デジタル化の統合が進み、柔軟な働き方が普及するにつれ、ますます多くの企業と消費者がリスクに晒されています。IMFの調査によると、サイバー犯罪による世界の損失額は2027年に23兆ドルに達し、2022年から175%増加すると報告されています。デジタルプラットフォームへの依存度が高まるにつれ、私たちは以下のようなサイバー攻撃にさらされるリスクが増大しています。マルウェアからフィッシング攻撃、サービス拒否攻撃、中間者攻撃まで多岐にわたる。
この脆弱性の高いデジタル環境は、政府と消費者がサイバーセキュリティ対策への認識を高め、データプライバシーに敏感になることを求めています。こうした状況下で、本稿では主要なサイバーセキュリティ統計を分析し、共通するテーマと傾向を抽出することで、進化するサイバー脅威の理解を支援します。以下に示す統計と知見は、既存および新興の脅威・脆弱性を監視し、サイバー攻撃を積極的に検知・防止するための包括的な計画策定に役立ちます。
2025年サイバーセキュリティ概観
ガートナーによれば、生成AI(GenAI)、従業員のセキュリティ対策不足、サードパーティリスク、継続的な脅威への曝露、そしてアイデンティティファーストのセキュリティアプローチが、2024年のサイバーセキュリティ環境を形作る主要トレンドであると指摘しています。経営幹部の約50%が、GenAIがフィッシング、マルウェア、ディープフェイクなどの攻撃能力を向上させると考えています。GenAIが新たなリスクを生み出す一方で、組織がその能力を活用して運用レベルのセキュリティを強化することも可能にします。
第二に、サイバーセキュリティ人材の不足が継続的に企業を苦しめており、需要が有資格者の供給を上回っている。これは2023年に世界のサイバーセキュリティ従事者が12.6%増加したにもかかわらずである。2024年には400万人のサイバーセキュリティ専門家が不足しており、最新技術と革新的な解決策で対応しなければ、2030年までに8500万人に達する可能性がある。
2024年には、回復力のある組織と苦戦する組織の格差が顕著になり、最低限のサイバーレジリエンスを維持する組織の数は30%減少した。レガシー技術とプロセスの変革が別の大きな障壁であるにもかかわらず、リソースとスキルの不足が、これらの組織の52%にとってサイバーレジリエンス設計における最大の課題となっている。
2024年のサイバーセキュリティ予測
サイバーセキュリティ分野におけるジェネレーティブAIの多様な活用事例の中でも、特に有望な機会は「スキル不足」と「不安全な人的行動」への対応である。ジェネレーティブAIの導入により、組織はスキルギャップを埋めることが可能となり、2028年までに初級職種の50%において専門知識の必要性を排除できる見込みだ。
組織は、内部関係者によるサイバーセキュリティインシデントを減らすため、意識啓発から行動変容の誘導へと焦点を移している。GenAIは、従業員の組織内役割や固有の特性を考慮した超個別化された研修教材の作成を支援できる。これにより、組織は従業員起因のサイバーセキュリティインシデントを2026年までに40%削減できる見込みだ。 40% by 2026.
