Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > なぜ44%のゼロデイ攻撃がデータ交換システムを標的にするのか:データセキュリティ&コンプライアンス調査結果
なぜ44%のゼロデイ攻撃がデータ交換システムを標的に

なぜ44%のゼロデイ攻撃がデータ交換システムを標的にするのか:データセキュリティ&コンプライアンス調査結果

by Patrick Spencer updated 5月 19, 2025 サイバーセキュリティー・リスク管理
Reading Time: < 1 minutes

エンタープライズデータ交換システムは、高度化するサイバー攻撃の主要な標的となっており、攻撃者が安全なデータ共有を目的としたシステムにますます注目する中、組織はこれまでにないセキュリティ課題に直面しています。この標的化は、規制によるプレッシャーが高まる中で発生しており、セキュリティリーダーはコンプライアンス要件と実用的なセキュリティ対策のバランスを取ることを求められています。

Kiteworksの委託によりCentimentが実施した「データセキュリティとコンプライアンス購買行動調査」は、組織がこれらの課題にどのように対応しているかについて重要な知見を提供します。この包括的な調査は、規制業界がなぜ重要なセキュリティおよびコンプライアンス要件を満たすためにKiteworksのプライベートデータネットワークを選択するケースが増えているのかを明らかにしています。

本ブログでは、調査結果に基づく説得力のある証拠から、セキュリティ意思決定を左右する主な要因を解説します。進化する脅威の状況を検証し、コンプライアンス推進要因を分析し、セキュリティリーダーがデータ保護ソリューション選定時に重視するポイントを明らかにします。

あなたの組織は安全だと信じていますか。しかし、それを検証できますか

今すぐ読む

Table of Contents

2025年に攻撃者がエンタープライズデータ交換システムを標的とする理由

データ交換システムがゼロデイ攻撃に脆弱な理由とは?

Googleの2024年ゼロデイ悪用分析レポートによると、ゼロデイ脆弱性の44%がエンタープライズデータ交換システム、特にマネージドファイル転送MFT)プラットフォームを標的としています。これは、機密データを組織間で移動させるシステムに攻撃者の手法が大きくシフトしていることを示しています。

これらの脆弱性は、組織の最も機密性の高い情報を取り扱うために設計されたインフラを狙うため、特に危険です。Kiteworksのゼロトラストデータ交換アーキテクチャは、すべてのデータ交換が通信チャネルやエンドポイントを問わず認証・暗号化・監視されることで、これらの脆弱性に直接対応します。

過去1年でサードパーティデータ侵害はどのように進化したか?

Verizonの2025年データ侵害調査レポートによると、サードパーティによる侵害は全インシデントの30%に倍増し、特にレガシーなファイル共有や転送ソリューションを標的とした攻撃が急増しています。

調査結果は、約60%の組織がサードパーティデータ交換に対する包括的なガバナンストラッキングやコントロールを欠いているという深刻なガバナンスギャップを浮き彫りにしています。このガバナンスの欠如が攻撃者に悪用されやすい盲点を生み、サードパーティデータ転送がますます重大な脆弱性となっています。

規制業界でセキュリティ意思決定を推進する主なコンプライアンス要因

2025年にセキュリティ優先順位を再編する規制要件とは?

調査は、ベンダー選定時に規制コンプライアンス機能を重視する組織が増加していることを明確に示しており、回答者の31%が最終的なベンダー選定の決定要因としてコンプライアンスを挙げています。この傾向は、GDPRHIPAACMMC 2.0、EUデータ法、2025年9月施行のEU AI法など、複雑な規制に対応する必要性によって推進されています。

組織は現在、コンプライアンス違反に対する重大な罰則を伴う複雑な規制環境に直面しています。調査結果は、特に高度に規制された業界で、コンプライアンスがセキュリティ意思決定プロセスの中心的役割を担うようになっていることを浮き彫りにしています。

なぜセキュリティ認証が決定的な要素となっているのか?

