KPMGコンサルティング、「サイバーセキュリティサーベイ2025」を発表

— サイバーインシデントの被害額は高額化、子会社管理や海外法規制への対策もますます重要に —

KPMGコンサルティング株式会社（本社：東京都千代田区、代表取締役：関 穣、田口 篤、知野 雅彦、以下、KPMGコンサルティング）は、国内企業におけるサイバーセキュリティに関する実態調査の結果やトレンド、対策の高度化に向けて必要となる取組み等についてまとめたレポート「サイバーセキュリティサーベイ2025」を本日発表しました。

生成AIの登場により、業務のさらなる効率化や高度化への期待が高まる一方で、生成AIを使ったランサムウェア攻撃や、自然な日本語でのビジネスメール詐欺の被害が増えるなど、サイバー攻撃は一段と巧妙化しています。被害にあった企業の経済的損失の大きさも深刻な問題となっており、サイバーセキュリティへの取組みは企業にとって重要な経営課題になっています。また、OT（Operational Technology）セキュリティ、製品セキュリティ、AIセキュリティに関しては、海外での法整備が進み、日本企業においても海外の規制を考慮した対応が必須となりつつあります。

本レポートでは、国内上場企業、および売上400億円以上の未上場企業125社のサイバーセキュリティ責任者・担当者を対象に実施した、7回目となるサイバーセキュリティに関する調査結果を基に、「サイバー攻撃の実態」「サイバーセキュリティ管理態勢」「サイバーセキュリティ対策」「子会社管理」「委託先管理」「OTセキュリティ」に、新たに「製品セキュリティ」「AIセキュリティ」の2つを加えた8つの重要テーマについてまとめています。

なお、本調査はKPMGジャパンのメンバーファームである、有限責任 あずさ監査法人（本部：東京都新宿区）、株式会社KPMG FAS（本社：東京都千代田区）と共同で実施しました。
＜注目すべき調査結果＞
1．サイバー攻撃の実態
過去1年間で発生したサイバーインシデントによる被害金額が1,000万円以上となった回答は、44.0％に増加しており、年々被害額が高額化し被害内容も拡大。
2．サイバーセキュリティ管理態勢
サイバーセキュリティ人材が「やや不足している」「大いに不足している」との回答は、75.5%となり引き続き高い水準に。
3．サイバーセキュリティ対策
重要な情報を定義、特定し、適切な管理を実施することは難しく、69.6%の企業が適切な管理が実施できていないと回答。
4．子会社管理
3分の1強の企業において、本社が子会社のサイバーセキュリティに関するガバナンス管理を行えていない状況が明らかに。
5．委託先管理
「委託先に対するセキュリティ指針を整備している、または整備する予定である」との回答が50.0%で、委託先におけるセキュリティの担保の対策を実施する企業が増加。
6．OTセキュリティ
OTセキュリティの成熟度が低い「成熟度レベル1」との回答が36.8%で最も多く、改善の余地が大きい状況が明らかに。
7．製品セキュリティ
製品セキュリティの成熟度が低い「成熟度レベル1」との回答が37.0%で最も多く、態勢整備が進んでいない状況が明らかに。
8．AIセキュリティ
AIリスクに関する認識の高まりに合わせ、AIリスクを管理する組織、ルール、プロセスを整備済みの企業は、前回調査の4.3%から今回調査の18.4%と大幅に増加。


テーマ1：サイバー攻撃の実態

過去1年間に発生したサイバーインシデントの合計被害額が1,000万円以上と回答した企業は、前々回（2022年）調査が16.1％、前回（2023年）調査が30.0%、今回調査が44.0%と、年々被害金額が高額化していることが分かります。
[画像1: https://prcdn.freetls.fastly.net/release_image/88324/282/88324-282-d6d2b0023eb8885947a2ae702cabfe95-820x472.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]【図1】　過去１年間に発生したサイバーインシデントの合計被害額
業務上の被害があったサイバー攻撃で最も多かったのは「ランサムウェア（10.7％）」で、被害がなかったものの攻撃された手法で最も多かったのは「フィッシング（45.5％）」、次いで「マルウェア（43.8％）」でした。そのほか、生成AIの発達により、より自然な日本語を使った「不正送金等を指示するビジネスメール詐欺」の攻撃手法も増えています。


テーマ2：サイバーセキュリティ管理態勢

サイバーセキュリティ人材に関する調査では、人材が「やや不足している」「大いに不足している」と回答した企業は75.5％と、引き続き高い水準になっています。ただし、前回調査と比較すると「適切である」と回答した企業は11.2％から23.7％へ増加しています。
[画像2: https://prcdn.freetls.fastly.net/release_image/88324/282/88324-282-1a1437db9592f42443761631b85fa7f0-820x401.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]【図2】　サイバーセキュリティ人材の充足・不足感


テーマ3：サイバーセキュリティ対策

企業で扱うデータが多岐にわたるうえ、クラウド環境やオンプレミス環境の共存、ITインフラ環境の複雑化により、情報管理の困難さが増すなか、重要な情報を定義、特定し、適切な管理を実施することは難しく、69.8％の企業が適切な管理を実施できていないと回答しています。
[画像3: https://prcdn.freetls.fastly.net/release_image/88324/282/88324-282-73ab9ec97c50af23ae60782b6acf8606-820x410.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]【図3】　重要な情報の管理状況


