Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > 46%の企業が自社の侵害を検知できない理由（Kiteworks 2025年調査レポート）

46%の企業が自社の侵害を検知できない理由（Kiteworks 2025年調査レポート）

by Patrick Spencer updated 9月 3, 2025 サイバーセキュリティー・リスク管理

Reading Time: 8 minutes

新たな調査で、可視性の欠如が連鎖的な脆弱性を生み、世界中の企業に“完璧な嵐”をもたらしていることが明らかに

4年前にこの調査シリーズを開始した際、私たちは企業セキュリティの着実な進展を記録できると期待していました。しかし、実際に明らかになったのは、状況が改善するどころか悪化しているという憂慮すべき現実です。実に46%の企業が、自社のリスク状況をまったく把握できていません。これは単なるテクノロジーの問題ではなく、可視性の危機が連鎖的な脆弱性を生み、企業にとって未検知の侵害や訴訟による莫大な損失をもたらしています。

2022年の調査開始以来、私たちは単純なセキュリティ指標の追跡から、複雑で相互に関連するリスクパターンの解明へと進化を遂げてきました。毎年、業界や地域を問わずセキュリティおよびコンプライアンスのリーダーに調査を実施し、その回答を実際の侵害データと照合しています。今年は461組織から得た結果が、これまでで最も深刻な内容となりました。企業がサードパーティの数やAIデータの利用状況など、基本的なセキュリティの問いに答えられない場合、単なる知識の欠如ではありません。セキュリティ全体の可視性が欠如している状態で運用しているのです。

2025年データセキュリティ＆コンプライアンスリスクレポートは、長年疑っていたものの証明できなかった事実を明らかにしました。それは、「セキュリティの盲点は伝染する」ということです。ひとつの「わからない」という回答は、他の盲点も高精度で予測し、連鎖的な脆弱性を生み出して、管理可能なリスクを存在自体を脅かす脅威へと変えてしまうのです。

自社のセキュリティに自信がありますか。その確信、証明できますか？

今すぐ読む

Table of Contents

企業データリスクの進化：単純な指標から複雑なパターンへ

2022年にセキュリティ指標の追跡を始めた当時、状況は根本的に異なっていました。暗号化の導入率やコンプライアンスコスト、ベンダーとの関係数などを測定していましたが、これらはそれぞれ独立したストーリーであり、現代のリスクが持つ相互接続性を捉えきれていませんでした。

4年と数千件の検証済み回答を経て、私たちは見落としていたものに気づきました。セキュリティ上の課題は孤立して存在するのではなく、予測可能かつ測定可能なパターンで連鎖・複合化するのです。機密コンテンツの保護方法を調査するというシンプルな研究から始まりましたが、今では個々の弱点がエコシステム全体に波及し、セキュリティ障害がどのように相互に関連するかを高度に理解できるようになりました。

今年のデータは、参加組織の実際の侵害結果と照合され、こうした連鎖効果をついに定量化できました。たとえば、サードパーティの関係数を把握できないだけで、侵害頻度や検知遅延、訴訟コストまで驚くほど正確に予測できることが分かりました。さらに重要なのは、優れたセキュリティ組織と、危機管理に追われる組織を分ける明確な要因を特定できた点です。

主なポイント

セキュリティの盲点が連鎖的な障害を生む

基本的なセキュリティの問いに答えられない組織は、複合的な脆弱性を抱えています。たとえば、サードパーティの数を把握していない42.3%の組織は、侵害頻度も追跡できていません。この連鎖効果によって、個別の知識ギャップがシステム全体のセキュリティ障害へと発展し、数百万ドル規模の損失を生み出しています。
1,001～5,000ベンダーの範囲は重大な危険地帯

1,001～5,000のサードパーティを管理する企業は、最悪のセキュリティ結果に直面しており、41.9%が年間7～9件の侵害を経験しています。これらの組織はエンタープライズ規模の複雑性を持ちながら、エンタープライズレベルの管理策が不足しており、脆弱性の“完璧な嵐”を生み出しています。
AIガバナンスの導入は依然として極めて稀