調査から得られた複数の重要な発見が、コンプライアンスの重要性をさらに強調しています:

  • 回答者の56%がベンダー探索段階でセキュリティ認証を「極めて重要」と評価
  • 半数以上がベンダー評価時に十分なセキュリティ情報の入手に苦労している
  • 63%がベンダーと接触する前に詳細なセキュリティ・コンプライアンス情報を積極的に求めている
  • 約4分の1が、主にコンプライアンス不備に起因するセキュリティ懸念でベンダーを却下している

Kiteworksは、FedRAMP ModerateおよびHigh、SOC 2 Type II、ISO 27001、ISO 27017、ISO 27018、IRAP認証など、堅牢なコンプライアンスフレームワークを提供し、グローバル規格へのシームレスな準拠を実現しています。

2025年データセキュリティ&コンプライアンス調査の主なポイント

  1. ゼロデイ攻撃がデータ交換システムを標的に

    エンタープライズのデータ交換システムは高度な攻撃者の主要な標的となっており、Googleの調査によるとゼロデイ脆弱性の44%がこれら重要なプラットフォームに集中しています。この傾向は、チャネルやエンドポイントを問わず、すべてのデータ交換を認証・暗号化・監視するゼロトラストアーキテクチャの導入が急務であることを示しています。

  2. サードパーティデータガバナンスで重大なセキュリティギャップが判明

    約60%の組織がサードパーティとのデータ交換に対する包括的なガバナンストラッキングやコントロールを持っておらず、攻撃者に悪用される死角を生み出しています。Verizonの2025年データ侵害調査レポートでもこの脆弱性が確認されており、サードパーティ経由の侵害が全インシデントの30%に倍増、特にレガシーなファイル共有ソリューションへの攻撃が目立っています。

  3. コンプライアンス対応力がベンダー選定の決定要因に

    規制コンプライアンスは単なるチェック項目から戦略的な必須事項へと進化しており、回答者の31%が最終的なベンダー選定においてコンプライアンスを決定的な要素としています。この優先順位の変化は、GDPR、HIPAA、CMMC 2.0、EUデータ法、EU AI法など、非遵守時に重大な罰則を科す規制への対応がますます複雑化していることを反映しています。

  4. セキュリティ認証要件が事前選別を加速

    セキュリティ認証は信頼の重要な指標となっており、回答者の56%がベンダー調査段階で「非常に重要」と評価し、63%がベンダーと接触する前に詳細なセキュリティ情報を求めています。この事前調査により、ベンダーが気づかないうちに「シャドー評価」で除外されるケースもあり、透明性の高いセキュリティドキュメントの重要性が強調されています。

  5. 連携機能が選定の決定打に

    セキュリティとコンプライアンスがベンダー選定の基盤となる一方で、42%の回答者が連携機能を意思決定プロセスの重要な価値要素としています。さらに、39%の組織が連携機能の不足を理由にベンダーを除外しており、この要素が「好み」から「必須要件」へと進化していることが示されています。

セキュリティ情報ギャップ:購買意思決定前に求められる情報とは

セキュリティリーダーは事前にどのようにベンダーを調査しているか?

調査によれば、回答者の63%がベンダーと接触する前に詳細なセキュリティ・コンプライアンス情報を積極的に収集しています。この事前調査フェーズは、セキュリティリーダーがベンダーとの対話に時間を投資する前に選択肢を絞り込む上で、ますます重要性を増しています。

この情報収集プロセスは購買プロセスの初期段階で行われることが多く、ベンダーが知らないうちに選定から除外される「シャドー評価」期間を生み出します。包括的かつアクセスしやすいセキュリティ文書を提供する組織は、この重要な段階で大きな優位性を得ることができます。

ベンダー評価を妨げるセキュリティ情報の障壁とは?