テーマ4：子会社管理の実態

企業の28.2％がサイバーセキュリティに関し「基本的には各社に委ねており必要に応じて報告・相談を受けている」と回答、9.4％の企業が「子会社の情報セキュリティ状況を把握していない」と回答しました。3分の1強の企業において、本社が子会社のサイバーセキュリティに関するガバナンス管理を行えていない状況がうかがえます。
[画像4: https://prcdn.freetls.fastly.net/release_image/88324/282/88324-282-e244aef9e5ee1513d3926cb2d289c3b1-820x452.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]【図4】　サイバーセキュリティにかかる子会社管理の状況


テーマ5：委託先管理

50.0％の企業が「委託先に対するセキュリティ指針を整備している、または整備する予定である」と回答しており、30.0％の企業が「委託先に対して、定期的にセキュリティ監査を実施している、または実施する予定である」と回答しています。外部委託先管理の不備が原因のセキュリティインシデントが後を絶たない状況において、委託先に対し何らかのセキュリティ対策を実施する企業が増えています。

[画像5: https://prcdn.freetls.fastly.net/release_image/88324/282/88324-282-4f3925faf8dac8a8f25df2c7f142a8d2-820x403.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]【図5】委託先管理で実施している対策


テーマ6：OTセキュリティ

OTセキュリティの成熟度について、5段階の評価で成熟度が最も低い「成熟度レベル1」と回答した企業が最も多く全体の36.8％を占めており、減少傾向ではあるものサイバーセキュリティのプロセスが未整備であることがわかります。対して、積極的な対策をとる高成熟度組織といわれる「成熟度レベル4」以上の回答合計は8.7％にとどまっています。
[画像6: https://prcdn.freetls.fastly.net/release_image/88324/282/88324-282-b0083fb308e6ca3c8666e94794a1ead1-820x382.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
[表1: https://prtimes.jp/data/corp/88324/table/282_1_76930c2b19d3e1811444ad9b67c79b21.jpg ]
【図6】　制御システムセキュリティの成熟度の前回調査との比較


テーマ7：製品セキュリティ

製品セキュリティの成熟度を5段階で評価する指標で調査した結果、成熟度が最も低い「成熟度レベル1」と回答した企業が最も多く、37.0％にのぼることから、製品セキュリティのプロセスは未整備で文書化されておらず、プログラムでも整理されていない企業が３分の１以上あることがわかります。
[画像7: https://prcdn.freetls.fastly.net/release_image/88324/282/88324-282-cbc90ad781e1c126c15c9c063d162ae9-820x327.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
[表2: https://prtimes.jp/data/corp/88324/table/282_2_939eb17570086d641885922892264e2c.jpg ]
【図7】　製品セキュリティの成熟度


テーマ8：AIセキュリティ

AIリスクに関する認識の高まりに合わせ、AIリスクを管理するルールやプロセスの整備においても「整備済み」と回答する企業が、前回調査の4.3％から18.4％へ大幅に増加しています。また、業種別の整備状況では、「通信・IT・メディア」（26.7%）が1位で、「建設・不動産」（25.0%）「運輸・インフラ」（20.0%）が整備済みと回答しています。
[画像8: https://prcdn.freetls.fastly.net/release_image/88324/282/88324-282-9bc9d6d66a4a57cae58c4a51dea072c3-820x220.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]【図8】　AIリスクを管理する組織、ルール、プロセスの整備状況（全体）


「サイバーセキュリティサーベイ2025」概要

名称：サイバーセキュリティサーベイ2025
対象：国内上場企業、および売上高400億円以上の未上場企業のサイバーセキュリティ責任者・担当者
調査期間：2024年8月9日〜10月25日
調査方法：メールによるアンケートの送付、ウェブによるアンケートの回収
有効回答数：125社

本レポートの全文はこちらからダウンロードできます：「サイバーセキュリティサーベイ2025(https://assets.kpmg.com/content/dam/kpmg/jp/pdf/2025/jp-cyber-security-survey.pdf)」


KPMGコンサルティングについて
KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション（事業変革）、テクノロジートランスフォーメーション、リスク＆コンプライアンスの3分野から企業を支援するコンサルティングファームです。戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクターなどのインダストリーに対し、幅広いコンサルティングサービスを提供しています。

あずさ監査法人について
有限責任 あずさ監査法人は、全国主要都市に約7,000名の人員を擁し、監査証明業務をはじめ、財務会計アドバイザリー、内部統制アドバイザリー、ESGアドバイザリー、規制対応アドバイザリー、IT関連アドバイザリー、デジタル・データ関連アドバイザリー、スタートアップ関連アドバイザリーなどの非監査証明業務を提供しています。金融、テレコム・メディア、テクノロジー、パブリック、消費財・小売、ライフサイエンス、自動車等、産業・業種（セクター）ごとに組織された監査事業部による業界特有のニーズに対応した専門性の高いサービスを提供する体制を有するとともに、KPMGインターナショナルのメンバーファームとして、14２の国と地域に拡がるネットワークを通じ、グローバルな視点からクライアントを支援しています。

KPMG FASについて
KPMG FASは、KPMGインターナショナルのメンバーファームであり、KPMGジャパンを形成する中核会社の一社です。企業戦略の策定から、トランザクション（M&A、事業再編、企業・事業再生等）、ポストディールに至るまで、企業価値向上にむけた取り組みを総合的にサポートします。主なサービスとして、M&Aアドバイザリー（FA業務、バリュエーション、デューデリジェンス、ストラクチャリングアドバイス）、事業再生アドバイザリー、経営戦略コンサルティング、不正調査等を提供しています。