AIガバナンスの技術的フレームワークを導入している組織はわずか17%。一方で、AI利用状況を把握していない企業の35.8%はプライバシー保護策を一切講じていません。このガバナンスギャップにより、多くの組織が最も機密性の高いデータで制御されていない実験を行っている状態です。
複数のプライバシー技術が複合的な効果を発揮

3つ以上のプライバシー強化技術を導入している組織では、81%が訴訟コストを100万ドル未満に抑えています。データ最小化から始めて技術を重ねていくことで、セキュリティ効果が飛躍的に高まります。
検知スピードが財務インパクトを左右

侵害を7日以内に検知できる企業は、コストを100万ドル未満に抑えられる可能性が高く、31～90日かかる場合は300万～500万ドルの損失に直面します。検知の遅れが1日増えるごとに、財務的損害と復旧の複雑さが指数関数的に増大します。

すべてを変えた発見：可視性が運命を決める

2025年データで最も重要な知見は、組織の可視性、あるいはその欠如に集約されます。企業が基本的なセキュリティの問いに「わからない」と答える場合、それは単なる知識ギャップではなく、システム全体の盲点を示しています。このパターンは、調査したすべての業界・地域・規模で一貫して現れました。

一見シンプルな質問を考えてみてください。「自社が維持しているサードパーティの関係数はいくつですか？」

この基本的な問いに答えられないことは、壊滅的なセキュリティ障害と強く相関します。

表1：可視性障害の連鎖効果

主な盲点	二次的障害	三次的影響	最終的なコスト
サードパーティ数を把握できない（46%）	侵害頻度が不明（46%）	訴訟コストを定量化できない（48%）	平均侵害コスト3～5百万ドル
AIデータ利用が不明（36%）	プライバシー管理ゼロ（36%）	検知まで31～90日（42%）	73%がモデル漏洩を懸念
コンプライアンス工数が不明（20～26%）	手作業プロセスが主流（70%以上）	規制期限を逸する	1ドルあたり2.33ドルの隠れコスト
検知時間が不明確（46%）	不十分なインシデント対応（68%）	侵害露出期間の長期化	年間10件以上の侵害（28%）

4つの主要な可視性障害が、セキュリティの結果を驚くほど高精度で予測します：

サードパーティ数が不明： これらの組織は常に受動的な対応に追われ、データフローやリスクを体系的に把握できません。調査では、46%の企業がサードパーティの正確な数を把握できていませんでした。同じ組織では、侵害頻度が不明な割合も42.3%と高く、自社が侵害されたかどうかすら分からない状況です。日常業務では、忘れられたベンダーが重要システムにアクセスし、攻撃者が高度化する中でシャドーITの脆弱性が拡大しています。

AIデータ利用が不明： AIを利用している組織のうち36%がプライバシー保護策を一切講じておらず、機密データを制御なく扱う実験が前例のない規模で行われています。AI導入のスピードがガバナンス能力を大きく上回っており、AIシステムに投入されるデータのうち、どれだけが機密・個人情報かを把握できない組織では、侵害率や検知遅延が著しく高くなっています。実質的に、監督や制御のない大規模なデータ処理が行われているのです。

コンプライアンス工数が不明： 職種によって20～26%のセキュリティ担当者がコンプライアンスにかかる工数を定量化できず、年間数千時間に及ぶ手作業プロセスの最適化が妨げられています。この可視性の欠如は悪循環を生み、測定できないものは改善できず、手作業の負担が増え続け、自動化やプロセス改善への投資が進みません。

検知時間が不明： 特に深刻なのは、サードパーティの可視性が低い組織の46%が、侵害の滞留時間を把握できていないことです。セキュリティにおいて「時間＝コスト」であり、未検知の侵害はコストを指数関数的に膨らませます。侵害が1日未検知であるごとに、平均1万ドルの追加コストが発生し、規制違反や訴訟、評判リスクも加わります。

