何に直面しているのかを知らなければ、それに対して防御することはできません。そして時には、信頼している最も身近な人々が、最悪の形で裏切ることもあります。悪意のあるインサイダーは何十年も前から存在しており、クラウドセキュリティやサイバーセキュリティの分野でも減少していません。
AI時代が進み、企業が適応型かつ高度なセキュリティソリューションを導入し続ける中、インサイダー脅威も巧妙化し、新たな手法で侵入を図っています。本記事では、業界別のインサイダー脅威の最新動向を解説します。2026年の最新インサイダー脅威統計やその他のインサイトを以下でご紹介します。
.jpg)
世界のインサイダー脅威統計
2026年時点で把握しておくべき世界のインサイダー脅威統計は以下の通りです:
- 2026年、インサイダーインシデントの年間コストは1組織あたり1,950万米ドルに達しました。2年間で20%増加しており、この増加の大きな要因の一つがシャドーAI攻撃です。
- 悪意のあるインサイダーによる1件あたりの平均被害額は490万米ドルです。人的過失がこれらの攻撃頻度増加の主因の一つであり、企業は年間平均1,030万米ドルの損失を被っています。
- インサイダー攻撃の発生頻度は、1か月あたり約2件に上る場合があります。封じ込めまでの期間は現在67日まで短縮されており、これは行動インテリジェンスへの投資増加による最速の改善です。
- 30日以内に封じ込められたインサイダーインシデントの年間平均コストは1,420万米ドル、90日以内の場合は2,190万米ドルです。
- 機械およびAIアイデンティティと人間従業員の比率が82対1に達し、インサイダー脅威の追跡がますます困難になっています。
インサイダー脅威の種類別統計
- インシデントの約55%〜56%は過失によるインサイダーに起因しています。これは最も一般的なインサイダー脅威のタイプであり、従業員が人的ミスにより意図せず被害をもたらすケースです。フィッシングに引っかかったり、会社のデバイスを紛失したり、データベースの設定ミスを起こしたりします。
- 契約業者やビジネスパートナーは、世界全体のインサイダー脅威の15%〜25%を占めています。インシデント1件あたりの組織の年間平均コストは1,950万米ドルに上昇しています。
- インサイダー封じ込め活動の年間平均コストは1件あたり最大247,587米ドルです。
- インサイダー攻撃のエスカレーションコストは、未検出または長期間放置された場合、1件あたり平均39,728米ドルに上ります。
- 成熟したインサイダープログラムを導入している企業は、年間平均7件のインシデントを防止し、インサイダーブリーチによる年間最大820万米ドルの損失を回避できます。
- クラウド侵害の70%はソフトウェアの脆弱性ではなく、IDの侵害が原因です。AIはインサイダーデータ流出や悪用の新たな管理されていない経路を増やしています。現在、企業の53%がAIツールにクラウドソリューションや生産性・コラボレーションスイートへの完全アクセスを許可しており、リスクが高まっています。
- セキュリティリーダーの73%が、許可されていないシャドーAIアクセスによるインサイダーベースのデータ漏洩や損失を懸念しています。従業員の23%が、企業による禁止にもかかわらずシャドーAIツールを使用していると報告されています。
業界別インサイダー脅威インシデント
- ヘルスケア業界は1件あたり最大1,260万米ドルの侵害コストに直面しています。金融サービスはインサイダー脅威による年間平均コストが2,068万米ドルと最も高額です。
- テクノロジーおよびSaaSプロバイダーは、ソースコードの窃取、APIキー、アクセストークンに関連するインサイダーインシデントが頻発しています。2026年の大規模なインサイダー脅威統計レビューでは、特権乱用や認証情報窃取の発生率が高く、アイデンティティの拡散が日常的なアクセスをインサイダーリスクに変えていることが示されています。
- ヘルスケア分野では、内部関係者が約30%の侵害を引き起こしており、エラーや誤用を含めると内部要因によるインシデントの割合は70%近くに達するという報告もあります。電子カルテへの大量アクセスにより、小さなポリシー違反が重大なインサイダー攻撃に発展しやすくなっています。
- 金融サービスでは、インサイダーが約22%の侵害に関与していますが、関連する活動コストは業界の中でも最も高い水準にあります。詐欺、アカウント乗っ取り、市場に影響を与えるデータなど、インサイダーがアクセスを現金化する直接的な手段が多く、2026年のインサイダー脅威統計は金銭的動機の増加を示しています。