過去2年間で45%の組織がサードパーティ関連の業務中断を経験しており、最高レベルのセキュリティリスクをもたらすサードパーティとの関わりについて、緊急時対応計画の強化とリスク管理の向上に注力する必要があります。より多くの組織がセキュリティ対策にアイデンティティファーストのアプローチを採用するにつれ、アイデンティティおよびアクセス管理(IAM)はサイバーセキュリティにとって重要となり、回復力を向上させるでしょう。
サイバーセキュリティの主な脅威(図表)
サイバーセキュリティの脅威の状況は絶えず変化しており、既存の脆弱性が軽減される一方で、新たな脆弱性が現れています。本セクションでは、最も一般的なサイバーセキュリティ脅威を強調し、組織がサイバーリスクを明確に把握し、軽減策を策定できるようにします。
1. ランサムウェア
- 全攻撃の35%がランサムウェアであり、前年比84%増加しました。
- ランサムウェアは15%増加北米では15%増加した一方、EMEA(欧州、中東、アフリカ)では49%減少した。
- ランサムウェアの70%は中小企業を標的とした。
2. フィッシング
- ジェネレーティブAIの成長によりフィッシング攻撃が1,265%増加
- 標的型サイバー攻撃の多くはメールから始まり、全メール脅威の40%がフィッシング攻撃である
- ビジネスメール詐欺(BEC)はインシデントの6%を占め、そのうち50%のケースでスピアフィッシングリンクが使用されました
3. クラウドセキュリティ
- 2023年にクラウド侵入は75%増加しました
- クラウドセキュリティインシデントの23%はクラウド設定ミスに起因し、 &企業の27%がパブリッククラウドインフラでセキュリティ侵害を経験しています
- 半数以上の組織が、クラウドセキュリティ認証情報を盗む最も一般的な攻撃としてフィッシングを報告しています
4. デバイス攻撃- 2023年、攻撃者はエッジゲートウェイデバイスを悪用し、検知されずにネットワークに侵入する手法を多用した
- インターネット接続デバイスと関連技術を安全と考える組織はわずか4%
5. 分散型サービス拒否(DDOS)攻撃
- DDOS攻撃は31%増加し、サイバー犯罪者は2023年に1日平均44,000件の攻撃を仕掛けた
- 連邦捜査局(FBI)は2023年前半に13のDDoS攻撃代行マーケットプレイスを閉鎖した。同様に、2024年7月には英国当局がDDoS攻撃を代行する違法サービス「DigitalStress」を摘発した。
- 2023年、攻撃者はエッジゲートウェイデバイスを悪用し、検知されずにネットワークに侵入する手法を多用した
- インターネット接続デバイスと関連技術を安全と考える組織はわずか4%
5. 分散型サービス拒否(DDOS)攻撃
- DDOS攻撃は31%増加し、サイバー犯罪者は2023年に1日平均44,000件の攻撃を仕掛けた
- 連邦捜査局(FBI)は2023年前半に13のDDoS攻撃代行マーケットプレイスを閉鎖した。同様に、2024年7月には英国当局がDDoS攻撃を代行する違法サービス「DigitalStress」を摘発した。
AIを活用した攻撃や5Gリスクなど、組織が認識し対策計画を立てるべき脅威は他にも存在する。
脆弱性と侵害統計
企業がデジタル技術やプラットフォームをますます採用するにつれて、データタッチポイントの爆発的な増加により脆弱性が増加しています。全米脆弱性データベース(NVD)は3万件以上の新規共通脆弱性(CVE)を記録し、その半数は高または重大な深刻度と分類されました。
2023年のMoveIt脆弱性やオープンソース界隈のLog4jなど、サイバーインシデントは世界中の組織に多くの課題をもたらしました。さらに、過去10年間でデータ侵害は上昇傾向を示し、200%増加しています。
- 新たな脆弱性は17分ごとに特定・公表されています。全脆弱性の半数は過去5年間に公表されました
- データ侵害件数は2013年から2022年の間に200%増加しました。調査によると、26億件を超える個人記録が2021年から2023年の間に侵害されました
- 2024年、データ侵害の全世界平均コストは 488万ドルであり、前年比10%増でした
- セキュリティチームがデータ侵害を特定・封じ込めるまでの平均日数は277日ですが、認証情報の紛失・盗難を伴う侵害の場合は328日を要します
- ベライゾンの「データ侵害調査レポート」によると、データ侵害の68%は人的要因が共通の根本原因となっている
サイバー攻撃のコストと頻度