1,001～5,000サードパーティ「危険地帯」：リスクが爆発する場所

今年のデータは、従来の規模とセキュリティの常識を覆す、特定のベンダーボリューム帯が過剰なリスクを生み出していることを明らかにしました。1,001～5,000のパートナーを管理する組織は、測定したすべての指標で最悪のセキュリティ結果に直面しています：

表2：サードパーティ数別リスク指標

サードパーティ数	年間侵害件数	検知時間	サプライチェーンリスク	平均侵害コスト
<500	42.7%が侵害ゼロ	77%が7日未満で検知	30%増加	45%が100万ドル未満
501-1,000	35.6%が4～6件	パフォーマンスは混在	32%増加	典型的に100万～300万ドル
1,001-5,000	42%が7～9件	42%が31～90日	46%増加	44%が300万～500万ドル
>5,000	27.9%が10件以上	31%が90日超	43%増加	36%が500万ドル超

この危険地帯は、複数の相反するプレッシャーが重なり、独自の脆弱性を生み出しています：

複雑性と能力のミスマッチ： これらの組織は手作業によるベンダー管理の限界を超えています。セキュリティチームが100社程度なら個別に確認できますが、500社を超えると人力では破綻し、1,000社以上では完全に管理不能です。それでも、大規模企業が導入するような自動化管理策の予算はありません。

可視性の崩壊： この規模になると、スプレッドシートは機能せず、メールベースのプロセスも破綻し、ポイントソリューションはギャップを埋めるどころか新たな穴を生みます。平均7～12種類のツールを使ってベンダー管理をしているものの、統合されていません。その結果、部分的な可視性しか得られず、誤った安心感と大きな盲点が生まれます。

攻撃者の格好の標的： 高度な脅威アクターはこの規模帯を狙い撃ちにしています。十分な価値あるデータを持ち、複雑性ゆえにセキュリティギャップが生まれやすい一方で、真のエンタープライズのようなリソースはありません。脅威インテリジェンスによると、2024年のサプライチェーン攻撃の73%がこの規模帯を標的にしています。

リソースの不均衡： この危険地帯の組織は、5～15名程度のセキュリティチームでエンタープライズ規模の複雑性に対応しています。フォーチュン500企業と同じ規制要件を課されながら、リソースはごくわずか。結果として、セキュリティチームは常に過負荷となり、ミスや見落とし、燃え尽き症候群が発生します。

興味深いことに、5,000社を超えるパートナーを持つ組織では、一部指標で改善が見られます。これは、取締役会がようやくエンタープライズレベルの管理策導入を承認するためです。危険地帯は、予算重視の経営層の目にはエンタープライズ防御が正当化されない一方で、高度な攻撃の標的となることで、問題が長期化しています。

ガバナンスなきAI導入：2025年の現実

AI変革がテクノロジー議論を席巻する中、私たちのデータは、前例のない規模で新たな攻撃経路を生み出すガバナンスギャップを明らかにしています。AI導入のスピードがガバナンスフレームワークの整備を大きく上回り、監督や制御、基本的な認識すらないまま機密データがAIシステムに流れ込む“西部開拓時代”のような状況が生まれています。

技術的なAIガバナンスフレームワークを導入している組織はわずか17%。リスクを考えれば衝撃的な低さです。つまり、AIを活用している組織の83%が、データ漏洩防止やコンプライアンス確保、AIシステムで処理されるデータの把握に必要な技術的管理策を持っていません。

AIへの認識とセキュリティ成果の相関は顕著です。AI生成コンテンツを測定している組織は、まったく異なるセキュリティプロファイルを示します：

AIガバナンス成熟度レベル：

データ損失防止を伴う技術的管理策：17%導入（最も効果的）
利用制限＋トレーニング・監査：27%導入（中程度の効果）
ガイドライン＋従業員裁量：21.2%導入（限定的な効果）
警告メッセージのみ（強制なし）：19.6%導入（ほぼ効果なし）
特定のポリシーなし：10.3%（完全な暗闇で運用）