- 製造業と小売業では、インサイダー関与の割合がそれぞれ約14%、3%と低めです。しかし、件数が少なくても、損失は営業秘密、製品設計、フォーミュラなどに集中し、1件のインサイダーインシデントで製品パイプラインが恒久的に弱体化することもあります。
- 行政機関や教育機関では、意図的なインサイダー攻撃は少ないものの、非悪意的なエラーが多く発生しています。誤送信ファイル、共有設定ミス、記録の誤管理などが、2026年のインサイダー脅威統計の政府・学術分野のまとめで繰り返し指摘されています。
組織規模別インサイダー脅威
- 従業員75,000人超の大企業では、インサイダーインシデント対応の年間平均コストが2,460万米ドルに達し、従業員500人未満の企業(年間平均800万米ドル)の約3倍となっています。
- これら大企業は、数百のSaaSアプリケーション、数千の特権アカウント、数百万の機械アイデンティティなど、はるかに大規模なアイデンティティ管理を担っています。こうした大規模雇用主では、インサイダー脅威が一過性の危機から継続的かつ運用上のリスクへと変化しています。
- 中堅企業はインサイダーインシデントの総数は少ないものの、1件ごとの影響をより強く受ける傾向があります。多くは専任のインサイダー脅威検知チームや正式な対策プログラムを持たず、調査が長引き、復旧のためにスタッフが本来業務から離れることになります。
- 小規模組織はインサイダー脅威の件数自体は少ないものの、認証情報窃取やビジネスメール詐欺の事例で過大に代表されています。職務分掌が限定的なため、1人の従業員が支払い、ベンダー登録、顧客データを同時に管理しているケースが多く、1人の不正や侵害で大きな影響が出ます。
インサイダー脅威の経済的影響統計
- インサイダーによる組織の年間平均損失は1,740万〜1,950万米ドルです。過去数年でインサイダー脅威の検知率が上昇するにつれ、推定コストも増加しています。
- セキュリティ管理者にとってのインサイダー脅威インシデントの推定コストは組織によって異なりますが、ほとんどの推定値は1件あたり1,200万〜1,800万米ドル(調査、ダウンタイム、法的費用、復旧努力を含む)です。英国の追加調査では、インサイダー主導のインシデント1件あたり平均960万ポンドの損失が報告されています。また、組織は毎月約6件のインサイダー関連インシデントを経験していると報告されています。
- 1件あたりの数値を見ると、悪意のあるインサイダーブリーチは高額(6桁後半〜7桁前半)に集中しています。悪意のあるインサイダーイベントは1件あたり約70万米ドル、認証情報窃取事例はそれをやや下回る水準とする報告もあります。
- 封じ込めは最もコストがかかるフェーズの一つで、1件あたり約17万9,000〜21万1,000米ドルです。監視や分析への継続的な支出と比べてはるかに高額です。そのため、早期検知やインサイダー脅威予測のわずかな改善でも、対応コストの大幅削減につながります。
インサイダー脅威の検知・封じ込め統計
- 組織はインサイダーインシデントの検知・封じ込めまでの平均期間を70〜80日と報告しており、過去より短縮されたもののリアルタイムには程遠い状況です。リモートケースでは、異常行動を検知してから封じ込めまで平均81日かかる場合もあります。
- 侵害から完全封じ込めまでの平均ライフサイクルは約241日で、AIや自動化を活用する組織ではこの期間が約80日短縮されています。同様のツールが、アイデンティティ・アクセス・行動を相関させる多くのインサイダー脅威検知プラットフォームの基盤となっています。
- セキュリティリーダーの93%が、インサイダーインシデントは外部攻撃よりも検知が難しいと考えており、83%が過去1年に少なくとも1件のインサイダー攻撃を経験しています。アラート疲労、ノイズの多いログ、断片化したツールが、微妙なインサイダーリスクの調査を遅らせています。
- 一方、専任のインサイダーリスクプログラムを持つ組織の65%は、そのプログラムが潜在的な侵害を早期に発見した唯一のコントロールだったと回答しています。これらのチームは、行動分析やアイデンティティインテリジェンスを活用し、事後対応からデータ流出前の予測的対策へと移行しています。
リモートワークとインサイダー脅威統計
- 大規模なリモートワーク導入後、インサイダー脅威は約58%増加し、83%の組織が1年で少なくとも1件のインサイダー攻撃を報告しています。約63%が、リモートワークがインサイダーまたはアカウント侵害を伴うデータ侵害に直接寄与したと回答しています。