セキュリティ情報の重要性にもかかわらず、半数以上の調査回答者がベンダー評価時に十分なセキュリティ情報の入手に苦労していると報告しています。この情報ギャップが購買プロセスに大きな摩擦を生み、遅延やベンダー失格の原因となっています。

約4分の1の回答者が、主にコンプライアンス不備に起因するセキュリティ懸念でベンダーを却下したと報告しており、この高い却下率はベンダー評価プロセス全体を通じて透明性と包括的なセキュリティ情報の重要性を強調しています。

2025年にセキュリティリーダーが重視するポイント

なぜ連携機能が決定的な選定要素となっているのか

セキュリティとコンプライアンスがベンダー選定の基盤である一方、調査は実際の導入に関する懸念も購買意思決定に大きく影響していることを示しています。シームレスな連携機能は顧客満足度と長期的な成功に不可欠であり、42%の回答者が連携機能を主要な価値要因として挙げています。

さらに、39%の回答者が連携機能の不十分さを理由にベンダーを選定から除外したと報告しており、この高い除外率は連携が「あると良い」機能から中核的な要件へと進化していることを示しています。

Kiteworksを検討する組織は、エンタープライズ認証・セキュリティ連携、生産性スイートやレガシーシステム対応、自動化・管理ツール、API拡張性など、包括的な連携機能の恩恵を受けることができます。

ベンダーの評判と安定性が長期的なセキュリティ戦略に与える影響

ベンダーの評判と安定性はセキュリティ意思決定プロセスにおいて依然として重要な要素であり、約3分の2の回答者が審査プロセスでこれらの属性を重視し、30%がベンダーの安定性を高い優先事項としています。

この安定性重視の傾向は、セキュリティ導入が長期的なコミットメントであるという認識に基づいています。組織は、実績と明確な事業継続性を持つパートナーを求め、ベンダーの安定性をリスク管理の観点から重視する傾向が強まっています。

データおよびセキュリティ購入者が重視するポイント。データセキュリティ&コンプライアンス購買行動調査の主な調査結果

ゼロトラストアーキテクチャ:現代のプライベートデータセキュリティの基盤

効果的なゼロトラストデータ交換フレームワークの構成要素とは?

ゼロトラストアーキテクチャは、従来の境界型セキュリティから「誰も・どのシステムも本質的に信頼しない」モデルへの根本的な転換を意味します。データ交換においては、すべてのデータ転送があらゆる段階で認証・暗号化・監視されることを保証します。

Kiteworksのゼロトラストデータ交換アーキテクチャは、Googleのレポートで指摘された脆弱性に対し、すべてのデータ交換ポイントで包括的なセキュリティコントロールを実装することで直接対応します。このアプローチにより、攻撃者が利用できる攻撃面を大幅に削減します。

組織はどのようにゼロトラストをプライベートデータ保護に実装しているか?

データ保護のためにゼロトラストを導入する組織は、まず高価値なデータ交換を優先し、徐々にすべての通信チャネルへと保護範囲を拡大する段階的なアプローチを取るのが一般的です。Kiteworksのプライベートデータネットワークは、データ交換に特化したゼロトラスト原則を実装する統合プラットフォームを提供し、この導入を容易にします。

調査結果によれば、データ交換にゼロトラストアーキテクチャを採用した組織は、セキュリティ体制やコンプライアンス状況が大幅に向上しています。このアーキテクチャ的アプローチは、調査で特定された優先事項と直接合致し、セキュリティとコンプライアンスの両方の要件に対応します。

Kiteworksプライベートデータネットワーク:規制業界のニーズに応える

Kiteworksのアーキテクチャが規制業界に最適な理由とは?

Kiteworksのプライベートデータネットワークアーキテクチャは、調査で特定されたセキュリティおよびコンプライアンスの課題に対し、データ保護への包括的アプローチで直接対応します。この統合プラットフォームは、すべての通信チャネルにわたる中央集約型の可視性と制御を提供し、データ交換プロセス全体でゼロトラスト原則を実装します。

調査結果が示すように、組織は堅牢なセキュリティコントロール、実用的な連携機能、強力なコンプライアンスフレームワークを兼ね備えたソリューションを求めています。プライベートデータネットワークアーキテクチャは、これらの要件を満たしつつ、ゼロトラスト原則の実装を簡素化します。

Kiteworksはどのように規制フレームワーク全体でコンプライアンスを支援するか?