最も憂慮すべき発見は、AI利用状況を把握していない組織の36%が、プライバシー保護策を一切講じていないことです。これらの企業は、最も機密性の高いデータで制御されていない実験を行っており、多くの場合その自覚すらありません。従業員が利便性のために消費者向けAIツールを利用し、知らず知らずのうちに企業秘密や顧客データ、知的財産をデータ保持・利用方針が不明確なシステムにさらしています。

AI生成コンテンツが16～30%に達する組織は、特に懸念すべき傾向を示しています。リスクを認識し測定はしているものの、十分な管理策がありません。これは、シートベルトをせずにスピードメーターだけを見て運転しているようなものです。リスクを自覚しつつ、実効的な対策を講じていません。

「懸念」と「行動」のギャップも深刻です。67～75%の組織がAIモデルの漏洩やデータ露出を強く懸念している一方で、実際に有効なガバナンスフレームワークを導入しているのはわずか25%。脅威を理解しつつ、効果的な対応ができていない危険な状況が生まれています。

地域別セキュリティパターン：強みと致命的な弱点

規制、ビジネス文化、脅威環境の地域差は、グローバル組織にとって貴重な教訓となる独自のセキュリティプロファイルを生み出しています。各地域は、現地のプレッシャーや規制、文化的要素によって独自のアプローチを発展させてきました：

北米：訴訟主導型モデル

従業員2万人超の組織が23%と世界最多の北米企業は、前例のない規模で事業を展開しています。これが独自の課題と機会を生み出しています：

強み： 北米の組織は、AI管理策の導入率が32%と世界をリードしており、その背景には訴訟リスクへの恐怖があります。北米のデータ侵害平均コストは現在445万ドルに達し、カリフォルニア州の厳格なプライバシー法がさらなるリスクを加えています。この訴訟リスクが、技術的管理策や自動監視システムへの投資を促進しています。

弱み： 防御的な戦略への偏重が、イノベーションを阻害することもあります。北米の組織は、欧州の同業他社よりもコンプライアンス文書作成に40%多くの時間を費やしており、積極的なセキュリティ改善が後回しになる傾向があります。法的責任回避が本質的なセキュリティより優先されることで、法令順守はしていても実際には脆弱な状況が生まれています。

独自の課題： イノベーション推進と訴訟リスク回避のバランスが、組織の麻痺を招くこともあります。セキュリティチームは、競争優位のためにAI導入を推進しつつ、一方でデータ露出を完全に防ぐよう求められるという、両立困難な命題に直面しています。

欧州：規制が卓越性を生む原動力

GDPRの施行は、規制が単なる形式的なコンプライアンスではなく、実質的なセキュリティ向上を促すことを証明しました：

強み： 欧州の組織はITスペシャリスト比率が58%と、北米の41%を大きく上回っています。プライバシー技術の導入も世界トップで、80%がGDPRによる大きなプラス効果を挙げています。規制のプレッシャーが、単なる書類作成ではなく実質的な能力向上をもたらしました。

弱み： GDPR、NIS 2、DORA、EUデータ法など、重複するフレームワークの増加が、利点を上回る負担となりつつあります。組織はセキュリティ実装よりも、規制解釈やフレームワークのマッピングに多くの時間を費やしています。

独自の課題： 2025年9月のEUデータ法施行が迫る中、完全対応できている組織はわずか23%。データポータビリティや相互運用性要件の複雑さが、多くの組織にとって想定以上の技術的課題となっています。

アジア太平洋：暗号化のリーダー

APACの組織は、限られたリソースでも集中した実行力が成果を生むことを示しています：

強み： 機密データの76～100%に暗号化を適用している割合が56%と世界最高水準。APACの組織は、規模やリソースに関係なく、基本的なセキュリティ管理策を効果的に導入できることを証明しています。コアな保護策に集中することで、複雑だが不十分な戦略よりも良い成果を上げています。

弱み： 一方で、AIリスクについて「わからない」と答える割合が35%に上り、イノベーションが常にガバナンスを上回っています。新技術の急速な導入にガバナンスフレームワークが追いつかず、高度な攻撃者に狙われる脆弱性が生まれています。

