世界をリードするテクノロジーとセキュリティのプロバイダーであるタレスでは、「2025 年データ脅威レポート 金融サービス版」の日本語版を発表しました。本調査では、金融サービス業界が、多要素認証(MFA)な どの導入が進み、データ侵害は減少傾向にあるものの、AIや量子技術などの進展に対し、データの所在 や暗号化、管理の在り方における課題が依然残されていることを明らかにしました。
クラウドの成長が加速するほど、課題も増大
当然ながら、金融サービス企業はクラウド環境の拡大を続けており、利用中の SaaS アプリケーションの平均数 は、昨年の 84 から今年は 107 と 27%増加しました。クラウド導入が進むにつれて、これらのプラットフォームに 保存されるデータの機密性も高まっています。クラウドデータのうち「機密」と分類される割合の平均は、2024 年 の 44%から 2025 年には 59%に上昇しています。
これらの数字が増加する一方、多くの金融サービスでは依然として基盤となるデータセキュリティ対策が欠如して いる点がみられます。約 22%を超える企業はデータがどこに格納されているか確信が無いとし、機密データの 80 %以上を暗号化しているのはわずか 15%に過ぎません。
AI に関する懸念(とその可能性)と今後の留意点
他業種と同様に、金融サービス企業は生成 AI のリスクに対して一般的な懸念を抱いており、59%の企業が急 速に変化する AI のエコシステムを最大の懸念材料として挙げています。もっとも、これらの懸念はすでに対策が 講じられており、81%が生成 AI に特化したセキュリティツールに投資し、24%が新たに割り当てられた予算を活 用しています。
この数字からわかることは、金融サービス業界は AI のセキュリティリスクを認識しているだけでなく、AI がもたらす 可能性に目を向け、積極的な活用が始まっているということです。2024 年、金融サービス業界は市場全体を 上回る勢いで AI の導入が進み、従業員による AI 活用では 16 ポイント、AI の統合では 7 ポイントの差をつ けてリードしました。この傾向は 2025 年も続いており、現在では 45%の企業が、生成 AI の取り組みにおいて 「統合」または「変革」の段階にあると回答しており、これは調査対象全体の 33%と比べても高い割合です。
注目が高まるアプリケーションセキュリティ
API は金融サービス業界の業務に欠かせない存在です。デジタルサービスの基盤となり、データ連携を最大化し、業務効率や顧客体験の向上に貢献しています。こうした背景から、API の利用が大幅に増加しているのも当然 の流れと言えます。実際、金融サービス企業のうち 41%が 500 以上の API を活用し 22%以上は 1000 以 上の API を使用していることになります。これは全体の調査結果(それぞれ 34%と 22%)と比較しても高い水 準です。
アプリケーションセキュリティの優先事項について、金融サービス業界の多くの企業は「シフトレフト型」のセキュリティ対策を挙げていますが、同時に、動的アプリケーションセキュリティテスト(DAST)、API セキュリティツール、 Web アプリケーションファイアウォール(WAF)など、基盤となる本番環境でのセキュリティ対策も重視しているこ とが明らかになりました。
一方、アーキテクチャの観点では、DevOps におけるセキュリティ課題として「シークレット管理」が最重要視され ていますが、より広範なデータ保護の取り組みにまで十分に反映されているとは言えません。
シークレット管理の慢心
シークレット管理は、データ保護において極めて重要です。これは、パスワードや鍵などのアクセス認証情報を安 全に保存・管理することで、許可されていないユーザーやシステムによるアクセスや情報漏えいを防ぎ、リスクの低 減やコンプライアンスの遵守に貢献します。
しかし、こうした重要性や API の急増にもかかわらず、金融サービス業界の回答者のうち、シークレット管理をデ ータ保護の重要項目として挙げたのはわずか 16%にとどまりました。これは特に驚くべきことです。なぜなら、金融 サービス業界は、クラウド管理インフラへの攻撃が増加している最大の領域として、シークレットの不正取得を含 む認証情報の窃取・漏えいを報告しているからです。
金融サービス業界、量子コンピューティングに前向きな姿勢
量子技術による脅威を見据えたとき、金融サービス業界の企業は、調査対象全体と比べてセキュリティに対しよ り高い自信を持っているようです。将来的に暗号技術が破られる可能性について懸念している企業は約 57%で、調査全体の 63%よりも低い水準です。同様に、鍵の配布に関する懸念も 57%で、全体の 61%を 下回っています。また、現在のデータが将来解読される可能性(たとえば、Harvest now, Decrypt later: 今収集して、後で解読する というような手法)について懸念している企業は 50%で、調査全体の 58%よりも やや低い結果となっています。
データ被害は減少、複雑性は増加
シークレット管理を中心としたセキュリティ上の課題は一部あるものの、金融サービス業界における最近のデータ 侵害の件数は着実に減少しています。2021 年には 29%の企業が直近で侵害を受けたと報告していましたが、 今年はわずか 16%にまで減少しました。
この改善の一因として、強力な多要素認証(MFA)の導入が進んだことが挙げられます。2021 年には 21% の企業で導入されていた MFA が、今年はほぼすべての金融サービス企業(98%)において、従業員の 40% が利用するまでに広がっています。
発展と共にいまだ課題が残る金融サービスセキュリティ
このレポートの結果には、希望が持てる点と懸念すべき点が混在しています。多要素認証(MFA)の導入は 順調に進み、データ侵害の件数は減少傾向にあり、AI 技術への投資も活発です。
しかし、依然として重大なセキュリティ課題が残っています。具体的には、データの所在に対する確証の欠如、機 密データの暗号化率の低さ、そしてシークレット管理に対する驚くほどの無関心が挙げられます。これらは、経営 層が対策を講じなければ、業界全体で深刻な影響を及ぼしかねない脆弱性となります。
こうしたギャップを埋めることは、AI の導入に伴って複雑化するシステムアーキテクチャに対応するためにも不可欠 です。
報道関係の方からのお問い合わせ
タレス サイバーセキュリティ&デジタルアイデンティティ部門 広報代理
ホフマン ジャパン株式会社
担当 : 白木/松崎/石田/小倉
Email: ThalesJP@hoffman.com