本ガイドでは、データ侵害とは何か、現代の企業環境において侵害がどのように発生するか、そしてSOCアナリストやインシデント対応担当者からCISOやセキュリティアーキテクトに至るまで、セキュリティチームが侵害を検知・封じ込め・防止するために何ができるかを解説します。また、攻撃ベクトル、業界別の侵害によるコスト、行動検知指標、コンプライアンスに基づく通知のタイムラインに加え、Change Healthcare、AT&T、National Public Dataなどの最近のインシデントから得られた運用上の教訓についても取り上げています。
データ侵害とは、権限のない第三者が機密情報、保護対象情報、または機微情報にアクセスしてしまうあらゆるセキュリティインシデントを指します。これには、氏名や社会保障番号などの個人データ、クレジットカード情報や銀行口座情報などの金融データ、さらには営業秘密や知的財産といった事業上重要な情報が含まれます。偶発的な情報漏洩とは異なり、データ侵害では、通常、金銭的利益、スパイ活動、または恐喝を目的として、盗み出したり、販売したり、悪用したりしようとする攻撃者による、不正アクセスが確認されています。
すべてのセキュリティ事象が対象となるわけではありません。侵害、情報漏洩、インシデントの区別によって、どの規制上のカウントダウンが開始されるか、また72時間の通知期間が適用されるかどうかが決まります。
データ侵害とは、 悪意のある攻撃者による機密データへの不正アクセスが確認された事案を指します 。攻撃者は意図的にシステムに侵入し、データにアクセスまたは持ち出しを行い、情報の漏洩が確認されました。
データ漏洩とは 、悪意のある攻撃者の関与なしに意図せず情報が公開されることを指します 。例えば、設定ミスにより顧客記録が公開されたクラウドストレージのバケットも漏洩に該当します。必ずしも攻撃者がそれを発見したり悪用したりしたわけではありません。
セキュリティインシデントとは 、攻撃の未遂、ポリシー違反、異常な活動など、情報セキュリティを脅かす可能性のあるあらゆる事象を指します 。すべてのインシデントが情報漏洩につながるわけではありませんが、あらゆる情報漏洩はインシデントから始まります。
GDPRの下では、確認されたデータ侵害のみが、監督当局への72時間以内の通知義務の対象となります。情報漏洩をデータ侵害と誤って分類したり、その逆を行ったりした組織は、規制上の罰則が重くのしかかるだけでなく、評判の失墜にも直面することになります。
意図的なデータ侵害のほとんどは、偵察、侵害、横方向の移動、準備、情報持ち出しという同じ手順をたどっており、攻撃者がこれらの手順を省略することはめったにありません。インシデントの大部分は、無邪気な従業員のミス、権限を持つ悪意のある内部関係者、そして単独または組織的な犯罪グループの一員として活動する外部の攻撃者という、3つの根本的な原因によって引き起こされています。
こうした根本的な原因において、初期アクセスから完全な影響に至るまでの過程は、5つの明確な段階を経て進行します。各段階は、可視性が確保されていない場合、それぞれが独自の検知の機会であると同時に、独自の失敗要因となります。

認証情報の盗難だけで確認された情報漏洩の61%を占めていますが、他にも5つの攻撃経路がインシデントの発生に大きく寄与しており、それぞれに特有の発生率と異なる検知要件があります。
出典:IBM「データ侵害のコスト 2025」;Verizon「DBIR 2025」;SailPoint「2025」
サードパーティの侵害は、非対称的なリスクを生み出します。 サプライチェーンの侵害は、初期の攻撃ベクトルの5%未満を占めるに過ぎませんが、2025年には全被害者の47%に影響を及ぼしました(Verizon DBIR 2025)。 Snowflakeプラットフォームでのインシデントはこのメカニズムを如実に示している。攻撃者は盗んだ認証情報を利用して顧客環境を侵害し、AT&T、Ticketmaster、Neiman Marcusなどを同時に攻撃した。単一のベンダーの脆弱性が連鎖的に拡大し、数億人に影響を及ぼす侵害へと発展した。
2025年には、侵害事案の16%で攻撃者がAIツールを利用していました。具体的には、言語ベースのフィルターをすり抜けるLLM(大規模言語モデル)生成のフィッシング、シグネチャ検知を回避するために自らを書き換えるポリモーフィック・マルウェア、そしてかつては国家レベルのインフラを要した規模での自動化された偵察活動などが挙げられます(IBM 2025)。わずか3年前、この数字は事実上ゼロでした。
世界平均のデータ侵害コストである444万米ドルという数字は、多くの企業にとっての実際の財務的リスクを過小評価している。米国の企業は、世界平均の2倍以上のコストを負担している。 コストは、事業機会の損失、検知とエスカレーション、侵害後の対応、規制当局への通知という4つのカテゴリーから生じ、事件発生から数ヶ月あるいは数年後に発生する法的和解によってさらに膨らむ。医療業界は14年連続で全業界中最も高い平均侵害コストを記録しており、2025年には製造業とエネルギー業界の両方でコストが上昇傾向にある。
出典:IBM「データ侵害のコスト 2025」
