現代のサイバーセキュリティにおいて、従来のネットワーク境界はすでに消滅しました。今や、「境界としてのアイデンティティ」という概念が、かつてないほど重要になってきています。

組織がクラウド導入を加速させ、AI システムを統合するにつれて、人間と非人間のデジタルアイデンティティの数が爆発的に増加しています。現在では、個々の認証情報、API キー、およびサービスアカウントが、攻撃者にとっての潜在的な侵入経路となっています。

そこでソフォスでは、この変化がどれだけの規模で起きているかを把握するため、アイデンティティ脅威の影響について調査を実施しました。この調査で対象となったのは、17 カ国 14 業界の 5,000 人の IT リーダーとサイバーセキュリティリーダーです。対象となった組織のうち、71% が過去 1 年間にアイデンティティ関連の侵害被害に遭っていました。したがって、この調査結果は、アイデンティティ関連の侵害がもはや例外的な事象ではなく、現代の防御における重要な課題であることを示しています。

ここをクリックしてレポート全文をご覧になるか、以下で同レポートの主なポイントをお読みください。

常態化しているアイデンティティ侵害

調査結果によると、アイデンティティ関連のセキュリティ侵害はあらゆる業界で発生しています。

• 71% の組織が、過去 1 年間に少なくとも 1 回アイデンティティ関連の侵害を経験
• 被害に遭った組織は、1 年間で平均 3 回のアイデンティティ攻撃を経験
• 地域別ではスイスが 89% と最も高い侵害率を記録し、次いでメキシコが 83%
• 業種ではエネルギー、石油・ガス、および公益事業の侵害率が 80% と最も高く、IT/ テクノロジー組織は 63% と最も低い割合を記録

アイデンティティからランサムウェアへの経路

最も重要な発見の 1 つは、アイデンティティの侵害とランサムウェアとの間の直接的な関連性です。攻撃者がランサムウェアを送り込むための主な手段として、盗んだ認証情報を利用するケースがますます増加しています。

ランサムウェア被害者の 3 分の 2 (67%) が、自社で発生したランサムウェアインシデントが最も深刻なアイデンティティ攻撃と直接関連していたと報告しています。これは、たった 1 つのアカウントが漏洩しただけで、ビジネス全体の機能停止に直結することを示しています。

高まる非人間アイデンティティのリスク

人的ミスが侵害の最大の要因であることに変わりはありませんが、非人間アイデンティティ (NHI) の管理不備がもたらす脅威が深刻化しています。API キー、サービスアカウント、AI エージェント などの NHI は、多くの場合、人間のアイデンティティに対して最大 100 対 1 という高い比率で存在します。

• アイデンティティ侵害の成功事例の 41% において、根本原因は NHI 管理の不備
• このリスクの主な要因はエージェント型 AI。AI エージェントは人間の監視なしに自律的に新しい認証情報を生成し、広範かつ永続的なアクセス権を要求することが可能
• このようなリスクがあるにもかかわらず、サービスアカウントや NHI の定期的な監査やローテーションを実施している組織はわずか 34%

対策失敗がもたらす経済的損失

アイデンティティ防御が破られた場合の経済的影響は甚大です。アイデンティティ侵害からの復旧にかかる平均コストは 164 万ドルに達し、被害者のほぼ半数がその直接的な結果としてデータ窃取やランサムウェアの被害に遭っています。

また、このデータからはリソースの格差も浮き彫りになっています。従業員数 100〜250 人の中小企業は、従業員数 1,000 人以上の企業と比較して、アイデンティティ攻撃を検知できない確率がほぼ 2 倍にのぼりました。

レポートを読む

2026 年のデータは、アイデンティティセキュリティが単発のプロジェクトではなく、継続的な運用の取り組みであることを示しています。こうした進化する脅威から組織を防御するには、基本的なセキュリティ対策にとどまらず、すべてのアカウントへの多要素認証 (MFA) の徹底やゼロトラストセキュリティモデルの採用など、多層防御を導入する必要があります。業界別の詳細なデータや包括的な推奨事項については、「アイデンティティセキュリティの現状 2026 年版」レポートの全文をご覧ください。