KPMGジャパンは2月17日、日本経済新聞社と共同で実施した「サイバーセキュリティサーベイ2026」の主要結果(速報)を公表しました。国内上場企業424社の有効回答を分析し、過去1年の年間合計被害で「10億円以上」とする回答が今回初めて確認され、被害1億円以上の企業は10.1%でした(前回8.0%、前々回6.7%)。
調査は2025年10月2日~11月28日に、責任者・担当者へメール・郵送で依頼し、ウェブ・郵送で回収しました。業務上の被害が発生した攻撃手法はランサムウェアが最多の6.9%で、次いでDDoS(サービス妨害)攻撃が4.3%でした。一方、被害はないものの攻撃を受けた手法ではフィッシングが49.2%、ビジネスメール詐欺(不正な送金指示)が38.2%と高水準で、ディープフェイクを用いた送金指示も6.2%で発生が報告されました。
被害を生じさせたインシデントの発生経路は「国内の委託先・取引先」が最多の10.8%で、サプライチェーン経由のリスクが目立ちます。海外の委託先・取引先については「攻撃があったかわからない」が36.3%で、把握体制の課題も示されました。体制面ではセキュリティ予算が不足しているとの回答が63.2%、推進組織を設置していない企業が39.4%でした。対策ツールも「不足で追加検討」が76.0%に上り、生成AIの業務利用に伴うシャドーAI対策ではポリシー策定が59.7%に対し、監査・レビューの実施は2割強にとどまりました。
KPMGジャパンは今後、6テーマ(攻撃実態、管理態勢、子会社管理、委託先・取引先管理、対策、AIセキュリティ)を軸に、対策高度化のポイントや詳細解説を加えた「サイバーセキュリティサーベイ2026」として公表するとしています。
【関連リンク】
詳細URL https://kpmg.com/jp/ja/media/press-releases/2026/02/cyber-security-survey2026.html