マーシュのサイバーリスクに関するバイヤー対象の調査(Marsh’s Cyber Buyer Study)によると、アジアに拠点を置く組織のうち、サイバーリスク管理およびリスク軽減の取り組みに対して十分な自信を持っているのはわずか50%であり、これは世界のどの地域よりも低く、世界平均の72%を大きく下回っています。
回答者の3人に1人が、ランサムウェアとデータ侵害を最大のサイバーリスクの懸念事項として挙げています。
アジアにおける最大のサイバーリスク懸念事項は以下の通りです。
- ランサムウェアは依然としてアジア地域で最も蔓延しているサイバーリスクであり、回答者の33%が最大の脅威と回答。
- 続いて企業の機密情報の紛失を伴うデータ侵害(29%)と、個人データの盗難や漏洩を伴うプライバシー侵害(28%)であり、いずれも機密性の高い企業情報や個人情報をさらすものとして懸念しています。
アジア各国の関係省庁もAIを活用したサイバー攻撃の頻度と深刻度が高まることで、事業の中断、金銭的損失、および評判損失に繋ることを警告しています。
- 日本では、政府システムや重要インフラを標的とした高度なサイバー攻撃が2023年以降に激増し、製造業や卸売業において長期にわたり供給がストップするなど、ランサムウェア攻撃においてアジアで深刻な影響を受けている市場のひとつとなっています。
- シンガポールのサイバーセキュリティ庁は、犯罪者がAIを活用して攻撃手法を自動化および高度化させたことを背景に、2024年のランサムウェア被害件数が21%増加したと報告しました。
- 韓国の科学技術情報通信省は、2025年のサイバーセキュリティ侵害件数が前年比26%増加したと報告しました。この増加の一因は、AIを活用した自動化や組織的な攻撃によって、さらに高度化したハッキング戦術にあります。
本調査によるとアジア太平洋地域の企業の10社中9社が、AIを活用したソーシャルエンジニアリング攻撃、ディープフェイク、および詐欺の増加を予想しています。
AIを使った詐欺の手口がますます巧妙になり、人間の心理を突くような誘導や、偽サイトなどのフェイクが高度化した結果、企業や金融機関でこれまで機能していた安全対策やルールではカバーできず、詐欺被害が増えると予想されています。このような詐欺による被害において、64%の企業が金銭的損失を最も大きな心配事として挙げ、アジアの企業の90%近くが、今後もAIを使った詐欺の手口が高度化すると予想しています。
AIの技術進化が防御を上回るのと同時に、人間の意識に巧妙につけこむというリスクが脆弱性に拍車をかけています。
構造的要因、技術的要因、人的要因が複合してサイバーリスク環境が形成され、企業が速度についていくことが困難な状況です。本調査は、その主な要因を次のように示しています。
1. 回答者の5人に1人が、新たに出現するサイバー脅威に対応に遅れを覚えていると報告
AIを含む技術は目まぐるしい速さで進化しており、多くの組織の対応能力を上回っています。回答者の5人に1人が新たなサイバーリスクに追いつけず、防御と脅威の間のギャップが拡大していると述べています。
2. 人為的ミスとサイバーに関する知識不足が依然として大きな脆弱性を招いている。
サイバー侵害のほぼ95%が人為的ミスに起因しています。マーシュのデータによると、2026年において企業にとって最大の人的リスクはサイバー脅威に対する知識不足であり、続いて個人データや知的財産データの取扱いの誤りが上位に挙げられています。
3. アジア太平洋地域でサイバーセキュリティ専門家の人材不足が推定260万人にのぼり、需要が供給を上回る。
アジアにおける人材リスクでは、人材の「技術スキル不足」が上位5位に入ります。アジアの企業の67%がサイバー人材への投資を計画している一方で、推定260万件の未充足のポストがあり、世界で最大の人材ギャップに直面しています。人材不足は事故対応の遅れ、セキュリティ上の脆弱性の拡大を招き、成熟した統合的なサイバーリスクマネジメントと緩和策のプログラムを構築する環境を阻害します。
サイバー対策が不十分:サイバー請求が増加する中、アジアは世界のサイバー攻撃の30%超を占めています。
本調査によれば、サイバー攻撃およびソーシャルエンジニアリング被害の3分の1超はアジアの企業が受けています。企業はサイバー対策やインシデント対応の準備を重視している一方で、サイバーリスクに関するリスク移転(保険)を見落としがちです。
現状はサイバーセキュリティ技術対応(脅威検知、ネットワーク保護、エンドポイントセキュリティ、継続的モニタリングを含む)が予算の最も大きな割合(21%)を占めています。
- サイバーインシデント対応と情報漏洩管理はサイバー関連予算の20.6%を占めており、攻撃に対する迅速かつ効果的な対応の重要性を示しています。
- 上記のような重点的な投資にもかかわらず、サイバー請求の通知件数は2022年から2024年にかけて50%増加しました。それでもサイバー保険および商業犯罪保険に充てられる予算はわずか15.6%にとどまり、サイバーリスク関連予算の中で2番目に優先度が低い項目となっています。
サイバー保険と企業犯罪保険を、サイバーセキュリティおよびインシデント対応体制と統合することで、サイバーレジリエンスに対する信頼のギャップを埋めることが重要です。
サイバーレジリエンスを強化するには、サイバーリスクマネジメントとサイバー保険を統合した包括的なアプローチが必要です。AIを活用したサイバー脅威が激化する中、企業は防御、検知、対応、復旧に注力しなければなりません。サイバー保険を通じたリスク移転は、データ復旧、侵害調査、規制当局からの罰金、事業中断に関連する費用など、サイバー攻撃やソーシャルエンジニアリング攻撃による財務的損失に対する最終的な安全策として、極めて重要な役割を果たします。
現在の保険市場は、リスクプロファイルが良好であれば買い手に有利な状況になるため、アジアの企業にとってサイバーレジリエンス強化を進めることが戦略的にも有利な状況です。このアプローチには、AIを活用したサイバー攻撃、ソーシャルエンジニアリング攻撃、および人的リスクに対する理解、評価、管理、対応が含まれ、企業のレジリエンスを強化することを目的としています。
事例:フィッシング攻撃を受けた金融機関が、商業犯罪保険およびサイバー保険によるリスク移転を通じて、170万ドルの損失を回復。
ある金融機関の例では、Microsoft 365のログインページを装ったフィッシングリンクを通じて、攻撃者が財務担当役員のメールアドレスを偽装し、内部の支払指示を改ざんした結果、150万ドルの不正送金が発生しました。
しかし、商業犯罪保険を通じて損失を回収し、サイバー保険により、デジタルフォレンジックおよび調査費用として20万ドルが補償されフィッシング攻撃の事実を解明しました。
