サイバー攻撃で上場企業の7割が「業績修正」 自信過剰な企業の“死角”とは？：平均2億円の身代金支払い

調査によると、サイバー攻撃を受けた上場企業の7割が業績見通しの修正を余儀なくされている。それにもかかわらず、およそ半分の企業は対策に自信を持っているという。なぜ自信と実態にこれほどの差があるのか。

[TechTargetジャパン]

　セキュリティベンダーCohesityが発表した「Global Cyber Resilience Report」が、企業経営層に冷や水を浴びせている。世界3200人のITおよびセキュリティ分野の意思決定者を対象とした2025年9月の調査で、76％の企業が過去に重大なサイバー攻撃を経験していたことが判明した。

　被害はIT部門にとどまらない。上場企業の70％が攻撃を受けた後に業績見通しの修正を強いられ、未公開企業の73％が成長資金を復旧費などに振り替えたと回答した。回答者全体の92％が法的措置に直面するなど、影響は広範に及ぶ。身代金の平均支払額は130万ドル（約2億円）に達しており、サイバー攻撃は今や明確な財務リスクだ。

　ところが、回答者の47％は自社のセキュリティ対策に「完全な自信」を持っているという。予算を投じて対策を万全にしたつもりでも、なぜ企業はデータやシステムの復旧に失敗し、自信とは裏腹の結果を招くのか。データを読み解くと、多くの企業が見落としている「致命的な死角」が浮かび上がってきた。

「バックアップがあれば安心」ではない

併せて読みたいお薦め記事

セキュリティ対策としてのバックアップ

• 二重脅迫にサプライチェーン攻撃　ランサムウェア攻撃“要警戒の手口”と対策は
• ランサムウェアで考える“バックアップがあるだけ”では無意味な理由

　本調査は日本を含む世界11カ国、従業員1000人以上の大規模企業に所属するITおよびセキュリティ意思決定者3200人を対象に実施された。回答企業の業種は金融、公共、ヘルスケアなど多岐にわたる。

　企業に共通する最大の落とし穴は、データ保護システムの断片化だ。調査によると、バックアップとリカバリーを単一システムで一元管理できている企業は39％にとどまる。残りの企業は、複数の製品を使ってバックアップシステムを運用している状態だ。

　このような“つぎはぎ”の運用方法は、バックアップデータの可視性を低下させ、有事の際の復旧を複雑にする。攻撃を受けた際、「マルウェアに感染していない、復旧できることを検証済みのバックアップデータ」をすぐ特定するのが難しいためだ。実際、回答者の37％が、攻撃後に安全なデータを確保できなかったと説明している。

　バックアップデータ自体の保護も不足している。データの改ざんを防ぐ「イミュータブル」（不変）ストレージを活用している企業は44％に過ぎない。バックアップデータそのものを標的にする攻撃者にとって、高度な保護機能を持たないバックアップデータは、最後のとりでとして機能しない恐れがある。

AI活用で広がる「防御格差」

　もう一つの重要な視点はAI（人工知能）技術の活用だ。81％の回答者が、生成AIの進化スピードに自社のリスク管理が追い付いていないと危機感を募らせている。攻撃者がAI技術を悪用して攻撃を巧妙化させる中、企業もAI技術を活用して対抗することが不可欠だ。

　調査では、AI技術を活用した脅威検出やインシデント対処の自動化を導入している企業ほど、レジリエンスの成熟度が高い傾向にある。ただし、そうした機能をセキュリティ運用の中核に据えている企業は一部だ。データ復旧プロセスにおける自動化の遅れは、システムのダウンタイム（停止時間）の長期化に直結する。

　CohesityのCEOであるサンジェイ・プーネン氏が指摘するように、サイバーレジリエンスは「テクノロジーの問題」から「ビジネスの必須要件」になった。防御一辺倒の投資から脱却し、侵害を前提とした「迅速な復旧能力」に経営資源を配分すべき時が来ている。