Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > インサイダーリスクのコスト:内部に潜む1,950万ドルの脅威を解明

インサイダーリスクのコスト:内部に潜む1,950万ドルの脅威を解明

by Patrick Spencer updated 3月 12, 2026 サイバーセキュリティー・リスク管理
Reading Time: 9 minutes

サイバーセキュリティの議論は、しばしば国家による攻撃、ゼロデイ脆弱性、サプライチェーンへの侵入といった劇的な話題に傾きがちです。これらの脅威は現実であり、注意を払う価値があります。しかし、ほとんどの組織の内部には、より日常的で、しかもはるかに高額な問題が毎日潜んでいます。2026年DTEX/Ponemonインサイダーリスクレポートは、そのコストを非常に具体的な数字で示しています。

主なポイント

  1. 過失が最も高額なインサイダー脅威カテゴリ。2026年DTEX/Ponemonインサイダーリスクレポートによると、過失によるインサイダーがインサイダーリスク全体コストの53%(年間1,030万ドル)を占めており、前年比17%増加しています。原因は、データを持ち出す不満を持った従業員ではありません。善意の従業員が、急ぎすぎたり、誤ったツールを使ったり、誰にも記録されていない情報漏えいを生み出しているのです。
  2. シャドーアプリが新たなデータ損失経路に。従業員は、社内文書、ソースコード、法務資料、ビジネス戦略を、未承認のパブリックツールに日常的に貼り付けています。AIガバナンスをインサイダーリスクプログラムに完全統合している組織は18%しかなく、多くの企業は何が流出し、どこに行ったのかを把握できていません。
  3. インサイダーリスクの平均コストは現在1,950万ドル/組織、さらに増加中。2024年の1,740万ドル、2023年の1,620万ドルから上昇しており、この傾向は止まっていません。封じ込めは1件あたり247,587ドルで、最大のコスト要因です。封じ込めのスピードが、管理可能なインシデントと財務的損失の分かれ道となります。
  4. AIエージェントはすでに境界内に存在し、多くのインサイダーリスクプログラムではカバーされていません。AIエージェントを人間の従業員と同等のインサイダーリスクとみなしている組織は19%に過ぎませんが、44%はこれらエージェントの悪用によるデータ窃取の大幅な増加をすでに予想しています。定義が導入状況に追いついていません。
  5. インサイダーリスク管理に投資するプログラムは、年間平均820万ドルの漏えいコストを回避。正式なインサイダーリスクプログラムを持つ組織は、年間約7件のインシデントを回避しています。特権アクセス管理は610万ドルのコスト削減効果で最大です。ROIは理論ではなく、実際に記録され再現可能です。

平均的な組織は2025年、インサイダーリスク対策に1,950万ドルを費やしました。この数字は2024年の1,740万ドル、2023年の1,620万ドルから増加しています。これは一時的な異常値ではなく、明確な傾向です。そしてその要因は、レポートが明確に示す通り、悪意ある従業員の急増ではありません。はるかに防御が難しい、普通の人々が日々の業務の中で、極めて高いリスクを生み出していることが原因です。

本レポートは、354社・7,490件のインサイダーインシデントのデータに基づいています。過失で機密データをパブリックツールに貼り付ける従業員から、知的財産を意図的に持ち出す悪意あるインサイダーまで、インサイダーリスクの全カテゴリーを網羅しています。そこから浮かび上がるのは、多くの組織が直視したがらないデータセキュリティの現実像です。最も高額な侵害経路は、すでに信頼され、認証され、アクティブな存在である可能性が高いのです。

悪意よりも過失の方がコストが高い

インサイダーリスクの議論では、悪意のある人物――データを売る従業員、ソースコードを盗む契約社員、顧客リストを持ち出す不満を持った幹部――に注目しがちです。これらのケースは確かに存在し、深刻であり、実際の財務リスクとなります。しかし、コストの大半がそこに費やされているわけではありません。

過失によるインサイダーは、インサイダーリスク全体コストの53%(年間1,030万ドル)を占め、前年比17%増加しています。過失による1件あたりの平均コストは747,107ドルです。報告期間中、1組織あたり13.8件発生しています。過失――つまり悪意ではなく――が、業界を問わずインサイダーリスクプログラムにおける最大のコスト要因です。DTEXは主な要因として、監視されていないファイル共有、個人用ウェブメール、シャドーアプリ(IT部門の監視やポリシー管理外で従業員が独自に導入するツール)を挙げています。

