中小企業、サイバーセキュリティ対策に自信もAI悪用やフィッシングに懸念

調査は、25～1000台のエンドポイントを運用する中小企業の意思決定者4400人を対象に実施した。過去12カ月にサイバーセキュリティ事故を経験した企業は45％に達し、このうち14％は複数回の被害を受けた。事故発生率はドイツが64％と高く、米国54％、スペイン53％が続いた。

サイバー攻撃に強い懸念を抱く企業は61％だった。サイバー戦や国際情勢の緊張が自社に影響を及ぼす脅威だと認識する企業も75％に上った。自社のサイバーセキュリティ対策に自信を持つ企業は68％、攻撃発生時の対応能力に自信を示した企業は75％だった。複数回の事故を経験した企業においては、この割合が81％まで上昇しており、実際の被害経験が現実的な防御体制の構築につながっていることがうかがえる。

調査では認識されている脅威と実際のリスクの間に隔たりも確認された。経営層やメディアではAIを活用したマルウェアへの関心が高いものの、実際の事故の主因はフィッシングや脆弱（ぜいじゃく）な認証情報、未修正のシステム、不十分な監視体制だった。ESETの人工知能担当バイスプレジデントであるユライ・ヤノシク氏は、現時点でのAIの実務上の影響について、新種の自律型マルウェアよりも、説得力の高いフィッシング攻撃の大量展開やマルウェア開発の高速化、公的に利用可能なAIツールの悪用にあると説明した。

同氏によれば、AIを直接利用したマルウェアやスクリプトの生成は限定的だが、攻撃者は自動化技術や信頼感を演出する手法を活用し、専門的に見える資料ややりとりを作り出している。こうした動きにより、ソーシャルエンジニアリングが防御側との主要な攻防領域となっているという。

AIツールは企業にとって二面性を持つ存在でもある。生産性向上を目的とした導入が急速に進み、特に米国では導入率が81％に達した。しかし、調査対象企業の40％は、管理外で利用される「シャドーAI」を制限する方針を設けていなかった。

事故原因として最多だったのはフィッシングで26％を占めた。ESETの2025年通年の観測データでも、脅威全体の34％がフィッシング関連だったという。またサプライチェーン侵害は事故に関与する主要な脅威の一つであり、大きな影響を及ぼす可能性があるにもかかわらず、懸念事項として挙げた企業は14％にとどまった。

調査では前向きな変化も確認された。セキュリティ予算に満足している企業は65％で、15％は満足度がさらに高いと回答した。最低限の保護しか導入していない企業は11％にとどまり、より高度なセキュリティ製品の採用が広がっている。

従業員教育への評価も高い。サイバー対応力の観点から教育を非常に重要、または不可欠とみなす企業は87％に達した。72％はフィッシング対策の訓練や定期的な学習機会を含む体系的な教育へ移行している。

事故調査の迅速化も進み、41％の企業は2週間未満で調査を完了していた。事故を報告しない企業は5％にとどまり、保険会社や取引先、顧客、当局への報告姿勢が広がっていることも示された。サイバーリスク保険の加入率は71％で、特別な要件を伴う保険契約の利用も37％に達した。こうした動向も対応力向上を後押ししているとみられる。

ESETは、中小企業のサイバーセキュリティを巡る状況について、脅威が減少したわけではないものの、企業側が脅威との共存に適応しつつあると分析した。保険の活用や教育の充実、迅速な対応、情報開示の拡大が組織の耐性強化につながっている。その一方で侵害事案の多くは防止可能な要因に起因している。サイバー攻撃が日常的なリスクとなる中、人材と運用体制、実績のあるセキュリティ対策への継続的な投資が重要だとしている。