世界最大級のSOC(Security Operation Service)サービスやMDR(Managed Detection and Response)サービスを提供するセキュリティ企業のArctic Wolfは2025年10月22日、フィッシングメールへの対応や生成AIを使う行為、セキュリティ教育・訓練による効果など「人に関わるリスク」をグローバルで調査した結果をまとめた「2025年人的リスクレポート調査」を発表した。

【参考】：Arctic Wolfが 「2025年トレンドレポート」を発表、 セキュリティ責任者とIT責任者にとって AIがサイバーセキュリティの主要な懸念であることが明らかに

2024年に行った調査に続く2回目となる調査で、今回は、日本を含め世界1,700名以上のITリーダー(セキュリティリーダー含む)855名とエンドユーザー(管理職)855名を対象に実施した。

フィッシング詐欺の標的にされやすいのは経営層

発表にあたったArctic Wolf Networks Inc.のセキュリティサービス担当SVP リサ テトロー氏は「専門知識があってもフィッシング詐欺の被害が世界中で急増している。標的にされやすいのは経営層だ。また、AIは新たな情報漏えいリスクになっている。被害への対策としては、解雇よりもセキュリティトレーニングが効果がある。セキュリティの基本対策は依然として軽視されている状況だ」と解説した。

フィッシングメールについては、ITリーダーの65%(日本では38%)とエンドユーザーの49%(日本では36%)が「少なくとも1回はフィッシングと思われるリンクをクリックした経験がある」と回答した。

「フィッシングリンクをクリックしているにも関わらず、76%のリーダーが『自社がフィッシング攻撃にかかることはないと自信を持っている』と回答した。さらに懸念されるのは、悪意あるリンクをクリックしたリーダーのうち5人に1人は、その事実を報告していなかった」(テトロー氏)

セキュリティリスクの自覚とセキュリティ研修が不足

生成AIについては、ChatGPTなどの大規模言語モデル(LLM)の利用意欲が2024年よりも大幅に高まっていることがわかった。リーダーのほうがエンドユーザーよりも業務資料にLLMを取り入れる率が高く、LLMのポリシー作成を行うケースも増えた。ITリーダーの88%(日本は85%)が職場でのLLM利用に関してポリシーを有していると回答したのに対し、エンドユーザーは57%だった。

LLMに機密情報を共有した経験については、エンドユーザーよりもITリーダーのほうが多かった。ITリーダーでLLM利用経験者のうち60%が共有を認めている一方で、エンドユーザーは41%だった。

こうした結果を受け、テトロー氏は「ITリーダーはエンドユーザーよりも自社のサイバー攻撃への対処能力に自信を持っており、問題を報告する際に特に不安を感じていない。97%のITリーダーとエンドユーザーは人間が主要なリスクと認識している。セキュリティリスクの自覚とセキュリティ研修が不足していると考えている。しかし、ITリーダーの69%(日本では56%)がサイバーインシデントの最初の被害になっている」と解説した。

対策として求められるのは、生成AIなどによるイノベーションとセキュリティへの警戒に対してのバランスをとること、過信を避け責任を共有すること、組織構造とカルチャーの両方を強化することを挙げた。

そのうえでテトロー氏は「生成AIはチャンスとリスクの両方を増幅させる。リーダーは導入とリスク管理を不可分と見なす必要がある。人的リスクは現場やIT部門の問題だけではない。組織全体の責任として位置づける必要がある。その際、明確なポリシー、安全対策、研修を行い、オープンで説明責任を重視するカルチャーをつくることが重要だ。組織の意識とレジリエンスの向上に取り組むことが重要だ」とアドバイスした。