（ビジネスメール詐欺）」（38.2％）が続いた（図2）。

図2：サイバーインシデントの要因（出典：KPMGジャパン）
拡大画像表示

　KPMGコンサルティング Technology Risk Services 執行役員 パートナーの澤田智輝氏（写真1）は次のように分析している。「以前は日本語が不自然な詐欺メールが多かったが、生成AIの高度化によって、自然な日本語のメールが増えている。そういった要因がこれらの攻撃の増加につながっていると考えられる」

図1：KPMGコンサルティング Technology Risk Services 執行役員 パートナーの澤田智輝氏

　澤田氏は注目すべきトピックとして、「ディープフェイクを用いた不正な送金指示」を挙げ、「ほかの攻撃手法に比べると被害はまだ少ないが、日本企業においても被害に遭った企業が現れ始めている」と警鐘を鳴らす。さらに、「手間のかかる攻撃の裏返しなのか、売上高1兆円以上の大手企業に攻撃が集中している傾向が見られた。具体的な企業をターゲットとして動いていると見られる」と分析した。

　インシデントの発生経路については、10.8％が国内の委託先・取引先に「攻撃があり業務上の被害があった」、16.4％が「攻撃はあったが業務上の被害はなかった」と回答。自社・子会社の国内外拠点など他の経路と比べて高い傾向が見られた。「昨今はDX推進、AI活用において、委託先とデータやシステムを連携する機会が増えている。そこを踏み台にして攻撃をされているケースを無視できない結果と言える」（澤田氏）

●Next：子会社、委託先・取引先、AI──リスク急増の中で不足するセキュリティ予算と人員