Press Release

Kiteworksデータフォームレポートが重大なセキュリティギャップを明らかに―44%がフォーム送信経由でデータ侵害を経験、85%がデータ主権管理を求める

Kiteworksは、プライベートデータの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう企業を支援しています。本日、包括的な「2025年データセキュリティ＆コンプライアンスリスク：データフォーム調査レポート」を発表しました。サイバーセキュリティ、リスク、IT、コンプライアンス分野の324名の専門家を対象とした調査により、厳しい現実が明らかになりました。多くの組織は、ウェブフォームの保護に対する自信と実際のインシデント発生率との間に重大なセキュリティギャップを抱えており、データ主権や暗号化要件の高まりから、従来型ウェブフォームからセキュアデータフォームへの急速な移行が求められています。

調査結果は、現代のエンタープライズにおけるウェブフォームの脆弱性を浮き彫りにしています。64%の組織が自社のセキュリティ成熟度を「高度」または「先進的」と評価しているにもかかわらず、過去2年間で88%が少なくとも1件のウェブフォームのセキュリティインシデントを経験し、44%がフォーム送信を通じたデータ侵害を確認しています。

「調査結果は明白です。従来型ウェブフォームの使用をやめ、セキュアデータフォームへ移行してください。」とKiteworksのCMO、Tim Freestoneは述べています。「この調査は、セキュリティリーダーが以前から疑っていたものの定量化できなかった根本的な事実を明らかにしました。従来型ウェブフォームは、エンタープライズデータ保護における最も弱い部分となっています。組織は、財務記録、健康データ、認証情報、政府発行IDなど、最も機密性の高い情報をフォームで収集していますが、多くのフォームソリューションは利便性を重視して設計されており、セキュリティは二の次です。業界は、フォームを単なるデータ入力ツールとして扱うのではなく、軍事レベルの保護、完全なデータ主権、継続的なコンプライアンス検証が求められる重要なインフラとして認識する方向へ進化しなければなりません。」

攻撃の状況：持続的な脅威が明らかに

本レポートは、あらゆる業界でウェブフォームを標的とした広範かつ高度な攻撃が発生していることを記録しています。

• 61%がボットや自動化攻撃による悪意あるトラフィックでフォームが氾濫
• 47%がパラメータ化クエリの普及にもかかわらずSQLインジェクション攻撃を経験
• 39%がクロスサイトスクリプティング（XSS）の脆弱性に直面
• 28%がセッションハイジャックの被害を受けた
• 21%が中間者攻撃を経験

これらの攻撃は、従来型のセキュリティコントロールが広く導入されているにもかかわらず継続しています。データは、プラットフォームレベルでコントロールが存在しても、従来型、埋め込み型、部門所有のフォーム全体で一貫したカバレッジが実現できていないことを示唆しています。

データ主権：譲れない要件として浮上

調査で最も注目すべき発見は、85%の組織がデータ主権を「極めて重要」または「非常に重要」と評価し、61%がコンプライアンスのために厳格に求められていると回答した点です。主権要件は業界を問わず高く、政府（94%）、金融サービス（93%）、ヘルスケア（83%）、テクノロジー（86%）で特に顕著です。

「データ主権に関する調査結果は、フォームセキュリティを巡る議論を根本から変えます。」とKiteworksのアメリカ地域マーケティング＆業界調査SVP、Patrick Spencerは述べています。「組織は主権管理を回避することはできず、市民や顧客のデータが承認された管轄内に留まっていることを証明しなければなりません。従来型フォームソリューションは、マルチリージョン分離や政府クラウド展開を前提に設計されていないため、これらの要件に対応できません。市場は、データレジデンシーを証明できるベンダーとそうでないベンダーに分かれつつあります。」

規制の複雑化が市場の細分化を促進

組織は複数の重複するフレームワークの下で運用しています。92%がGDPR要件に直面し、58%がPCI DSSを満たす必要があり、41%がHIPAAの対象（ヘルスケアでは97%）、政府関係者の75%がFedRAMP認証を求めています。この規制の収束により、セキュリティニーズが大きく異なる明確な市場セグメントが形成されています。

高セキュリティセグメント（政府・金融サービス）は、FedRAMP認証、FIPS 140-3認証済み暗号化、厳格なデータレジデンシー管理を要求します。政府機関は、データの75%が国内に留まることを求め、政府レベルの認証を持たないベンダーを事実上排除します。金融サービスは最も高いリスクプロファイル（90%が財務記録を収集、83%が決済カードを処理）、ヘルスケアは最も機密性の高いデータ（97%が保護対象保健情報を収集）を扱います。調査では、71%が今後6カ月以内にアップグレードを計画しており、その要因は直近のインシデント（82%）や規制要件（76%）です。

検知と対応のギャップが組織の脆弱性を拡大

調査では、運用上の重大なギャップも明らかになりました。82%の組織がリアルタイムの脅威検知機能を持つ一方で、自動化されたインシデント対応を導入しているのは48%にとどまります。つまり、約34%はリアルタイムで攻撃を検知できても、対応はチケット、メール、人手による引き継ぎなど手動プロセスに依存しています。

リアルタイム検知と自動対応を組み合わせている組織は、侵害率が著しく低く、封じ込めまでの時間も短縮されています。データは、検知のみでオーケストレーションがない場合、危険な遅延が生じ、偵察攻撃が本格的なデータ侵害へと発展するリスクが高まることを示しています。

モバイルセキュリティ：利用拡大にもかかわらず遅れ

モバイル端末は現在、フォーム送信の主要チャネルとなっており、71%の組織が全送信の21%〜60%をモバイルから受信しています。しかし、モバイル特有のセキュリティコントロールはデスクトップ向け対策に大きく遅れています。証明書ピニングを「重要」と評価するのは23%にとどまり、生体認証も48%が導入しているものの、高リスクなフローで厳格に運用されることは稀です。

このギャップにより、顧客本人確認、パスワードリセット、福利厚生申請、サービスポータルなど、機密データと脆弱なクライアント側防御が組み合わさるモバイル中心のフォームが攻撃者の標的となり、重大なリスクが生じています。

エンタープライズセキュリティリーダーへの主な推奨事項

本レポートは、フォーム関連リスクを低減するための戦略的な推奨事項を提示しています。

• 全フォームを対象にガバナンスを一元化し、統一されたセキュリティ基準を徹底
• FIPS 140-3認証済みのエンドツーエンド暗号化とフィールドレベル暗号化を実施
• 柔軟な展開オプションを備えたデータ主権コントロールを導入
• リアルタイム監視と自動化されたインシデント対応を組み合わせる
• コンプライアンス証跡の自動生成を推進

「2025年データフォーム調査レポート」全文はこちらからご覧いただけます。

About Kiteworks

Kiteworks’ mission is to empower organizations to effectively manage risk in every send, share, receive, and use of private data. The Kiteworks platform provides customers with a Private Data Network that delivers data governance, compliance, and protection. The platform unifies, tracks, controls, and secures sensitive data moving within, into, and out of their organization, significantly improving risk management and ensuring regulatory compliance on all private data exchanges. Headquartered in Silicon Valley, Kiteworks protects over 100 million end-users and over 1,500 global enterprises and government agencies.

報道関係お問い合わせ先：
Kiteworks広報担当
press@kiteworks.com
(650) 800-1234