独自の課題： 急成長とセキュリティ成熟度のバランスが難題です。APACの組織は、数年ではなく数カ月でスタートアップからエンタープライズへと急拡大するため、セキュリティ基盤が事業成長に危険なほど遅れがちです。

中東：人的要素が差別化要因

中東の組織は、テクノロジーだけがセキュリティ成果を決めるわけではないことを示しています：

強み： 定期的なコンプライアンス研修を実施する割合が51%（世界最高）、セキュリティ資格取得を義務付ける割合が36%と、人材への投資が大きな成果を生んでいます。セキュリティ意識と専門性の向上により、全員がセキュリティに責任を持つ文化が醸成されています。

弱み： 技術的管理策の導入は遅れており、自動監視やレスポンスシステムの普及が低い状況です。そのため、十分に訓練されたスタッフが不十分なツールを補う必要があり、燃え尽きや人的ミスのリスクが高まっています。

独自の課題： 伝統的に紙ベースだった産業の急速なデジタル化が、独自の脆弱性を生んでいます。デジタルインフラとセキュリティ能力の同時構築が求められ、地域のベストプラクティスや専門知識が不足する中での対応が課題です。

プライバシー強化技術：成熟度の分断

その効果が証明され、普及も進んでいるにもかかわらず、プライバシー強化技術（PET）の導入率は、すべての業界・地域で依然として低迷しています。これは、現代サイバーセキュリティにおける最大の機会損失のひとつです。

分析からは、技術的な複雑性と組織の準備状況を反映した明確な導入階層が見えてきます：

ゲートウェイ技術（導入率30～45%）：

データ最小化： 主にポリシー変更で実現でき、技術的インフラをほとんど必要としない最も導入しやすいPET。データ収集・保持を減らすだけで即時効果が得られます。
ゼロトラスト・エクスチェンジ： 複雑性は中程度ですが、パートナーエコシステムが複雑な組織には大きな効果を発揮します。

中間技術（導入率15～25%）：

セキュアマルチパーティ計算： データを露出せずに共有でき、コラボレーションとプライバシー両立が必須な業界に不可欠です。
コンフィデンシャルコンピューティング： ハードウェアベースの強力な保護を提供しますが、インフラ投資が必要です。

先進技術（導入率15%未満）

準同型暗号： 暗号化データ上で計算可能ですが、相当な計算資源と専門知識が必要です。
フェデレーテッドラーニング： データを集中化せずにAIモデルを訓練でき、実装には高度なノウハウが求められます。

3つ以上のPETを導入している組織は、すべての指標で圧倒的に優れた成果を上げています。侵害検知が67%速く、訴訟コストは81%低く、顧客信頼度は92%高いという結果です。それでも14～36%の組織はPETを一切使っておらず、大きな価値を取り逃しています。

調査から明らかになった実装ロードマップには、成功の明確なパターンがあります。まずデータ最小化とゼロトラスト・エクスチェンジで短期的成果（30～90日）を上げ、次にセキュアマルチパーティ計算やコンフィデンシャルコンピューティングを段階的に導入（90～180日）、さらに複雑性が正当化されるユースケースには準同型暗号などの先進技術を適用（180～365日）するのが理想です。

コンプライアンス負担から競争優位へ

最も成功している組織は、コンプライアンスを受動的な負担から競争優位の源泉へと変革しています。一般的な組織は、年間1,000～1,500時間をコンプライアンス報告に費やしており、ほぼフルタイム従業員1人分に相当しますが、その内訳には戦略的なチャンスが隠れています。

コンプライアンス工数の分布パターン：

500時間未満：7%（小規模・集中型組織）
500～1,000時間：13%（自動化が進んだ効率的運用）
1,001～1,500時間：25～32%（最も一般的な範囲）
1,501～2,000時間：19%（複雑化し始めた組織）
2,000時間超：14～20%（非常に大規模または非効率な組織）
「わからない」：20～26%（可視性危機の現れ）