2026年における過失インサイダーインシデントとは、セキュリティを回避しようとする人ではありません。業務を早く進めようとする人です。文書のレビューを依頼したい、長いレポートを要約したい、締切前にクライアントと何かを共有したい――こうした現場のワークフローとセキュリティ対策の摩擦は現実であり、両者が衝突した際、セキュリティが負けることが多いのです。

封じ込めは1件あたり247,587ドルで、エスカレーション(39,728ドル)と比べて最大のコスト要素です。この差は偶然ではありません。最初から記録されていなかったインシデントを特定・評価・修復する難しさを反映しています。未承認チャネルでデータが移動すると、封じ込めに必要なフォレンジックの痕跡がそもそも存在しません。

知らないアプリが最大のコンプライアンスリスクに

シャドーアプリは、DTEXレポートによると、現在、過失インサイダーインシデントの最大要因です。従業員は、社内文書、法務資料、ソースコード、アーキテクチャ図、ビジネス戦略を、ChatGPT、Gemini、Perplexity、Grokなどのパブリックツールに貼り付けています。これらの転送はアプリケーション層で発生し、従来のDLP制御の範囲外で、ログも同意もなく、コンプライアンスフレームワークが求めるデータ処理契約もないまま、管理外の場所にデータが流出します。

コンプライアンスリスクは直接的です。GDPR、CCPA、HIPAA、そして業界特有のフレームワークの増加により、組織は個人データの処理方法、移動先、アクセス権限について明確な義務を負っています。従業員が顧客PIIを含む契約書をパブリックツールに貼り付けた場合、そのデータは組織が記録できない条件下で第三者と共有されたことになります。規制当局が適法な処理の証拠を求めても、証拠はありません。そのデータにプライバシー権利請求があっても、組織はどこに行ったかすら把握できないかもしれません。

DTEXレポートは、この問題の中でもAIノートテイカーを特にリスクの高いカテゴリとして挙げています。これらのツールは会議内容を記録・書き起こし・保存し、しばしばPIIや機密ビジネス情報、特権的な議論を含みます。アクセス制御や保存期間の制限、正式なデータ処理契約がなければ、AIノートテイカーは監視されていないデータリポジトリとして、合理的なコンプライアンス境界の外に存在することになります。

92%の組織が、生成AIツールによって従業員の情報アクセス・共有方法が根本的に変わったと認識していますが、これを正式にビジネス戦略に統合しているのはわずか13%です。73%は、未承認ツールの利用が見えないデータ損失経路を生み出していることを懸念しています。AIガバナンスポリシーをインサイダーリスク管理プログラムに完全統合しているのは18%のみです。この「懸念と行動のギャップ」こそが、静かにコンプライアンスリスクを蓄積させる要因となっています。

インサイダーの境界はさらに複雑化

インサイダーの定義はこれまで明快でした。組織のシステム、データ、施設への正規アクセス権を持つ人物です。しかし今、その定義は多くのインサイダーリスクプログラムがまだ対応できていない形で揺らいでいます。

19%の組織が自律型エージェントを日常業務に導入しています。これらのツールは企業システムにアクセスし、自律的に作業を行い、多くの場合、従来の制御やログ記録を完全に回避します。認証情報で動作し、データにアクセスし、セキュリティやコンプライアンスに影響する行動をとります。そして、従来のインサイダーリスクプログラムが検知するよう設計された人間特有の行動シグナルを持ちません。問題は、多くのインサイダーリスクフレームワークが「インサイダー」を人間として定義し続けていることです。AIエージェントを人間のインサイダーと同等にリスクガバナンス上分類している組織は19%のみであり、44%はすでに悪意あるエージェント利用によるデータ窃取リスクの大幅増加を予想しています。

