「大手企業なら情報漏洩の対策はしっかりしているんじゃないの?」
「業界によってセキュリティリスクってそんなに違うの?」
ボス!日経225の企業の96%以上が情報漏洩を経験しているって、そんなに多いんでしゅか?大企業でも安心できないんでしゅね。
衝撃的な数字だが、これはダークウェブに流出した認証情報を分析した結果だ。「漏洩していない」のではなく「気づいていない」だけの企業が多い可能性もある。業界によってリスクが23倍以上の差があることも注目すべき点だな。
アイデンティティセキュリティ企業のジョーシスが2026年6月11日に発表した調査結果は、日本を代表する大企業でさえ、情報漏洩が「例外ではなく常態」となっている実態を示しています。
自社が安全かどうかを確認するための重要な視点が、この調査には詰まっています。
- 日経225構成企業の96.4%(225社中217社)が過去3年間に情報漏洩を経験、漏洩件数の合計は27万9206件
- 業界別の従業員あたり漏洩率は医薬品業界が11.6%で最高、銀行の0.7%と比較すると23倍以上の差がある
- 「漏洩していない」ではなく「気づいていない」企業が多い可能性があり、ダークウェブ監視の重要性が示された
この記事では、調査結果の詳細と業界ごとのリスク差の背景、企業が取るべき対策を解説します。
目次
日経225企業の情報漏洩調査が示す衝撃的な実態
ジョーシスはダークウェブの監視とネットワーク分析を活用し、日経225企業の情報漏洩実態を調査しました。
96.4%という数字が意味すること
225社中217社が過去3年間に情報漏洩を経験しているという事実は、もはや大企業でも例外ではないことを示しています。
調査の主なデータをまとめると以下の通りです。
| 指標 | 数値 |
|---|
| 漏洩経験企業数 | 217社(225社中96.4%) |
| 漏洩件数合計 | 27万9,206件 |
| 対象企業の従業員数合計 | 約956万4,043人 |
| 従業員あたりの漏洩率 | 2.9%(100人当たり約3人分の認証情報が流出) |
| 調査手法 | ダークウェブ監視・ネットワーク分析 |
この数字が示すのは、すでに多くの企業の認証情報がダークウェブに出回っているということです。
企業が「漏洩していない」と認識していても、実際には流出した認証情報が密売されているケースが少なくありません。
ダークウェブって、自分の会社の情報が売られているかどうか、どうやったらわかるんでしゅか?
専門のダークウェブ監視サービスや、OSINT(公開情報調査)ツールを使う方法がある。HaveIBeenPwnedのような無料サービスで個人のメールアドレスを確認することも可能だ。企業規模なら専門業者に監視を委託するのが現実的だな。
業界ごとに最大23倍の漏洩率格差
調査の中で特に注目すべきは、業界によって従業員あたりの漏洩率に大きな差があることです。
主な業界別の漏洩率は以下の通りです。
| 業界 | 漏洩率(従業員あたり) | リスク水準 |
|---|
| 医薬品 | 11.6% | 最高 |
| 建設 | 7.0% | 高い |
| 食品 | 6.5% | 高い |
| 銀行 | 0.7% | 最低 |
医薬品業界と銀行の漏洩率の差は23倍以上にも上ります。
銀行はセキュリティ規制・監査・投資が業界として整備されており、漏洩率を低く抑えられている一方、医薬品・建設・食品業界はIT投資が相対的に少なく、認証情報管理の甘さが顕著です。
業界格差が生まれる背景と企業が取るべき対策
なぜ業界によって漏洩率にこれほどの差が生まれるのでしょうか。
高リスク業界に共通するセキュリティの弱点
医薬品・建設・食品といった高リスク業界に共通する弱点として、以下の点が挙げられます。
- IT部門の人員が少なく、セキュリティ専任担当者を置けていない企業が多い
- 多数の協力会社・外部委託先との連携が多く、認証情報の共有が横行しやすい
- 現場のルールより利便性が優先され、パスワードの使い回しや弱いパスワードが放置されやすい
- 金融規制のような強制力ある業界規制がなく、自主的なセキュリティ対策にとどまりやすい
うちは建設業の会社なんでしゅが、7.0%って結構高いでしゅね……どうすればいいんでしゅか?
まず自社の認証情報がダークウェブに流出していないか確認することだ。次に多要素認証の導入、パスワードマネージャーの配布、定期的な認証情報のローテーションを順番に整備するといい。すべてを一度にやる必要はなく、最もリスクの高い部分から着手するのが現実的だな。
自社のリスクを下げるための具体的な対策
今回の調査結果を受けて、すべての業界の企業が取り組むべき対策は以下の通りです。
- ダークウェブ監視サービスを導入し、自社の認証情報が流出していないか定期的に確認する
- 全社員に多要素認証(MFA)を導入し、パスワードだけの認証に頼らない体制を作る
- パスワードマネージャーを配布して、全サービスで異なる強力なパスワードを使う習慣を定着させる
- 退職者・協力会社への不要なアクセス権限を即時削除する「アカウントライフサイクル管理」を整備する
特に多要素認証の導入は、認証情報が漏洩しても不正ログインを防ぐ有効な手段です。
ダークウェブに情報が流れていても、MFAが有効なら攻撃者はログインできません。
まとめ
ジョーシスの調査が示した「日経225企業の96.4%が情報漏洩を経験」という結果は、大企業であれば安全という思い込みを覆すものです。
漏洩件数27万件超、業界による最大23倍のリスク格差は、日本企業のセキュリティ投資の差が如実に現れた数字です。
自社のリスクを認識し、ダークウェブ監視・多要素認証・アカウント管理の三本柱から着手してください。
「漏洩していない」と信じている企業こそ、まず自社の状況を確認することが最初の一歩です。
96.4%って……ほとんどの大企業が漏洩しているんでしゅね。自分の会社のことも心配になってきたでしゅ。
その危機感を忘れないことだ。セキュリティは「やっているから大丈夫」ではなく「継続的に確認・改善するもの」だ。ダークウェブ監視と多要素認証の導入、今日から検討してみなさい。