2025年のセキュリティインシデントの実態と
セキュリティ予算・投資戦略の最新動向

2026年4月17日、パロアルトネットワークスは「State of Cybersecurity 2026 - 日本の民間企業・公共機関のサイバーセキュリティ施策と投資動向 2026年度版」の調査結果を解説する記者発表会を開催した。本調査は、民間企業および公共機関のセキュリティ分野の決裁権者、意思決定権者752名を対象に実施された。日々進化するサイバー脅威に対してどのような認識を持ち、いかなる対策を講じているのか。さらに将来に向けてどのような戦略を描いているのかを調査したものだ。本記事では、2025年に発生したセキュリティインシデントと事業への影響の実態をはじめ、セキュリティ予算の動向や2026年に向けた優先的な強化項目、さらにユーザー企業である東洋紡とのトークセッションについても紹介する。

　調査によると、2025年中に調査対象者の66％が何らかのセキュリティインシデントを経験している。被害の内訳を見ると、サイバー攻撃による被害が55％、内部不正による被害が35％を占めている。そのうち、サイバー攻撃による被害の45％が身代金要求型の攻撃であり、調査対象全体では約25％がランサムウェア被害を受けている計算となる。業種別では製造業における被害割合が61％と突出しており、他業種と比べても深刻な状況が浮き彫りとなった。

　2025年のセキュリティインシデントについて、三つのトレンドが挙げられると、パロアルトネットワークス チーフサイバーセキュリティストラテジスト 染谷征良氏は語る。

　一つ目が、事業影響の激甚化だ。「セキュリティインシデントを経験した組織の95％が、インシデントに起因する事業継続や組織運営への影響を受けています。具体的な影響としては、生産活動やサービス提供、受発注業務の停止が上位に挙げられます。特徴的なのは、身代金要求を受けたか否かによって、事業への影響の度合いが大きく変わっている点です。身代金要求を受けた場合、事業継続や組織運営への影響がより深刻になります。身代金要求型の攻撃では、データやシステムが利用不能になるだけでなく、社会的信用も脅かされるため、影響が一層大きくなるとみています。これまでセキュリティインシデントはIT部門の課題として捉えられるケースが多く見られましたが、事業影響の激甚化を背景に、現在では経営課題として認識されるようになっています」（染谷氏）

　二つ目は、事業影響の長期化だ。「セキュリティインシデントが発生した組織では、通常業務の遂行が困難な状態が平均で44日間続いています。さらに、約3割の組織では、その影響が1カ月以上に及んでいました。こうした長期化の背景として挙げられるのが、身代金要求型攻撃の存在です。身代金要求型の攻撃では、データやシステムが利用不能となることで、事業影響の期間が約1.5倍にまで延びる傾向があります。加えて、事例は多くありませんが、違約金への対応や損害賠償といった経営判断を伴う対応が必要となる場合も、影響が長期化しやすいです。影響が長期にわたることを前提に考えると、事業継続や通常業務への余波が残る状況を見据え、経営主導で事業継続計画を策定し、対応・復旧体制を整備していく必要があるでしょう」と染谷氏は述べる。

　三つ目が、経済的影響の拡大だ。「セキュリティインシデントでは、対応・復旧にかかる直接的なコストに加え、売り上げへの影響も含めると、平均で約4億円の損失が発生しています。この金額は年々増加傾向にあり、インシデントの深刻化を裏付ける結果となっています。特に、違約金対応や損害賠償が発生した場合には、被害額が一気に1億円規模に膨らむ傾向があります。さらに、身代金要求型攻撃では要求額自体も高額化しており、平均被害額は6.4億円と、そのほかのインシデントと比べて約2.2倍に拡大しています。一方で、セキュリティ責任者の中には、セキュリティインシデントによるビジネスインパクトを十分に分析できていない企業も少なくありません。だからこそ、こうした経済的影響を正しく把握した上で、今後のサイバーセキュリティ投資をどのように位置付けるのかを検討してほしいですね」と染谷氏は語る。

