提供身份安全基础架构的 Josys 株式会社(总公司:东京都港区,代表取缔役CEO:松本恭摄,以下简称「Josys」),针对日经225成分股公司进行了一项关于网络安全的独立调查。结果显示,在过去3年内,超过96%(217家)的公司曾发生信息外泄,75%(168家)的公司曾发生包含端点感染在内的严重信息外泄。 ■ 调查摘要 96.4%的公司发生信息外泄,员工外泄率为2.9% 在225家受访公司中,有217家在过去3年内被确认发生信息外泄。 外泄件数累计超过27万件,相对于员工总数的外泄率为2.9%。(*1) 74.6%的公司确认发生严重外泄 在225家受访公司中,有168家发生包含认证基础架构、安全相关系统、客户管理应用程序等认证信息在内的严重外泄。 依行业别来看,制药业的信息外泄率最高,银行业则最低 相对于员工人数的信息外泄率,以制药业(11.6%)最高。 其次是建筑业(7.0%)和食品业(6.5%)。 另一方面,整体银行业的外泄率为0.7%,而大型银行的平均外泄率仅为0.5%,显示其高度安全措施已见成效。 *1 在计算外泄数量时,为进行异常值检测,已从225家公司中排除1家。对象为224家公司。 ■ 主要调查结果 1. 在过去3年内,96.4%的公司曾发生信息外泄,外泄件数超过27万件 本次调查确认,在225家日经225成分股公司中,有217家(96.4%)在过去3年内发生过信息外泄。外泄件数总计达279,206件(*2),相对于对象公司员工总数(9,564,043名)的外泄率为2.9%。这意味着每100名员工中,约有3人的认证信息遭到外泄。 <分析> 从这些结果可以看出,信息外泄并非仅限于特定行业或公司规模的问题,而是几乎所有日本代表性大型企业都面临的经营课题。 此外,由于外泄率已达2.9%,网络安全事件不应再被视为少数例外事件,而应被认知为企业活动中的常态风险。企业需要采取假设会遭受入侵的对策,并加强持续监控体制。 *2 本调查的数值是指「在暗网等被用作交易因信息外泄而流出的认证信息和个人信息的场所中,作为该公司信息流通的件数」。虽然我们取得的是作为特定公司认证信息进行买卖的信息,但可能实际上并非该公司的信息,或可能包含已失效的信息。 2. 74.6%的公司发生严重认证外泄,每10家公司中有7家员工的认证信息外泄 在225家受访公司中,有168家(74.6%)被确认在认证基础架构、安全、客户管理等重要性高的应用程序中发生认证信息外泄。 <分析> 近年来的恶意软件,其目的不仅是破坏端点或停止系统,旨在窃取认证信息和会话令牌的恶意软件也在增加。攻击者利用窃取而来的ID和密码入侵云端环境并窃取信息,因此感染后的损害扩大已成为严重风险。 3. 制药业的信息外泄率最高,相对于员工人数为11.6%,银行业最低为0.7% 按行业分析相对于员工人数的信息外泄率,结果显示制药业最高,为11.6%。其次是建筑业的7.0%和食品业的6.5%,显示特定行业的外泄风险相对较高。 另一方面,最低的是银行业,为0.7%。其中,大型银行的平均外泄率仅为0.5%。比较制药业和大型银行,其差距超过23倍,显示不同行业在网络安全风险和对策水准上存在巨大差异。 <分析> 制药业被认为容易成为网络攻击的目标,因为其拥有对攻击者极具价值的信息,如研发数据和知识产权。建筑业也常处理具有地缘政治和经济价值的数据,例如与海外基础设施项目和工厂建设相关的信息,因此也被视为容易受到攻击的行业之一。 关于食品业,与其他行业相比,可能有些企业在网络安全领域的投资和体制建设不足,这可能导致了较高的外泄率。 另一方面,金融业除了应对严格的法规外,还推进了多层次的安全措施,包括加强网络访问控制和认证基础架构、创建持续监控体制等。因此,本次调查中其外泄率最低,显示整个行业具有高度的安全成熟度。 调查名称:日经225企业网络安全相关调查 对象:日经平均股价(日经225)成分股公司225家及其集团公司 对象员工人数:9,564,043名(因异常值,已从统计对象中排除1家公司) 期间:2023年3月1日~2026年6月1日 方法:使用本公司拥有的数据分析工具进行提取调查(截至2026年6月) 实施:Josys 株式会社 *构成比和比例是通过四舍五入到小数点后第二位来计算。 ▪️ 总结 本次调查揭示的事实是,网络安全事件并非「部分公司的问题」,而是日本大多数代表性大型企业正面临的结构性课题。 96.4%的外泄率意味着,无论是否采取对策,认证信息的外泄已跨越行业界线成为常态。而且,外泄的认证信息被攻击者恶意利用的时间正在逐年缩短,检测越晚,损害就越扩大。 创建能够统一可视化、管理和防御「谁、对什么、如何访问」的身份安全体系,已不再是部分安全负责人的课题,而是经营层面应优先处理的事项。 ■ 调查背