調査は、コンプライアンスがベンダー選定における決定的要素となっていることを明確に示しています。Kiteworksは、幅広い規制要件やセキュリティ認証への対応を含む包括的なコンプライアンスフレームワークにより、この優先事項に応えています。

この堅牢なコンプライアンスアプローチは、回答者の56%がベンダー探索段階でセキュリティ認証を「極めて重要」と評価した調査結果に直接対応しています。Kiteworksは包括的な認証カバレッジを提供することで、組織がコンプライアンスプロセスを効率化し、セキュリティ体制を強化できるよう支援します。

まとめ:データセキュリティとコンプライアンスのポイント

2025年データセキュリティとコンプライアンス購買行動調査は、規制業界がKiteworksのプライベートデータネットワークを選択する理由を明らかにしています。攻撃者がエンタープライズデータ交換システムをますます標的とし、Googleの調査によればゼロデイ脆弱性の44%がこれら重要なコンポーネントに集中している今、組織にはセキュリティとコンプライアンスへの包括的アプローチが求められています。

調査の主な発見は、セキュリティリーダーが対処すべきいくつかのトレンドを強調しています:

  • ベンダー選定におけるコンプライアンス機能の重要性の高まり(31%)
  • 信頼指標としてのセキュリティ認証の重要な役割(56%)
  • 連携機能が決定的要素として浮上(42%)
  • ベンダーの安定性と評判への注目の高まり(3分の2以上)

自社のデータセキュリティ体制を強化しつつコンプライアンスを簡素化する方法については、Kiteworksのカスタムデモ。当社のセキュリティ専門家が現在のデータ交換セキュリティをカスタマイズ評価し、プライベートデータネットワークが貴社の課題をどのように解決できるかをご紹介します。

2025年データセキュリティ&コンプライアンスに関するよくある質問

Googleの2024年ゼロデイ悪用分析レポートによると、ゼロデイ脆弱性の44%がエンタープライズデータ交換システムを標的としています。これらの脆弱性は、認証機構、暗号化実装、アクセス制御、監視機能に存在することが多く、レガシーシステムはゼロトラスト原則が標準化される前に設計されているため、特にこれらの問題に対して脆弱です。

ゼロトラストアーキテクチャは、すべてのデータ交換に対して継続的な認証、最小権限アクセス、包括的な暗号化、詳細な監視を実施することでサードパーティデータ侵害から保護します。このアプローチにより、たとえサードパーティのシステムが侵害された場合でも、攻撃者が自社データへ容易にアクセスしたりネットワーク内を横断的に移動したりすることを防ぎます。

調査によると、42%の回答者が連携機能を主要な価値要因とし、39%が連携不十分を理由にベンダーを除外しています。セキュリティリーダーは、IDおよびアクセス管理システム、セキュリティ監視プラットフォーム、データ損失防止システム、機密データを扱う主要業務アプリケーションとの連携を優先すべきです。

Kiteworksのプライベートデータネットワークは、データ交換システムを標的とした脆弱性を軽減するゼロトラストアーキテクチャを実装しています。購買者の31%が決定要因とするコンプライアンス要件を満たす包括的なコンプライアンス機能を提供し、42%が価値要因とする連携オプションも充実。確立された市場ポジションにより安定性への懸念にも対応しています。

調査で約60%の組織がサードパーティデータ交換の包括的ガバナンスを欠いていることが判明しており、この分野の強化が不可欠です。組織は、包括的なサードパーティリスク評価の実施、契約での明確なデータ取扱要件の設定、すべての交換に対する技術的コントロールの導入、サードパーティデータフローのインベントリ管理、サードパーティ侵害に特化したインシデント対応手順の策定を行うべきです。

追加リソース

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks