日経225企業の96％が情報漏えいを経験 最も漏えい率の高い業界は：IT調査ピックアップ

ある調査によると、日経225構成企業のうち96.4％で、過去3年間に情報漏えいが確認された。漏えい率は業界によって大きな差があり、最も高い業界の漏えい率は最も低い業界の23倍を超えていた。最も漏えい率が高いのはどの業界か。

[金澤雅子，ITmedia]

　アイデンティティセキュリティ基盤を提供するジョーシスは2026年6月11日、日経平均株価（日経225）構成企業とそのグループ企業を対象にしたサイバーセキュリティに関する独自調査の結果を発表した。同調査では、ダークウェブなどで企業の情報として流通している認証情報や個人情報を分析している。

　日経225構成企業225社のうち217社（96.4％）で、過去3年間における情報漏えいが確認された。漏えい件数の合計は27万9206件に上り、対象企業の従業員数合計（異常値の1社を除く224社で956万4043人）に対する漏えい率は2.9％だった。従業員100人当たり約3人分の認証情報が漏えいしている計算になる。

　なお調査結果の数値はダークウェブなどで「当該企業の情報として流通している件数」だ。ジョーシスは「実際には当該企業の情報でないものや、既に無効化された情報が含まれる可能性がある」としている。

　ジョーシスはこの結果を「日本を代表する大企業のほぼ全てが直面する経営課題になっている」と分析する。ただし業界別に見ると、漏えい率には大きな差があった。

最も漏えい率の高い業界は？

　業界別に従業員数当たりの情報漏えい率を分析したところ、最も高かったのは医薬品業界で11.6％だった。建設業界（7.0％）、食品業界（6.5％）が続いた。

業界ごとの漏えい率（出典：ジョーシスのプレスリリース）

　一方、最も低かったのは銀行（0.7％）だった。中でもメガバンクの平均漏えい率は0.5％にとどまった。医薬品業界とメガバンクの漏えい率の差は23倍以上に達し、業界によってサイバーセキュリティリスクや対策水準に大きな差があることが明らかになった。

　ジョーシスの分析によると、医薬品業界は研究開発データや知的財産など攻撃者にとって価値の高い情報を保有しており、サイバー攻撃の標的になりやすい。建設業界も海外インフラ事業やプラント建設に関する情報など地政学的、経済的価値を持つデータを扱うため、狙われやすい業界の一つだという。

　食品業界については、サイバーセキュリティ領域への投資や体制整備が他業界と比べて十分でない企業も存在し、結果として漏えい率の高さにつながっている可能性があると同社はみている。

　一方で、金融業界は厳格な規制への対応に加え、ネットワークアクセス制御や認証基盤の強化、継続的な監視体制の構築など多層的なセキュリティ対策が進んでいる。今回の調査でも最も低い漏えい率となり、業界全体として高いセキュリティ成熟度がうかがえる結果になったとジョーシスは受け止めている。

認証基盤や顧客管理アプリでの漏えいも

　認証基盤、セキュリティ、顧客管理といった重要度の高いアプリケーションにおける認証情報漏えいが確認されたのは、調査対象225社のうち168社（74.6％）に上った。

　ジョーシスはこの背景に、近年のマルウェアが端末破壊やシステム停止だけでなく、認証情報やセッショントークンの窃取を目的とするものへ移行していることがあると分析する。攻撃者は盗み出したIDやパスワードを利用してクラウド環境に侵入して情報を窃取するため、感染後の被害拡大が深刻なリスクとなっている。

重要な認証情報の漏えいがあった企業（出典：ジョーシスのプレスリリース）

経営レベルで取り組むべきアイデンティティセキュリティ

　今回の結果から、サイバーセキュリティのインシデントが一部の企業の問題ではなく、国内の大企業の大多数が直面している構造的な課題であることが分かった。96.4％という漏えい率は、対策の有無にかかわらず業種を超えて認証情報の流出が常態化していることを意味する。漏えいした認証情報が攻撃者に悪用されるまでの時間は年々短縮されており、検知が遅れるほど被害は拡大する。

　ジョーシスは、「誰が、何に、どのようにアクセスしているか」を一元的に可視化、管理、防御するアイデンティティセキュリティの整備は、経営レベルで取り組むべき優先事項だと結論付けている。