KPMGジャパン、「サイバーセキュリティサーベイ2026」の主要な調査結果を発表

KPMGジャパン（東京都千代田区、共同チェアマン：山田 裕行、知野 雅彦）は、日本経済新聞社（本社：東京都千代田区）と共同で、国内企業におけるサイバーセキュリティに関する実態の調査を実施し、その調査レポート「サイバーセキュリティサーベイ2026」の発行に先立ち、主要な結果を速報として発表しました。

生成AIの普及により、サイバー攻撃は一段と巧妙化しており、金銭的被害の高額化や委託先・子会社・海外拠点など自社以外を経由としたサイバーインシデントの増加など、サイバーセキュリティへの取組みは企業にとって重要な経営課題の1つとなっています。そのようななか、企業はサイバーセキュリティの管理態勢を高めるべくさまざまな取組みを進めるものの、予算や人材の確保、グループ会社や委託先・取引先の管理、対策ツールの運用やAIの活用といった、複雑な課題に対応していく必要があります。

8回目となる本調査では、国内上場企業424社のサイバーセキュリティ責任者・担当者から得た回答を基に、「サイバー攻撃の実態」、「サイバーセキュリティ管理態勢」、「子会社管理」、「委託先・取引先管理」、「サイバーセキュリティ対策」、「AIセキュリティ」の6つの重要テーマについてまとめています。なお、本調査は日本経済新聞社およびKPMGインターナショナルの日本におけるメンバーファームである有限責任 あずさ監査法人（本部：東京都新宿区）、KPMGコンサルティング株式会社（本社：東京都千代田区）、株式会社KPMG Forensic＆Risk Advisory（本社：東京都千代田区）（KPMGジャパン）と共同で実施しました。

＜注目すべき調査結果＞

1．サイバー攻撃の実態

サイバー攻撃の巧妙化に伴い、被害額は高額化し、過去1年間に発生したサイバーインシデントの年間合計被害が10億円以上となったとの回答が今回初めて確認された。また、1億円以上の被害が発生した回答の割合も年々増加しており、今回初めて1割を超えた。

2．サイバーセキュリティ管理態勢

IT予算に対するサイバーセキュリティ予算の比率は「1〜5％未満」が最多で、セキュリティ予算が不足しているとの回答は6割を超えた。しかし、予算が不足していると回答した企業において、中期計画や単年度計画が策定されていない傾向が見られた。

3．子会社管理

国内外の子会社のセキュリティ管理を比較すると、国内に比べて海外子会社は管理されていない傾向が見られる。また、グループ共通の施策導入についても、海外子会社への展開は遅れている傾向が見られる。

4．委託先・取引先管理

実際に被害のあったサイバーインシデントの発生経路は国内の委託先・取引先が最多で、海外の委託先・取引先については「攻撃があったかわからない」が4割弱となった。管理が不十分な一方で、業種別のセキュリティ管理については、金融が最も進んでおり、特に委託先選定時のセキュリティ対策アンケート取得が約9割に達するなど業種間で施策実施に大きな差が見られた。

5．サイバーセキュリティ対策

回答企業の8割弱が対策ツールの不足を認識している。導入したサイバーセキュリティ対策についても運用に課題がない対策はなく、特にネットワークセキュリティ対策、資産管理、アイデンティティ／アクセス管理、脆弱性管理などの運用に課題があると回答した企業が多い結果となった。そのほか、インターネットに公開されているゾーンのシステムでも5割弱において、パッチが適時に適用されていないなど、パッチ適用の遅れが顕著となった。

6．AIセキュリティ

「業務効率化・自動化」や「データ分析・予測」といった分野で、AIの導入が進んでいる傾向が見られた。また、外部のAIサービスを利用する際のセキュリティ評価の実施率は、業種によって大きく異なる結果となった。そのほか、シャドーAI対策として、利用規定等のポリシーを策定していると回答した企業が6割弱に達する一方で、社内の関連ポリシーに基づく監査やレビュー実施率は、2割強にとどまった。外部AIサービス利用におけるセキュリティ評価の実施率が業種間でばらつくなど、AI利用の統制が十分に機能していない状況が明らかになった。

テーマ1：サイバー攻撃の実態

過去1年間に発生したサイバーインシデントの合計被害額が「10億円以上」と回答した企業が初めて確認されました。

また、1億円以上の被害額が発生した企業は、前々回（2023年）調査の6.7％、前回（2025年）調査の8.0％から、今回調査では10.1％へと増加し、サイバーインシデントの高額化が年々顕著になっていることがわかります。さらに、サイバーインシデントによって発生した被害額が1億円以上となった企業の割合は、適切な人員を確保している企業と比較すると、人員が不足している企業で高くなる傾向がありました。

業務上の被害が発生したサイバー攻撃で最も多かった手法は、「ランサムウェア（6.9％）」、次いで「DDoS（サービス妨害）攻撃（4.3％）」となりました。被害がなかったものの攻撃された手法で最も多かったのは、「フィッシング（49.2％）」で、次いで生成AIの発達に伴い「メールを用いた不正な送金指示（ビジネスメール詐欺）（38.2％）」が増加しており、「ディープフェイクを用いた不正な送金指示（6.2％）」の攻撃も発生しています。