- リモートワーカーはオフィス勤務者と比べて、意図せずデータを漏洩するリスクが約3倍高く、組織あたり年間平均1,740万米ドルのインサイダーリスクコストを生み出しています。家庭内ネットワーク、共有デバイス、非公式な作業パターンが、従来のコントロールでは見逃される隠れたアクセス経路を増やしています。
- BYOD(私物端末利用)ポリシーはほぼ普及しており、95%以上の組織が業務で個人端末の利用を許可し、48%がそれら端末に関連する侵害を報告しています。同時に、72%の組織が従業員による機密データのエンドポイントやSaaS間での取り扱いを完全に可視化できていないと認めています。
- FBIのインサイダー脅威統計や広範なサイバー犯罪データは、リモート・ハイブリッドワーカーがアカウント乗っ取り、ランサムウェア準備、データステージングの持続的な攻撃対象であることを強調しています。これらの傾向は、2026年のインサイダー脅威統計のリモート曝露に関する議論の中心となっています。
特権アクセスと認証情報悪用統計
- 認証情報の悪用や特権アクセスの乱用は、最近の侵害調査の約22%で初期アクセスベクターとして登場しています。この割合はエクスプロイト主導の侵入に匹敵し、サイバーセキュリティにおけるインサイダー脅威が有効なアカウントのリスキーな利用から始まることを示しています。
- アナリストは、特権を持つ悪意のあるインサイダーによる侵害は1件あたり平均約490万米ドルと、追跡されている中で最も高額なシナリオの一つであると指摘しています。これらのケースは、長期間の潜伏、静かなデータ流出、重要システムへの深いアクセスが組み合わさることが多いです。
- 一部の調査では、過剰な特権を持つサードパーティがインシデントの約34%を占めており、ベンダーやサービスプロバイダーが事実上のインサイダーとなっています。共有管理者アカウントや不透明なリモートアクセス経路により、リスキーな行動の背後にいる人物の特定が困難になっています。
- インサイダー脅威事例に関する別の調査では、認証情報窃取インシデント単独で1件あたり平均67万9,000〜77万9,000米ドルとなっています。攻撃者は認証情報を購入またはフィッシングで入手し、リモートアクセスツールやクラウドコンソールを使って通常の管理作業に紛れて活動します。
インサイダー脅威によるデータ流出統計
- データ侵害の約60%は、悪意のあるインサイダー、ポリシー違反、フィッシング被害者による不適切なデータ移動など、直接的な人的要素が関与しています。多くのインサイダーインシデントは、アクセスの悪用から完全なデータ流出へと発展します。
- 一部のインサイダーリスク調査では、非悪意的なインサイダーが追跡されたイベントの約75%を占めており、過失行為と外部攻撃者に騙されたユーザーに分かれています。意図がなくても、これらのインシデントはしばしば無許可のダウンロード、クラウドへのアップロード、機密ファイルのメール転送で終わります。
- UEBAやDLPベンダーは、大量の外部転送、非承認クラウドストレージ、大規模なファイル暗号化に関連するアラートの増加を報告しています。72%の組織が、エンドポイント、コラボレーションアプリ、外部ドメイン間でデータがどのように移動しているかを詳細に可視化できていません。
- 2026年のインサイダー脅威統計の一部では、サードパーティやサプライチェーンの侵害が2番目に多く、2番目にコストの高い侵害ベクターとなっており、平均約490万米ドルです。一度パートナーアカウントが信頼境界内に入ると、そのデータアクセスは内部ユーザーと同等になります。
インサイダー脅威の防止・監視統計
- 組織は現在、サイバーセキュリティにおけるインサイダー脅威を、新たなアイデンティティファーストセキュリティ投資(ジャストインタイムアクセスや継続的認証など)の主な理由として挙げています。予測では、インサイダー脅威検知やインサイダーリスクプラットフォームが2020年代を通じて最も成長が速いセキュリティカテゴリとなっています。
- インサイダーインシデントの約75%は非悪意的なインサイダーに起因していますが、インサイダーリスクプログラムを持つ組織の65%が、そのプログラムによって侵害前にリスキーな行動を発見できたと回答しています。この変化は、事後の処罰よりもインサイダー脅威の緩和に重点を置く傾向を反映しています。
- リモートワークに関する調査では、セキュリティ専門家の70〜75%が、ハイブリッドワークフォースを最大の新興インサイダーリスクと位置付けており、多くの外部脅威を上回っています。この認識が、UEBA、DLP、インサイダーリスクに特化したユーザーアクティビティ監視の導入拡大を促しています。
- 組織の71%が依然としてインサイダー攻撃に対して中程度以上の脆弱性があると報告しており、半数以上が1年で6件以上のインサイダーインシデントを経験しています。
