日経225企業の96.4%が過去3年で情報漏洩を経験 漏洩件数は27万件超
INDEX
ジョーシスは、日経225構成企業を対象とした「サイバーセキュリティに関する独自調査」を実施し、その結果を公表した。
■過去3年間で、96.4%の企業が情報漏洩を経験 漏洩件数は27万件超
調査によると、日経225構成企業225社のうち217社(96.4%)で、過去3年間における情報漏洩が確認された。また、漏洩件数の合計は279,206件(※)にのぼり、対象企業の従業員数合計(9,564,043名)に対する漏洩率は2.9%となった。従業員100名あたり、約3名分の認証情報が漏洩していることがわかった。
今回の結果から、情報漏洩は特定の業界や企業規模に限られた問題ではなく、日本を代表する大企業のほぼすべてが直面する経営課題となっていることがわかった。
また、漏洩率が2.9%に達していることから、サイバーセキュリティインシデントは一部の例外的な事象ではなく、企業活動における常在リスクとして認識する必要がある。企業には、侵害を前提とした対策や継続的な監視体制の強化が求められていると同社は考察している。
■深刻な認証漏洩は74.6%、10社中7社の社員の認証情報が漏洩
調査対象225社のうち168社(74.6%)で、認証基盤・セキュリティ・顧客管理など重要度の高いアプリケーションにおける認証情報漏洩が確認された。
近年のマルウェアは単なる端末破壊やシステム停止を目的とするものだけでなく、認証情報やセッショントークンの窃取を目的としたものが増加している。攻撃者は盗み出したIDやパスワードを利用して、クラウド環境に侵入し情報窃取を行うため、感染後の被害拡大が深刻なリスクとなっているという。
■医薬品業界の情報漏洩率が最多 従業員数比で11.6%、銀行は0.7%と最も低い結果に
業界別に従業員数あたりの情報漏洩率を分析したところ、最も高かったのは医薬品業界で11.6%となった。続いて建設業界が7.0%、食品業界が6.5%という結果となり、特定の業界において漏洩リスクが相対的に高い傾向が見られた。
一方、最も低かったのは銀行で0.7%だった。中でも、メガバンクの平均漏洩率は0.5%にとどまった。医薬品業界とメガバンクを比較すると、その差は23倍以上に達しており、業界によってサイバーセキュリティリスクや対策水準に大きな差があることが明らかに。
医薬品業界は研究開発データや知的財産など、攻撃者にとって価値の高い情報を保有していることから、サイバー攻撃の標的となりやすいと考えられる。また、建設業界も海外インフラ事業やプラント建設に関する情報など、地政学的・経済的価値を持つデータを扱うケースが多く、狙われやすい業界の一つだとしている。
食品業界については、他業界と比較してサイバーセキュリティ領域への投資や体制整備が十分ではない企業も存在すると考えられ、結果として漏洩率の高さにつながっている可能性があるという。
一方で金融業界は、厳格な規制への対応に加え、ネットワークアクセス制御や認証基盤の強化、継続的な監視体制の構築など、多層的なセキュリティ対策が進んでいる。そのため、今回の調査でも最も低い漏洩率となり、業界全体として高いセキュリティ成熟度がうかがえる結果となった。
【調査概要】
名称:日経225企業におけるサイバーセキュリティに関する調査
対象:日経平均株価(日経225)構成企業 225社及びそのグループ企業
対象従業員数:9,564,043名(一社分は異常値のため集計対象から除外)
期間:2023年3月1日〜2026年6月1日
手法:同社が保有するデータ解析ツールを用いた抽出調査(2026年6月時点)
実施:ジョーシス
※構成比・割合は小数点第二位以下を四捨五入して算出。
(※)同調査の数値は、匿名性が高く、情報漏洩によって流出した認証情報や個人情報が取引される場として利用されている「ダークウェブ上などで当該企業の情報として流通している件数」を示すもの。特定企業の認証情報として売買されている情報を取得しているが、実際には当該企業の情報でない可能性やすでに無効化された情報が含まれる可能性がある。
<参考>ジョーシス「日経225企業におけるサイバーセキュリティに関する調査」