テーマ2：サイバーセキュリティ管理態勢

セキュリティ予算について、回答企業の63.2％が「大いに不足している（10.3％）」、「やや不足している（52.9％）」と回答しました。また、従業員が少ない企業ほど、サイバーセキュリティ予算について「大いに不足している」、「やや不足している」との回答が増加する傾向が見られました。

IT予算に対するサイバーセキュリティ予算の比率は、「1％～5％未満」との回答が最も多く、次いで「わからない」を除けば、「5％～10％未満」との回答が多い結果となりました。

サイバーセキュリティ推進組織の人員規模について、前回の調査と比較すると、「大いに不足している」、「やや不足している」と回答した企業がともに増加しました。また、「サイバーセキュリティ推進組織を設置していない（39.4％）」との回答が最も多い結果となりました。

テーマ3：子会社管理

グループ会社でのセキュリティ人材の不足が指摘されているなか、グループを含む全社共通のCSIRT・SOC※の整備や情報システム資産管理について、「実施済み」、「実施予定」と回答した企業が6割を超えていることがわかりました。

また、子会社のセキュリティ管理方法において、国内外の子会社の管理を比較すると、国内子会社に比べて海外子会社では管理されていない傾向が見られます。グループ共通の施策導入についても、海外子会社への展開は遅れている傾向が見られます。

テーマ4：委託先・取引先管理

業務上の被害を生じさせたサイバーインシデントが発生した経路としては、「国内の委託先・取引先（10.8％）」が最多で、海外の委託先・取引先については「攻撃があったかわからない（36.3％）」が4割弱と最も多く回答していました。

「委託先選定時のセキュリティ対策アンケート取得」について、最も多く「実施している」と回答した業種は金融で、業種間で施策実施に大きな差が見られました。

委託先・取引先のセキュリティ管理施策では、「委託先に対するセキュリティ指針の整備」や「委託先選定時のセキュリティ対策アンケート取得」が、比較的進んでいることがわかりました。

テーマ5：サイバーセキュリティ対策

導入済みのセキュリティ対策ツールについては、「不足しているため、追加検討する（19.8％）」、「やや不足しているため、追加検討する（56.2％）」と回答した企業が8割弱にのぼり、多くの企業でツールが十分ではないと認識していることがわかりました。特に、セキュリティ予算が「大いに不足している」と回答した企業では、約98％がツール不足を実感しています。

セキュリティ対策の導入が進む一方で、「運用の一部に課題がある」、「購入したが、想定通りに運用が機能していない」といった課題もあり、運用面でのギャップが見受けられます。特に、「ネットワークセキュリティ対策」、「資産管理」、「アイデンティティ／アクセス管理」、「脆弱性管理」は、運用に課題があると回答する企業が多い結果となりました。

速やかに（公開から1週間以内に）パッチを適用しているシステムは、「インターネットに公開されているゾーンのシステム」、「重要な業務システム」、「上記以外のシステム」の順で多くなり、危険度と重要性に応じてパッチを適用している傾向が読み取れます。ただし、 「インターネットに公開されているゾーンのシステム」であっても、5割弱において、適時に適用されていないことがわかりました。

テーマ6：AIセキュリティ

「業務効率化・自動化」や「データ分析・予測」といった分野にて、AIの導入が進んでいる傾向が見られました。また、セキュリティ対策への導入は、「検討中」との回答が最も多く、今後の導入が予測されます。

外部のAIサービス利用時のセキュリティ評価の実施率は、業種によって実施率に大きな差がある結果となりました。

シャドーAI（正規に許可されていないAIツールの業務利用）を防ぐために導入されている対策は、「利用規定など、ポリシーの策定（59.7％）」が最も進んでいるなか、社内ポリシーに基づく監査やレビューの実施率は、「定期的に実施」、「不定期に実施」を合わせても2割強にとどまり、今後取り組むべき課題として挙げられます。

「サイバーセキュリティサーベイ2026」概要

名称：企業のサイバーセキュリティに関する調査

対象：国内上場企業のサイバーセキュリティ責任者・担当者

調査期間：2025年10月2日～11月28日

調査方法：メール・郵送によるアンケートの送付、ウェブ・郵送によるアンケートの回収

有効回答数：424社

今後、本調査結果に、サイバーセキュリティ対策の高度化に向けたポイントや詳細の解説を加え、「サイバーセキュリティサーベイ2026」として発表する予定です。

KPMGジャパンについて

KPMGジャパンは、KPMGインターナショナルの日本におけるメンバーファームの総称であり、監査、税務、アドバイザリーの3分野にわたる11のプロフェッショナルファームによって構成されています。クライアントが抱える経営課題に対して、各分野の専門家が知識とスキルを活かして連携し、KPMGのグローバルネットワークも活用しながら、価値あるサービスを提供しています。

日本においてKPMGジャパンとしてクライアントへ業務提供を行うメンバーファームは以下の通りです：

有限責任 あずさ監査法人、KPMG税理士法人、KPMGアドバイザリーホールディングス株式会社、KPMGコンサルティング株式会社、株式会社 KPMG FAS、株式会社 KPMG Forensic & Risk Advisory、KPMGあずさサステナビリティ株式会社、KPMGヘルスケアジャパン株式会社、KPMG社会保険労務士法人、株式会社 KPMG Ignition Tokyo、株式会社 KPMGアドバイザリーライトハウス