IR資料が暴く数十億円の損失——「対策はしたが効果なし」の根本原因

生成AIの登場で、サイバー攻撃の脅威はかつてないほど高まっている。2026年3月に報じられた専門家の対談によると、日本企業では数十億円規模の金銭被害が相次ぎ、その実態は企業のIR（投資家向け広報）資料からも浮き彫りになっている。被害を抑える鍵は、単なる対策の導入ではなく、「守りの連続性」をいかに担保するかにあるという。

IR資料から見える、サイバー攻撃による巨額の金銭被害

記事によると、サイバーセキュリティ被害に詳しい株式会社KMCの中村建助氏は、企業のIR資料を分析することで、サイバー攻撃による損害の一端が見えてくると指摘しています。具体的には、損益計算書（PL）に記載される「情報セキュリティー対策費」や「システム障害対応費」といった科目が、企業が被った損失額を示すケースがあるとのことです。

中村氏の分析では、2025年2月までの過去5年間で、サイバー攻撃被害が原因で上記2項目のいずれかの損失をIR資料に記載した企業は52社に上りました。その後も少なくとも新たに10社が同様の損失を公開。2026年に公表したある企業では、損失額が50億円を超えていたと報じられています。PL以外でも、ある企業ではサイバー攻撃に起因して売り上げで約90億円、営業利益で約20億円の機会損失が発生した事例が紹介されています。

カギは「ダウンタイム損失」の最小化

ソフォス株式会社の佐々木雅一氏は、こうした巨額の損失を受け、今やサイバー攻撃対策は「お金の損失をどう抑えるか、言い換えるとダウンタイム損失をどう最小化するかという視点が不可欠」と述べています。ダウンタイムとは、システムが停止し事業が行えない時間のこと。この時間をいかに短くするかが、直接的・間接的な金銭被害の規模を決定づけるという認識が広がりつつあります。佐々木氏は、2025年は有名企業のランサムウェア被害が相次いだことで、セキュリティ対策、特に金銭的損失への注目が一気に高まった年だったと分析しています。

「対策はしたが効果なし」——日本企業の弱点

では、なぜ多額の投資にもかかわらず、被害が後を絶たないのでしょうか。佐々木氏は、多くの企業が守りを固めるためのセキュリティ対策ソリューションの導入には投資しているものの、「残念ながらそれらを最適な形で運用し、効果につなげている企業は多くない」と指摘します。中村氏も、生成AIの進化による攻撃の高度化が続く中、企業の損害は今後もなくならないだろうと懸念を示しています。この対談では、この「対策はしているが効果が上がっていない」状態を生む根本的な課題として、「守りの連続性」が担保されていない点が挙げられています。

「守りの連続性」が担保されていない現実

記事は、日経クロステック Activeの会員向けコンテンツとして続きますが、公開されている部分では、「守りの連続性」という概念が重要なキーワードとして提示されています。一般的にセキュリティ対策は、侵入を防ぐ「予防」、侵入を検知する「検知」、侵入後の対応と復旧を行う「対応」の各段階で対策が講じられる必要があります。「守りの連続性」とは、これらの各段階の対策が個別に存在するだけでなく、シームレスに連携し、切れ目なく機能している状態を指すと考えられます。対策ツールを導入しても、設定が不適切だったり、アラートに対応するプロセスが確立されていなかったり、インシデント発生時の復旧手順が整備されていなかったりすれば、投資は有効に機能せず、「守り」に穴が空いた状態になってしまいます。

投資を成果に変えるために企業が取るべき視点

IR資料に数十億円の損失が記載される時代において、セキュリティ対策はもはや「コスト」ではなく、「投資」としての成果が厳しく問われる経営課題です。記事で示唆されているのは、単に最新のセキュリティ製品を購入するのではなく、自社の「守りの連続性」がどこで断絶しているのかを点検することの重要性です。具体的には、導入したツールが適切に設定・運用されているか、検知された脅威への対応フローは明確か、被害発生時の事業継続計画（BCP）やデータ復旧手順はテストされているか、といった観点での見直しが急務と言えます。生成AIにより誰もが高度な攻撃ツールを利用できる可能性が高まる今後は、この「運用」と「連携」の質が、企業の存続をも左右する分水嶺となるでしょう。