インサイダー脅威統計からの主なポイント
2026年の最新インサイダー脅威統計から得られる主なポイントは以下の通りです:
- インシデントはより頻繁かつ高額化し、業界横断的に発生しており、1組織あたりの年間損失は1,700万米ドルを超えています。金融、ヘルスケア、大企業が世界的なインサイダー脅威に最もさらされています。
- 多くのインサイダーリスクは、映画のような派手な攻撃ではなく、過失、アクセスの拡散、サードパーティの悪用が継続的に発生しています。一方で、認証情報の悪用や特権インサイダーが最も高額なシナリオの背後に静かに存在しています。
- リモート・ハイブリッドワークは脅威モデルを変化させ、インサイダーがより多くのインシデント、長期化する封じ込め期間、高額な復旧費用に関与しています。シャドーIT、BYOD、管理されていないAIツールが、機密データの移動範囲と移動可能者を拡大しています。
注: 本ブログのインサイダー統計は、世界的な侵害開示、法執行データ、独立したインサイダーリスク調査、2026年初頭までに公開された大規模企業調査を組み合わせたものです。これらは、セキュリティリーダーがセキュリティコントロールやロードマップの優先順位付けに活用できる最新のインサイダー脅威統計の展望を提供します。
SentinelOneのbehavioral AIは、正規の認証情報が使用されている場合でも、ユーザーの通常のベースラインから逸脱した異常なアクティビティを検知するのに役立ちます。ライブプロセスを監視し、不正アクセス、特権昇格攻撃、異常なファイル変更など、マシンスピードの悪意ある行為を特定できます。SentinelOneのStoryline™ technologyは、数百万件のイベントを相関し、可視化マップを作成することで、セキュリティチームがネットワーク全体で脅威の起点を追跡できるようにします。
インサイダー脅威の検知に最適なSentinelOne製品は、Singularity™ Endpoint、Singularity™ Identity、Singularity™ Network Discoveryです。SentinelOne Wayfinder MDRも、微妙かつ高度なインサイダー脅威を24時間365日ハンティングする専門アナリストの活用に推奨されます。
ライブデモを予約して詳細をご確認ください。
インサイダー脅威統計に関するFAQ
この問題は多くの人が考えているよりもはるかに一般的です。組織は毎月約6件のインサイダーによるインシデントに対応しており、セキュリティリーダーの66%が今後1年でインサイダーによるデータ損失がさらに増加すると予想しています。もはや珍しいことではなく、現在は常に発生しています。単なるミスであれ、悪意を持った従業員であれ、これらのインシデントは多くの企業で定期的に発生していることを認識しておく必要があります。
全データ侵害の約22%はインサイダーに起因しています。興味深いことに、組織の42%が最近、悪意のあるインサイダーによるインシデントの増加を確認しており、同じ割合が従業員の過失による問題の増加も報告しています。したがって、侵害対応を行う場合、インサイダーが関与している可能性が高いと言えます。不注意な従業員と悪意を持つ従業員の両方が、現在は同じくらい問題を引き起こしています。
最近のデータによると、1件あたりの平均コストは約1,310万ドルです。組織ごとの年間総コストを見ると、Ponemon Instituteによれば2026年には1,950万ドルに上昇しています。これは2023年から20%の増加です。これらの月次インシデントを合計すると、一部の企業では年間で約10億ドルのリスクとなります。急速に積み重なります。
知的財産、顧客リスト、戦略文書が主な対象です。特に不満を持つ従業員や退職予定者がいる場合に多く見られます。現在大きな問題となっているのが「シャドーAI」で、従業員が内部文書をChatGPTのようなパブリックツールに無意識に入力してしまうケースです。これにより見えないデータ損失経路が生まれます。個人メールやファイル共有サイトの利用による過失が、インサイダー関連損失の半数以上を占めています。
AIが現在の大きな変化要因ですが、良い意味ではありません。攻撃者はAIを使ってインサイダーを勧誘したり、非常に巧妙なフィッシングメールを作成したりしています。また、従業員がAIツールを誤用したり、大量のデータを持ち出すために利用したりするケースもあります。組織は、過剰な権限を持つAIエージェントが新たなインサイダーリスクになることを懸念しています。脅威は単なる人的ミスから、人と機械が組み合わさったリスクへと移行しています。