最良の成果を上げている組織には共通点があります：

自動化重視： 証拠収集やコントロールテスト、レポート作成などの定型的なコンプライアンス作業を自動化し、セキュリティチームが戦略的改善に集中できる体制を構築しています。

統合的アプローチ： 規制ごとに個別対応するのではなく、複数の要件を同時に満たす統合コントロールフレームワークを構築。たとえば、ひとつのコントロールでGDPR、CCPA、SOXの要件を同時に満たし、重複作業を大幅に削減しています。

プロアクティブな姿勢： 規制を「最低基準」と捉え、要件を上回る対策を実施。将来の規制にも備え、受動的な組織が慌てるような事態を回避しています。

EUデータ法への対応状況からも、この戦略的アプローチの効果が見て取れます。金融サービス業界は既存インフラを活用し、統合的アプローチで47%が完全対応。一方、教育分野はリソース不足や縦割り思考で対応率14%と大きく遅れています。意外にも、法務サービス業界の23%は、規制理解が最も深いはずなのに、対応計画すら立てていません。

侵害コストのスパイラルを断ち切る：検知・対応・レジリエンス

サイバーセキュリティにおいて「時間＝コスト」は真実です。2025年の調査では、検知に数時間かかるか数カ月かで、数百万ドルの差が生まれ、ビジネス継続と壊滅的被害の分岐点となることが明らかになりました。

検知スピードと最終コストの関係はほぼ直線的です：

24時間未満： 67%がコスト100万ドル未満
1～7日： 52%が100万ドル未満
8～30日： 通常100万～300万ドル
31～90日： 44%が300万～500万ドルの損失
90日超： 36%が総損失500万ドル超

しかし、真のポイントは、なぜ一部の組織は迅速な検知ができ、他は何カ月も暗闇に取り残されるのかという点です。可視性が高い組織――サードパーティ数やAI利用、コンプライアンス状況を把握している組織――は、平均で73%も早く侵害を検知しています。これは偶然ではなく、明確な因果関係です。

連鎖効果は、検知においては逆方向にも働きます。基礎的な可視性が高い組織は、優れた監視システムと明確な通常状態のベースライン、迅速なインシデント対応プロセスを持っています。「通常」が何かを把握しているため、異常が即座に浮き彫りになるのです。

リスクスコアの現実：自社のリスクを定量化する

4年にわたる調査シリーズで初めて、複数のセキュリティ指標を単一の実用的なスコアに変換する独自のリスクスコアリングアルゴリズムを開発しました。これにより、組織は同業他社とリスクを比較し、改善状況を追跡できます。

スコアリング手法は、3つの基本的な側面を統合しています：

侵害頻度（年間インシデント数に基づき0～5点）
財務インパクト（訴訟コストに基づき0～5.5点）
検知スピード（発見までの時間に基づき0～5点）

アルゴリズムはこれらを0～10のスケールに正規化します：

7.1～10： 即時対応が必要なクリティカルリスク
5.0～7.0： 緊急改善が必要な高リスク
3.5～5.0： 改善余地のある中リスク
1.0～3.5： 優れた運用の低リスク

結果は厳しい現実を示しています：

15%の組織がクリティカルリスク領域で運用
31%が緊急対応を要する高リスク
29%が中リスク
わずか25%が低リスクを達成

中央値は4.84――高リスク領域に危険なほど近い数値です。つまり「典型的な」企業は、深刻な脆弱性の瀬戸際に立たされています。

業界別の差も顕著です。エネルギー・公益事業が5.51でリスクトップ。これは重要インフラであることやレガシーシステムの課題が反映されています。技術業界は技術的洗練度にもかかわらず4.94で2位――主な攻撃対象であることが要因と考えられます。意外にも、ライフサイエンス・製薬業界は3.37と最低リスクを達成し、規制産業でも適切な投資で優れた成果が得られることを示しています。