　本調査では、セキュリティ予算の実態についても調査が行われた。調査によると、IT投資全体に占めるセキュリティ予算の割合は平均で15％となった。これについて染谷氏は次のように語る。「数年前までは一桁台が当たり前だった時代もありましたので、その点では前向きに評価すべき状況だと考えています。しかし一方で、そもそもセキュリティ予算をIT予算の一部として捉えるべきなのかについては、改めて考える必要があります。IT予算は、デジタルトランスフォーメーション（DX）をはじめとしたさまざまな取り組みに使われ、プラスの価値を生み出す投資として位置付けられ始めています。それに対して、セキュリティ予算は直接的にプラスを生み出すものではなく、マイナスのビジネスインパクトを防ぎ、最小限に抑えるための投資です。そのため、IT予算とは切り離し、独立した予算としてセキュリティ予算を確保する必要があるのではないでしょうか」と提言する。

　こうした予算をどのように配分していくべきかという観点で、市場において大きな潮流となっているのが、ベンダーツールの集約と統合を進める「Platformization」だ。調査によると、セキュリティ責任者の88％が、導入しているセキュリティツールやサービスが増えすぎていることに課題を感じており、現状の流れを見直す必要があると考えていることが明らかになった。セキュリティベンダーやツールが乱立した結果、運用が複雑化して十分に回らず、コストだけが膨らんでいる一方で、セキュリティ評価が必ずしも向上していない。こうした課題を抱える組織は少なくないのだ。

　では、組織はPlatformizationに何を期待しているのだろうか。調査結果を見ると、「運用コストや外部委託コストの最適化」（50％）、「ライセンスコストの最適化」（49％）が上位に挙げられる。一方で、「インシデント対応力の強化」（44％）や「脅威検出力の強化」（42％）といった項目も高い割合を占めており、この結果から、Platformizationが単なるコスト削減策ではないことが分かる。Platformizationについて染谷氏は、効率化とセキュリティ強化を両立させるための取り組みだと指摘する。

　さらに調査では、Platformizationに対するセキュリティ責任者の懸念事項についても明らかにしている。「『特定ベンダーによる囲い込み』を懸念事項として挙げたセキュリティ責任者は19％にとどまり、懸念項目の中では最も低い結果となりました。これは私自身も意外に感じた点です。では、より大きな課題として何が挙げられているのかというと、『既存ツールごとに異なる契約満了時期』が48％、『既存ツールからの移行に伴う工数』が43％と、いずれも実務面に関わる項目が上位に来ています。この結果からは、ツールの乱立によって運用が複雑化し、コストも増加している現状に対して、多くのセキュリティ責任者が強い課題意識を持っていることが読み取れます」と染谷氏は現状を語る。

　本記者説明会では、パロアルトネットワークスのユーザー企業である東洋紡から、セキュリティを担当するCDO TX・業務革新総括部長 矢吹哲朗氏が登壇し、染谷氏とのトークセッションが行われた。東洋紡は、国内企業の中でも早い段階からPlatformizationの考え方を推し進めてきた企業の一つだ。

　その背景について、矢吹氏は次のように語る。「近年、当社におけるサイバーリスクに対する考え方は大きく変わりました。私が入社する以前に、ランサムウェア被害によって基幹システムの一部が停止する事態を経験したこともあり、2年に1回コンサルティングを導入し、20を超えるセキュリティツールを導入して対策を進めてきました。しかし、セキュリティツールが増える一方で、総合的なリスク予防や投資対効果の算出は非常に難しく、結果としてコストばかりが増大していったのです。こうした背景から、できるだけシンプルにセキュリティ基盤を構築していく方針へと転換しました。複数ベンダーを比較検討した上で、最終的に選んだのがパロアルトネットワークスさまでした」

　矢吹氏は、プラットフォーム化を進める上での課題として「価格が高い」点を挙げる。とはいえ、AIによる自動化を活用することで人件費を抑制でき、結果としてトータルでのコストメリットは生まれると評価している。

　さらに矢吹氏は、セキュリティ予算の在り方についても言及した。「当社のリスクマネジメントはもともと、地政学リスクと自然災害の両輪で考えていましたが、現在はそこにサイバーセキュリティも加わり、大きく三つのリスク領域として捉えています。将来的には、これら全てをリスクマネジメント費用として扱い、セキュリティ予算をIT予算から分離できないかと考えています」