市場トレンドやユーザー動向を「3行まとめ」で理解する 9月27日～10月3日

1件のセキュリティ事故が281社に影響連鎖、恐ろしいサプライチェーンリスク／シニア人材がプロとして働くモチベーションは？ほか

2025年10月06日 08時00分更新

文● 末岡洋子　編集● 大塚／TECH.ASCII.jp

　本連載「ざっくり知っておきたいIT業界データ」では、過去1週間に調査会社などから発表されたIT市場予測やユーザー動向などのデータを、それぞれ3行にまとめてお伝えします。

　今回（2025年9月27日～10月3日）は、インシデントの影響が多数の企業に連鎖するサプライチェーンリスクの大規模化、ふたたび増加に転じたランサムウェア被害、50代後半からの「シニアプロフェッショナル人材」の実態、AIエージェントが“完全自律型”に進まない障壁、学校におけるスマホやAI使用に対する各国の意識差、についてのデータを紹介します。

[セキュリティ] 2023年以降サプライチェーンリスクが拡大、1件のインシデントが委託元281社に連鎖影響したケースも（デジタルアーツ、10月2日）
・単一の委託先（サービス事業者）でのインシデントが、多くの委託元に影響するサプライチェーンリスクが顕在化
・特に2023年以降に急増、1件（委託先1社）のインシデントが281社に影響した事例も
・多くの業界で規制やガイドライン強化、委託元の対応コスト負担が増加

　国内組織における情報漏洩などのセキュリティインシデント集計データを基に、外部委託先や取引先に起因するインシデントを分析した「サプライチェーンリスク」レポートより。委託元／委託先それぞれのインシデント公表件数を集計／比較した結果、両者の公表数には大きな乖離がある。特に2023年以降は乖離幅が急拡大し、2025年上半期には、1社の委託先（サービス事業者）の大規模インシデントの影響が281社の委託元に波及したケースも。外部業務委託やクラウドサービス活用が進む中で、サプライチェーン全体のセキュリティリスクを管理することが不可欠となっている。

　⇒ サプライチェーンリスクへの対策は、委託先に起因するインシデントであっても、委託元が保有する個人情報が漏洩した場合は、法的責任や社会的影響を回避するための対応コストが委託元で発生します。しかし、委託先ごとに異なる対策レベル／統制方法が求められ、対策基準が統一できないといった複雑さがあります。

サプライチェーンに起因するインシデントにおける委託先（水色）・委託元（黒）の公表組織数（出典：デジタルアーツ）

[セキュリティ][ランサムウェア] ランサムウェアの被害企業が3年ぶりに増加、新たな脅威としてAI悪用フィッシング（Hornetsecurity、10月2日）
・2025年にランサムウェア被害を受けた企業は、回答企業のおよそ4分の1に達する
・侵入経路、最多の「フィッシング」がおよそ半数、「侵害されたエンドポイント」が4分の1
・回答したCISOの8割近くが「AI生成フィッシング攻撃」を新たな脅威と認識

　CISOなど企業のセキュリティ責任者386名を対象に、ランサムウェアの被害実態などをグローバル調査した。回答した企業のうち、2025年にランサムウェア攻撃の被害を受けた企業は24.0％で、前年の18.6％から増加。過去数年間は減少傾向が続いていたが、「サイバー犯罪者の手口の多様化」「新技術活用」から再び増加に転じている。侵入経路は「フィッシング」が46.0％と最多だったが、前年の52.3％からは減少しており、そのほかの「侵害されたエンドポイント」（26％）、「搾取された認証情報」（25％）の割合が増加した。また、77％のCISOが「AIがコンテンツを生成したフィッシング攻撃」を新たな脅威と認めている。

　⇒ 興味深い動きとしては「ランサムウェア保険」の加入企業が大幅に減少（前年54.6％→今回46.0％）していることが挙げられます。従業員へのセキュリティ教育、ランサムウェア被害からの復旧能力の強化が効果を発揮し、身代金の支払い企業が減少（前年16.3％→今回13.0％）しているとのことで、「一定の対策ができている」という企業の自信の表れかもしれません。