世界をリードするテクノロジーとセキュリティのプロバイダーであるタレスでは、「2025年データ脅威レポート 金融サービス版」の日本語版を発表しました。本調査では、金融サービス業界が、多要素認証(MFA)などの導入が進み、データ侵害は減少傾向にあるものの、AIや量子技術などの進展に対し、データの所在や暗号化、管理の在り方における課題が依然残されていることを明らかにしました。
[画像: https://prcdn.freetls.fastly.net/release_image/106675/24/106675-24-490768411d762e9377615def52e8b44e-791x1024.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
クラウドの成長が加速するほど、課題も増大
当然ながら、金融サービス企業はクラウド環境の拡大を続けており、利用中のSaaSアプリケーションの平均数は、昨年の84から今年は107と27%増加しました。クラウド導入が進むにつれて、これらのプラットフォームに保存されるデータの機密性も高まっています。クラウドデータのうち「機密」と分類される割合の平均は、2024 年の44%から2025年には59%に上昇しています。
これらの数字が増加する一方、多くの金融サービスでは依然として基盤となるデータセキュリティ対策が欠如している点がみられます。約22%を超える企業はデータがどこに格納されているか確信が無いとし、機密データの80 %以上を暗号化しているのはわずか15%に過ぎません。
AIに関する懸念(とその可能性)と今後の留意点
他業種と同様に、金融サービス企業は生成AIのリスクに対して一般的な懸念を抱いており、59%の企業が急速に変化するAIのエコシステムを最大の懸念材料として挙げています。もっとも、これらの懸念はすでに対策が講じられており、81%が生成AIに特化したセキュリティツールに投資し、24%が新たに割り当てられた予算を活用しています。
この数字からわかることは、金融サービス業界はAIのセキュリティリスクを認識しているだけでなく、AIがもたらす可能性に目を向け、積極的な活用が始まっているということです。2024年、金融サービス業界は市場全体を上回る勢いでAIの導入が進み、従業員によるAI活用では16ポイント、AIの統合では7ポイントの差をつけてリードしました。この傾向は2025年も続いており、現在では45%の企業が、生成AIの取り組みにおいて「統合」または「変革」の段階にあると回答しており、これは調査対象全体の33%と比べても高い割合です。
注目が高まるアプリケーションセキュリティ
APIは金融サービス業界の業務に欠かせない存在です。デジタルサービスの基盤となり、データ連携を最大化し、業務効率や顧客体験の向上に貢献しています。こうした背景から、APIの利用が大幅に増加しているのも当然の流れと言えます。実際、金融サービス企業のうち41%が500以上のAPIを活用し22%以上は1000以上のAPIを使用していることになります。これは全体の調査結果(それぞれ34%と22%)と比較しても高い水準です。
アプリケーションセキュリティの優先事項について、金融サービス業界の多くの企業は「シフトレフト型」のセキュリティ対策を挙げていますが、同時に、動的アプリケーションセキュリティテスト(DAST)、APIセキュリティツール、Webアプリケーションファイアウォール(WAF)など、基盤となる本番環境でのセキュリティ対策も重視していることが明らかになりました。
一方、アーキテクチャの観点では、DevOpsにおけるセキュリティ課題として「シークレット管理」が最重要視されていますが、より広範なデータ保護の取り組みにまで十分に反映されているとは言えません。
シークレット管理の慢心
シークレット管理は、データ保護において極めて重要です。これは、パスワードや鍵などのアクセス認証情報を安全に保存・管理することで、許可されていないユーザーやシステムによるアクセスや情報漏えいを防ぎ、リスクの低減やコンプライアンスの遵守に貢献します。
しかし、こうした重要性やAPIの急増にもかかわらず、金融サービス業界の回答者のうち、シークレット管理をデータ保護の重要項目として挙げたのはわずか16%にとどまりました。これは特に驚くべきことです。なぜなら、金融サービス業界は、クラウド管理インフラへの攻撃が増加している最大の領域として、シークレットの不正取得を含む認証情報の窃取・漏えいを報告しているからです。
金融サービス業界、量子コンピューティングに前向きな姿勢
量子技術による脅威を見据えたとき、金融サービス業界の企業は、調査対象全体と比べてセキュリティに対しより高い自信を持っているようです。将来的に暗号技術が破られる可能性について懸念している企業は約 57%で、調査全体の63%よりも低い水準です。同様に、鍵の配布に関する懸念も57%で、全体の61%を下回っています。また、現在のデータが将来解読される可能性(たとえば、Harvest now, Decrypt later: 今収集して、後で解読する というような手法)について懸念している企業は50%で、調査全体の58%よりもやや低い結果となっています。
データ被害は減少、複雑性は増加
シークレット管理を中心としたセキュリティ上の課題は一部あるものの、金融サービス業界における最近のデータ侵害の件数は着実に減少しています。2021年には29%の企業が直近で侵害を受けたと報告していましたが、今年はわずか16%にまで減少しました。
この改善の一因として、強力な多要素認証(MFA)の導入が進んだことが挙げられます。2021年には21%の企業で導入されていたMFAが、今年はほぼすべての金融サービス企業(98%)において、従業員の40%が利用するまでに広がっています。
発展と共にいまだ課題が残る金融サービスセキュリティ
このレポートの結果には、希望が持てる点と懸念すべき点が混在しています。多要素認証(MFA)の導入は順調に進み、データ侵害の件数は減少傾向にあり、AI技術への投資も活発です。
しかし、依然として重大なセキュリティ課題が残っています。具体的には、データの所在に対する確証の欠如、機密データの暗号化率の低さ、そしてシークレット管理に対する驚くほどの無関心が挙げられます。これらは、経営層が対策を講じなければ、業界全体で深刻な影響を及ぼしかねない脆弱性となります。
こうしたギャップを埋めることは、AIの導入に伴って複雑化するシステムアーキテクチャに対応するためにも不可欠です。
(以上)
タレスグループについて
タレス(本社:フランス・パリ、Euronext Paris: HO)は、防衛、航空・宇宙、サイバー・デジタル分野における、先端技術のグローバルリーダーです。主権、セキュリティ、サステナビリティ、インクルージョンなどの課題に対し、革新的な製品とソリューションで応えてまいります。タレスグループは、AI、サイバーセキュリティ、量子技術、クラウド技術など主要分野における研究開発に関して、年間40億ユーロ近くを投資しています。68カ国に8万3,000人の従業員を擁するタレスの2024年度売上高は、206億ユーロを記録しています。