IMF(国際通貨基金)によれば、COVID-19パンデミック以降、サイバー攻撃の頻度は倍増している(国際通貨基金)によれば、サイバー攻撃の頻度はCOVID-19パンデミック以降で倍増している。サイバー攻撃の報告コストは様々で、サイバーセキュリティ・ベンチャーズは2025年までに10.5兆ドルに達すると推定している一方、別の予測ではサイバー犯罪のコストが 23兆ドルと予測する見方もある。サイバー攻撃のコストと頻度に関する関連統計は以下の通りです。
- 欧米における従業員1,000名以上の企業へのサイバー攻撃の平均コストは53,000ドル以上と推定される
- 半導体業界ベンダーのMKS Instrumentsは、ランサムウェア攻撃による収益への悪影響を2億ドルと報告した
- 2024年のデータ侵害の世界平均コストは 488万ドルとなり、前年比10%増加した
- セキュリティAIと自動化を積極的に活用してデータ侵害を防止している組織は、活用していない組織と比較して年間平均 222万ドルのコスト削減を実現している
- 組織あたりの年間平均サイバー攻撃件数は3件から4件へ25%増加した
売上高55億ドル超の大企業の75%がサイバー保険に加入している一方、売上高2億5千万ドル未満の企業では加入率はわずか25%です。
2025年の注目すべきサイバーセキュリティ統計
サイバー犯罪者の手口が高度化する一方で、企業組織や消費者はAI駆動型攻撃などの最新脅威に関する情報を常に更新することでリスク意識を高めています。しかし、攻撃のコストと結果を理解し、攻撃を防止する技術、攻撃発生後の影響を最小限に抑える対策計画を把握するため、サイバーセキュリティデータの分析も同様に重要です。最新の動向と進展について最新情報を提供するため、サイバーセキュリティに関する注目すべき事実をいくつか紹介します。
- 2024年には、サプライチェーンサイバー攻撃により183,000人の顧客が影響を受け、前年比33%増加しました
- ガートナーによると、 サプライチェーン組織の60%がは、サードパーティとのビジネス契約や取引において、サイバーセキュリティリスクを重要な評価基準として活用する見込みです
- 暗号化された脅威は2024年に92%増加し、サイバー犯罪者の高度化が進んでいることを浮き彫りにしています
- 2024年前半にマルウェアが30%増加。全マルウェアの15%が主要MITRE TTPとしてソフトウェアパッキングを活用
- 世界的にクリプトジャッキングは60%減少したが、インドでは409%増加
被害額ベースでサイバー犯罪被害が深刻な上位5州
多数の企業と消費者がサイバー犯罪の被害を報告しています。FBIのインターネット犯罪苦情センターによると、過去5年間で326万件の被害が報告され、被害総額は276億ドルに上る。機密情報やデータの侵害、利用者・顧客の安全を脅かすことに加え、サイバー犯罪は深刻な経済的・心理的影響をもたらす。
直接的なコストに加え、サイバー攻撃には間接的なコストも伴います。例えば、弁護士費用、規制当局からの罰金、評判の低下、知的財産の盗難、業務の混乱などが挙げられます。コストは地域や業界によって異なる。データ侵害の最高コストは米国で報告されており、平均 936万ドルである。
以下の表は、米国でサイバーセキュリティ対策が最も不十分な上位5州のデータを示しています。
| 順位 | 州名 | 被害額(百万ドル単位) |
|---|---|---|
| 1 | カリフォルニア州 | 2,159 |
| 2 | テキサス州 | 1021.5 |
| 3 | フロリダ州 | 874.72 |
| 4 | ニューヨーク州 | 749.9 |
| 5 | ニュージャージー州 | 441.1 |
サイバーセキュリティ関連職種とキャリア展望
世界的に、サイバーセキュリティ専門家の需要は供給を上回っています。2024年、米国の需給比率は85%です。過去1年間のサイバーセキュリティ関連の求人総数は47万件と推定されています。組織は通常、サイバーセキュリティ人材の採用にトップダウンアプローチを採用し、組織図の下位役職よりも上級役職を優先的に埋めます。しかし、人材不足とサイバーリスクの性質の変化により、従来型の採用手法は効果が低下しています。組織は、役職ではなく必要な特定能力に焦点を当てた採用手法への転換が必要である。
- 米国労働統計局(BLS)は、2022年から2032年にかけてサイバーセキュリティ分野で 2022年から2032年にかけてサイバーセキュリティ分野で32%の雇用増加が見込まれており、これは全職業平均を大幅に上回る数値です
- 2023 ISC2 グローバル労働力調査によると、世界のサイバーセキュリティ専門家の数は550万人に達しています
- 米国における情報セキュリティアナリストの初任給中央値は年俸112,000ドルです
- サイバーセキュリティ専門家の給与範囲は様々で、アプリケーションセキュリティエンジニアの平均年収は138,180ドル、最高情報セキュリティ責任者(CISO)は244,096ドルです