今こそが分岐点

4年間、指数関数的に増大する脅威に対してセキュリティの漸進的進歩を追跡してきましたが、2025年はデータセキュリティにおける本質的な分岐点となります。ガバナンスなきAI導入、爆発的に拡大するサードパーティエコシステム、連鎖的なコンプライアンス要件の収束により、従来の漸進的改善では対応できない脅威環境が生まれています。

データは明確に「有効な施策」を示しています。包括的な可視性、重層的なプライバシー技術の導入、コアプロセスの自動化を実現した組織は、すべての指標で同業他社を大きく上回っています。ツールも戦略もROIも、すでに確立されています。

それでも、42%の組織はいまだに自社のセキュリティ状況に関する基本的な問いに答えられません。彼らは暗闇の中で運用し、見えない脅威から運に頼って守られることを願っています。2025年、この運用上の盲点は単なるリスクではなく、存在自体を脅かすものです。

生き残るだけでなく成長できるかどうかは、危機に追い込まれる前に変革する勇気があるかどうかにかかっています。もはや「漸進的な改善で十分」という幻想は捨てなければなりません。脅威は指数関数的に増大しています。対応も本質的な変革でなければなりません。

「わからない」という回答が侵害率を46%も押し上げ、AIが監督なしに機密データを処理し、サードパーティエコシステムが人間の理解を超えて拡大する環境では、中途半端な対策は必ず失敗します。「十分」はもはや十分ではありません。

今後進むべき道は、5つの側面で本質的な変革が必要です：

完全な可視性の実現： 推定ではなく正確な測定へ
自動化か失敗か： 手作業プロセスは現代の複雑性に対応できない
先進技術の導入： 基本的な管理策だけでは不十分
プロアクティブなフレームワーク構築： 受動的ではなく先回りして備える
継続的なレジリエンスの確立： 侵害は必ず起きる前提で備える

この分岐点を認識し、果断に行動する組織が、次世代のデータセキュリティをリードします。漸進的改善に固執する組織は、指数関数的な脅威に圧倒されるでしょう。もはや中間地点は存在しません。変革の時は今です。

データセキュリティ＆コンプライアンスリスク：2025年調査レポートをダウンロードし、詳細な分析、業界別インサイト、セキュリティ変革のための包括的な推奨事項をご覧ください。

よくあるご質問

2025年のデータによると、1,001～5,000のサードパーティを管理する組織が最も高いリスクに直面しており、42%が年間7～9件の侵害を経験し、46%がサプライチェーンリスクの増加を報告しています。この「危険地帯」は、組織がエンタープライズ規模の複雑性を抱えながら、エンタープライズレベルの自動化管理策の予算がなく、手作業による管理が不可能になることで発生します。

2025年時点で、技術的なAIガバナンスフレームワークを導入している組織はわずか17%です。業界全体でAI導入が急速に進む一方、AIデータ利用を把握していない組織の36%がプライバシー強化技術を一切導入しておらず、データセキュリティに大きな盲点を生んでいます。

検知時間は組織の規模や成熟度によって大きく異なります。サードパーティが500社未満の組織では43%が7日以内に侵害を検知していますが、5,000社超の組織では31%が90日以上かかっています。検知スピードと財務インパクトは直接相関しており、迅速に検知できる組織は訴訟コストを100万ドル未満に抑えやすく、遅れると300万～500万ドル超のコストが発生しやすくなります。

データ最小化が職種別で35.7～42.4%とPET導入率トップで、次いでセキュアマルチパーティ計算が19.9～24.1%、コンフィデンシャルコンピューティングが14～18%となっています。3つ以上のPETを導入している組織は、81%が訴訟コストを100万ドル未満に抑えており、未導入組織はコスト増大や検知遅延のリスクが高くなっています。

業界によって準備状況は大きく異なります。金融サービス業界は47%が完全対応でリードしている一方、教育分野は準備率14%と大きく遅れています。特に懸念されるのは、法務サービス業界の23%が締切間近にもかかわらず対応計画を持たず、政府機関も国民データを大量に扱いながら完全対応は19%にとどまっている点です。

追加リソース