「うちは大丈夫」の盲点 Arctic Wolfがセキュリティの人的リスク指摘：過信は禁物

Arctic Wolfの「2025年人的リスクレポート」によると、企業の多くが自社の防御体制に自信を持つ一方で、ヒューマンエラーや誤ったAIツールの利用が侵害の温床となっている。

[TechTargetジャパン]

　アークティックウルフジャパンは2025年10月22日、同社米国本社Arctic Wolfの年次調査「2025年人的リスクレポート」を発表した。本調査は、世界各国のITリーダーや従業員（エンドユーザー）約1700人を対象に実施したもの。その結果、企業が自社のセキュリティ体制に自信を持っている一方、組織内ではヒューマンエラーやリスクを伴う行動が頻発している実態が明らかになった。

企業のセキュリティを脅かす従業員の行動とは

併せて読みたいお薦め記事

巧妙化するフィッシング攻撃の関連記事

• そのSMS、開いて大丈夫？ 攻撃者が「スミッシング」に目を付ける理由
• ChatGPTが悪用されて「見破れない詐欺メール」が続出する未来

　調査によると、ITリーダーの68％（日本では60％）は、「2024年に自社が情報侵害を受けた」と回答しており、この数字は2024年の調査から8％増加した。Arctic Wolfによると、特にオーストラリア、ニュージーランド、英国、アイルランドで増加傾向が顕著だった。

　悪意あるリンクをクリックした経験を尋ねる質問では、ITリーダーの約3分の2、従業員の半数が「経験がある」と回答した。一方、ITリーダーの4分の3は「自社がフィッシング攻撃に引っ掛からない安全な組織である」と回答し、自信を見せた。さらに、悪意あるリンクをクリックしたITリーダーの5人に1人は、それを報告していないことが分かった。

　ITリーダーが、依然としてフィッシング攻撃の主要な標的となっている実態も明らかになった。調査によると、「フィッシング攻撃を受けた経験がある」と回答したITリーダーは39％（日本では29％）、「マルウェアをダウンロードし、感染の被害を経験した」と答えたITリーダーは35％（日本では27％）だった。

実は、生成AIツールに機密情報入力している？

　調査では、生成AIの利用実態と機密情報を入力しているかについても尋ねた。その結果、ITリーダーの80％（日本では60％）、従業員の63％（日本では52％）は生成AIを利用していると回答。そのうち、ITリーダーの60％（日本では51%）、従業員の41％（日本では46%）は生成AIツールに機密情報を入力していると回答した。

フィッシング詐欺への効果的な対応は

　フィッシング攻撃で発生した詐欺被害への対応を尋ねたところ、「詐欺被害に遭った従業員を解雇する」と回答したITリーダーは77％（日本では73％）で、2024年の66％から増加した。一方、詐欺被害を軽減するための研修を重視している企業では、詐欺被害のリスクが88％（日本では83％）減少しており、教育によるリスク低減効果が示された。

　さらに、フィッシング攻撃の基本的な防御策である多要素認証（MFA）を自社の全従業員に義務付けていると答えたITリーダーは全体の54％（日本では40％）にとどまるなど、セキュリティ基盤構築の徹底が依然として課題であることも明らかになった。

　Arctic Wolfのアダム・マレー氏（シニアバイスプレジデント兼CISO）は次のようにコメントしている。「ITリーダーは自社の防御策を過信したり、現場の従業員が生成AIツールをどのように使っているのかといった実態を見落としたりすると、重大な侵害につながる格好の条件が生まれる。ヒューマンリスクは現場任せにするのではなく、組織全体の責任として捉えることが重要だ」