- 2023年のサイバーセキュリティ分野の未充足求人数は350万件で、その5分の1以上が米国に集中しています
業界別サイバーセキュリティ統計
製造業などの業界は、運用技術システムに対するサイバー攻撃がITシステムよりも深刻な結果(操業停止、停電、爆発など)を招く可能性があるため、リスクが高まっています。以下に示す業界別のサイバー攻撃統計は、事業中断を防ぐための包括的なセキュリティ計画の準備が組織に必要であることを強調しています。
1.製造業のサイバーセキュリティ実態
- 2023年に報告された全インシデントの32.43%を占める最多のサイバーインシデントが発生しているのは製造業である
- 製造業におけるインシデントで最も頻繁に見られた手法はバックドアの設置であり、 全事例の28%で確認された
2. 医療分野のサイバーセキュリティ実態
- 偵察活動は全事例の50%を占め、攻撃者は脆弱性や価値あるデータを偵察していた
- 264%増加した
- 医療データ侵害の平均コストは10%増加し、1,010万ドルに達した
- 過去2年間で、医療組織の約3分の2がサプライチェーン攻撃に直面したと推定される
3. 金融・保険業界のサイバーセキュリティ実態
- 金融・保険業界における攻撃の約4分の3(74%)は顧客の個人情報を対象としたもの
- 金融業界におけるデータ侵害の平均コストは590万ドル
- 金融セクターは ウェブアプリケーション攻撃において最も標的とされる業界です
他業界もサイバー脅威に直面しており、これらのサイバーセキュリティ事実は、2024年の進化する脅威環境に適応するため、あらゆるセクターの組織がサイバー防御を強化する必要性を浮き彫りにしています。
企業がサイバーセキュリティへの投資を増やす中、Singularity™XDRのような包括的なソリューションの導入が不可欠です。このプラットフォームは高度な検知機能、自動化された対応、クロス環境保護を統合したセキュリティを提供し、投資が効果的な防御に結びつくことを保証します。
結論
高リスクなデジタル環境では、サイバー犯罪から身を守るため、政府の積極的な取り組みと消費者・企業の警戒が求められます。サイバーセキュリティ統計は、進化するサイバー脅威の状況を把握する重要な指標であり、組織がデジタル資産を保護するのに役立ちます。&
組織は定期的にサイバー攻撃統計とサイバーセキュリティ事実を検証し、自社の防御体制と対策計画を評価する必要があります。攻撃の大半は人的ミスに起因するため、組織はジェネレーティブAIを活用して人的要素を自動化・排除し、攻撃を未然に防ぐべきです。油断は許されず、組織は常に脅威アクターによる攻撃の試みを阻止する態勢を整えていなければなりません。
サイバーセキュリティの未来は、自動化、AI、次世代エンドポイント保護にあります。SentinelOneのSingularity™ Endpoint SecurityはAIを活用し、脅威を自律的に検知・遮断・対応することで、進化するサイバーセキュリティ環境に向けた先進的なソリューションを提供します。
FAQs
2024年のサイバーセキュリティを牽引する最大の要因はジェネレーティブAI(Gen AI)となるでしょう。Gen AIは悪意ある攻撃の増加に寄与する一方で、組織がサイバーセキュリティスキル不足や従業員起因のサイバーインシデントを軽減する助けにもなります。組織はAIアルゴリズムを活用し、脅威をリアルタイムで分析・特定・無力化します。
メリーランド大学の研究によると、サイバー攻撃は39秒ごとに発生しており、1日平均2,244件に相当します。
CheckPointの調査によると、2024年第2四半期の世界的なサイバー攻撃は30%増加し、
組織あたり週1,636件の攻撃に達しました。組織は脅威アクターに一歩先んじるため、特に自社の業界分野におけるサイバー攻撃統計を定期的に監視すべきです。
全サイバーインシデントの90%は、脆弱なパスワードの使用やフィッシング攻撃への被害など、人的ミスや行動が原因です。これらのミスはサイバー犯罪者が脆弱性を悪用する侵入経路となり、データ侵害やその他の攻撃につながります。
ほぼ全ての (98%) サイバー攻撃ではソーシャルエンジニアリングが用いられます。これは、サイバー犯罪者が社会的スキルを活用し、個人や組織の認証情報を悪意ある目的で侵害する手法です。手法には、フィッシングや餌付け(ベイト)による個人操作で機密情報を漏洩させるものなどが含まれます。
統計データは、リスク、脆弱性、およびセキュリティ対策の効果に関する洞察を提供します。組織がリスク評価と管理、異常検知、セキュリティパフォーマンス測定、トレーニング、意識啓発を行うのに役立ちます。