DTEXは、エージェント型ブラウザやタスク完了エージェントが、すでに企業環境にアクセスし、ユーザーの代わりに作業を行い、組織が検知やコンプライアンス証拠として依存するログインフラを回避している事例を報告しています。自律型エージェントが機密データにアクセスした場合、コンプライアンスフレームワークが求める監査証跡が存在しない可能性があります。アクセスは発生し、データは閲覧・転送されますが、そのイベントは従来の監視システムが検知するものとは全く異なります。

これは未来の問題ではありません。すでに生産性向上目的でエージェントを導入している組織は、このギャップの中で運用しています。人間の行動分析を前提としたインサイダーリスクプログラムでは、非人間主体への対応ができず、導入率が高まるほどそのコンプライアンスリスクは拡大します。

封じ込めの遅れは「測れる」コスト

DTEXレポートで特に明確になったのは、封じ込めのスピードとインシデント総コストの関係です。これは複雑な関係ではなく、直接的かつ重大です。

インサイダーインシデントを30日以内に封じ込めた組織は、年間平均1,420万ドルをインサイダーリスク管理に費やしています。封じ込めが90日を超える組織は2,190万ドルです。この770万ドルの差は、インシデントの深刻度ではなく、単に「時間」に起因します。1件あたり247,587ドルの封じ込めコストは、インサイダーリスクプログラムで最大の単一コスト要素です。インシデントが未解決のまま1日経過するごとに、そのコストは増加します。

DTEXデータの予算推移もこれを裏付けています。組織はインサイダーリスク予算の割合を、2023年の全セキュリティ支出の8.2%から2025年には19%に増やしました。同期間に平均封じ込め日数は86日から67日に短縮(17%減)しています。インサイダーリスクプログラムへの投資が、封じ込めスピードの向上という測定可能な改善を生み、迅速な封じ込めが総コスト削減という測定可能な効果につながっています。

最大のコスト削減効果をもたらすツールについて、DTEXデータは示唆的です。特権アクセス管理が年間610万ドルのコスト削減でトップ、次いでユーザー行動分析・行動インテリジェンスが510万ドル、ユーザートレーニングが480万ドル、SIEMが460万ドルです。ユーザートレーニングと意識向上は83%の組織で最も広く導入されていますが、特権アクセス制御の半分以下の財務効果しかありません。導入範囲の広さだけを重視し、コスト効果を重視しない組織は、大きな損失を被っています。

コンプライアンスプログラムへの示唆

DTEXの調査結果が示すコンプライアンス上の論点は、データフローの可視性、AIガバナンス、インシデント記録の3点に集約されます。

データフローの可視性について、根本的な問題は「見えない」データフローについて、組織はコンプライアンス上の説明責任を果たせないことです。監視されていないファイル共有プラットフォーム、個人用ウェブメール、管理外ツールで機密データが処理されると、データの流れやアクセス者を記録管理することが求められる規制下で、規制違反のリスクが生じます。GDPRの説明責任原則、CCPAのサービスプロバイダー要件、HIPAAの最小限必要原則はいずれも、組織が自社のデータフローを把握できることを前提としています。シャドーアプリの存在は、その把握を困難にします。

AIガバナンスについて、DTEXデータはギャップを数値化しています。92%の組織が生成AIツールによる情報共有の変化を認識しながら、AIを正式なビジネス戦略に統合しているのは13%、AIガバナンスをインサイダーリスク管理プログラムに統合しているのは18%にとどまります。EU AI法、金融業界向けのガイダンス、自動意思決定に関する規制強化など、AIツールの従業員利用ガバナンスへの監督強化が進んでおり、ガバナンスフレームワークを持たない組織は対応が困難です。

インシデント記録について、インサイダーリスク投資のコンプライアンス上の意義は、単なる予防にとどまりません。何が起きたか、誰が関与したか、どのような対応がなされたかを証明できることが重要です。最大の財務効果をもたらす特権アクセス管理や行動分析ツールは、同時にコンプライアンス調査に必要な監査証跡やフォレンジック証拠を生成します。インサイダーリスク管理への投資は、規制上の説明責任を支える記録インフラへの投資でもあります。

プログラムが変えるべきこと

2026年DTEXレポートは、新たな脅威環境を描いているわけではありません。より複雑化した、見慣れた環境を描いています。従業員が利用できるツールの進化が、管理フレームワークの進化を上回り、組織が従うべきコンプライアンスフレームワークが、ほとんどのプログラムではまだ記録できないデータフローの説明責任を求め始めているのです。

この環境を効果的に管理しているプログラムは、制御の数が多いものではありません。最も明確な可視性――データの行き先、アクセス者、リスクとなる行動――を持つものです。この可視性こそが、迅速な封じ込め、コンプライアンス記録の実現、そして年間1,420万ドルか2,190万ドルかというインサイダーリスクコストの分かれ目となります。

DTEXの調査結果に基づき、プログラム効果を大きく高める3つの調整があります。第一に、認証情報とデータアクセス権を持つ自律型エージェントも「インサイダー」と定義すること。第二に、遮断よりも可視性を優先すること――人気ツールを遮断すると、従業員は代替手段に移行し、根本行動をなくすのではなく、より見えにくいデータフローを生み出します。第三に、AIガバナンス統合のギャップを埋めること。AIガバナンスがインサイダーリスクプログラムの外にある組織は、従業員のAI利用が増えるほど構造的な死角が拡大します。

2026年にこれらのギャップを埋める組織は、単にインシデントコストを下げるだけでなく、進化する規制環境が求めるデータフローの記録管理を実現できる体制を整えることができます。そうでない組織は、最も高くつく方法――インシデントごとに――自らのリスクを知ることになるでしょう。

よくある質問

正式なインサイダーリスクプログラムがない組織は、すべてのインシデントコストをそのまま負担することになります。2026年DTEX/Ponemonレポートによると、正式なプログラムを持つ組織は、年間約7件のインシデントと820万ドルの漏えいコストを回避しています。2025年の年間平均インサイダーリスクコストは1組織あたり1,950万ドルに達し、前年の1,740万ドルから増加しています。封じ込めは1件あたり247,587ドルで最大のコスト要因となっており、インシデントを30日以内に封じ込めた場合、90日を超える場合よりも年間770万ドルコストが低くなります。

2026年DTEX/Ponemonレポートによると、過失インサイダーが業界を問わず最大のコスト要因であり、インサイダーリスク全体コストの53%(年間1,030万ドル)を占めています。過失による1件あたりの平均コストは747,107ドルで、報告期間中1組織あたり13.8件発生しています。主な過失要因はシャドーアプリ、監視されていないファイル共有、個人用ウェブメールであり、意図的なポリシー回避ではなく、従業員が日々の業務効率化を優先していることが背景です。

シャドーアプリは、医療機関にとってHIPAA上の直接的なリスクとなります。なぜなら、管理されていないツールに転送されたデータには、HIPAAが求める処理契約、保存管理、監査証跡が欠如しているためです。DTEXレポートは、シャドーアプリを過失インサイダーインシデントの最大要因と特定しており、従業員が患者関連資料を含む社内文書をパブリックツールに日常的に貼り付けていると指摘しています。AIガバナンスをインサイダーリスクプログラムに完全統合している組織は18%しかなく、多くの組織がこれらのデータフローについてコンプライアンス上の管理を記録できていません。

データアクセス権を持つ自律型エージェントは、SOXやGDPR上の説明責任義務を生み出しますが、現在の多くのインサイダーリスクフレームワークはこの点に対応していません。2026年DTEXレポートは、構造的なガバナンスギャップを指摘しています。エージェントを人間の従業員と同等のインサイダーリスクとして分類している組織は19%にとどまりますが、44%は悪意あるエージェント利用によるデータ窃取リスクの大幅増加を予想しています。エージェントは従来のログ記録を回避するため、アクセス記録や処理証跡、コントロール証拠が存在しない可能性があります。

封じ込めスピードは、年間インサイダーリスクコストに直接かつ測定可能な影響を与えると、DTEX/Ponemonレポートは述べています。インシデントを30日以内に封じ込めた組織は、年間1,420万ドルをインサイダーリスクに費やしていますが、封じ込めが90日を超える組織は2,190万ドル――年間770万ドルの差となります。2023年から2025年にかけてインサイダーリスク予算比率を8.2%から19%に増やした組織は、平均封じ込め日数を86日から67日に短縮しており、プログラムの成熟度への投資が封じ込めスピードを直接改善することが示されています。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks