KPMGコンサルティング株式会社は4月16日、「サイバーセキュリティサーベイ2025」を発表した。
同レポートは、国内上場企業および売上400億円以上の未上場企業125社のサイバーセキュリティ責任者・担当者を対象に実施したサイバーセキュリティに関する調査結果をもとに、「サイバー攻撃の実態」「サイバーセキュリティ管理態勢」「サイバーセキュリティ対策」「子会社管理」「委託先管理」「OTセキュリティ」「製品セキュリティ」「AIセキュリティ」の8つの重要テーマについてまとめたもの。
同レポートによると、過去1年間に発生したサイバーインシデントの合計被害額が1,000万円以上と回答した企業は44.0%で、前々回(2022年)調査の16.1%、前回(2023年)調査の30.0%から被害金額が高額化していることが判明した。合計被害額が1億円以上と回答した企業は前々回2022年の1.2%、前回2023年の6.7%、今回2024年の8.0%と2年で約6.6倍に増加している。
業務上の被害があったサイバー攻撃の最多は「ランサムウェア」が10.7%、被害がなかったものの攻撃された手法で最多は「フィッシング」が45.5%、次点が「マルウェア」の43.8%であった。
サイバーセキュリティ人材に関する調査で、人材が「やや不足している」「大いに不足している」と回答した企業は75.5%で引き続き高い水準であったが、前回調査と比較すると「適切である」と回答した企業は11.2%から23.7%へ増加している。
サイバーセキュリティ対策に関する調査では、企業で扱うデータが多岐にわたるうえ、クラウド環境やオンプレミス環境の共存、ITインフラ環境の複雑化で情報管理の困難さが増すなか、重要な情報を定義、特定し、適切な管理を実施することは難しく、69.8%の企業が適切な管理を実施できていないと回答していた。約2割にあたる18.8%では重要な情報の定義すら十分にできていない結果となった。くりかえすが本調査は国内上場企業および売上400億円以上の未上場企業を対象にしている。
AIリスクを管理するルールやプロセスの整備について、「整備済み」と回答した企業は18.4%となり、前回調査の4.3%から大幅に増加している。業種別の整備状況では「通信・IT・メディア」が26.7%で最多となり、「建設・不動産」が25.0%、「運輸・インフラ」が20.0%の企業が整備済みと回答している。