検知のタイミングは、他のどの単一要因よりもコストの規模を左右します。AIを活用したセキュリティを導入している組織は、侵害を80日早く検知し、平均で190万ドルのコスト削減を実現しています(IBM 2025)。 正式なインシデント対応計画を持つ組織は、1件の侵害につき120万米ドルを節約しています。 ゼロトラストアーキテクチャを導入している組織は、104万米ドルを節約しています。200日以上検出されないまま放置された侵害は、100日以内に封じ込められた侵害に比べてはるかに大きなコストを招くため、検知速度は抽象的なセキュリティ指標ではなく、直接的な財務変数となります。
情報漏洩の61%は、認証情報の不正利用によるものです。攻撃者は正当なユーザーとして認証され、権限のあるユーザーが行うような行動をとりますが、システム側では異常は一切検知されません。既知の悪意あるシグネチャを待つだけの検知手法では、こうした攻撃を完全に見逃してしまいます。EDRはエンドポイントを監視し、SIEMはログを監視します。しかし、どちらもワークロード間で東西方向(イースト・ウエスト)に移動する攻撃者の動きを捉えることはできません。
これらの環境において、7つの行動上の異常が、進行中の侵害を確実に示す指標となります。これらはそれぞれ、攻撃者の動きが正当なパターンから逸脱し、データが環境外に流出する前に検知可能となる時点を表しています。
エンドポイント検出・対応(EDR)は、管理対象のエンドポイントを監視しますが、ネットワークを横断するイースト・ウエストのトラフィックを把握することはできず、エージェントを展開できない非管理デバイス、IoTシステム、クラウドワークロード上の脅威を検出することもできません。SIEMは、インシデント発生後にログから状況を再構築するため、時間がかかり、手動での相関分析が必要となり、何が重要かについて仮定を立てる必要があります。 ネットワーク検知・対応(NDR)は、暗号化されたトラフィック、システム間の横方向の移動、エージェントが導入されたエンドポイントには一切触れないIDの挙動など、環境全体のトラフィックパターンをリアルタイムで分析することで、可視性のギャップを埋めます。
241日という侵害検知までの平均期間は、既存のツールを通じて攻撃活動を検知できるようになるまで、防御側が不完全な可視性の下で対応を余儀なくされる期間の長さを示しています。行動検知は、データが流出してからではなく、攻撃が進行している最中にその動きを特定することで、この検知までの期間を短縮します。
侵害の防止は、初期の侵害発生確率を低減し、攻撃者がアクセス権を取得した後の行動範囲を制限します。インシデント対応は、侵害が確認された後の被害を最小限に抑えます。両者は不可欠です。対応策を伴わない防止策は、防御が完璧であることを前提としているのに対し、防止策を伴わない対応策は、不必要なリスクを容認することになります。
最も確固たる実証データに基づいている対策は、認証情報の悪用、第三者への情報漏洩、および初期侵害を可能にする人的要因への対応であり、これらそれぞれについて、IBMの2025年調査によりコストへの影響が実証されています。
効果的な対応には、文書化された手順に従う必要があります。具体的には、是正措置を実施する前にまず封じ込めを行い、最後に、管理措置と検知ルールの両方を更新する事後検証を行うという流れです。
2018年以降に科されたGDPRに基づく罰金56億~59億ユーロのうち、その多くは情報漏洩の防止に失敗したことによるものではなく、通知期限の遵守漏れ、インシデントの誤分類、不適切な報告などが原因で科されたものである(『GDPR Enforcement Tracker 2025』)。 組織が適用される枠組みによって、情報漏洩が確認された時点でどの報告期限が開始されるかが決まり、情報漏洩をセキュリティインシデントと誤分類すると、当初の事案に加えて、それとは別の罰則が科される可能性がある。
出典:GDPR Enforcement Tracker 2025、HHS、Foley & Lardner 2025
2024年10月から施行されるNIS2は、エネルギー、運輸、医療、金融を含む18の重要セクターの組織に対し、EUのサイバーセキュリティ法としては初めてとなる経営幹部の個人責任を導入しています。米国では、カリフォルニア州が2026年1月から30日間の通知義務を導入する一方、全50州に加え、コロンビア特別区、プエルトリコ、バージン諸島もそれぞれ独自の通知法を定めています。 米国、EU、英国で事業を展開する組織は、しばしば3つの通知期間に同時に直面することになり、その中最短の期間が業務上の期限となります。
MITRE ATT&CK 、攻撃者の手法を特定のIDに紐付けることで、検知チームにカバー範囲の不足を特定するための共通の用語体系を提供します。侵害ライフサイクルの前半では、認証情報の不正アクセスや有効なアカウントの悪用が主流ですが、後半では情報の収集や持ち出しの手法が中心となります。いずれの手法も、被害が発生する前に検知できる明確な機会となります。
出典:MITRE ATT&CK;IBM「データ侵害のコスト 2025」;Verizon DBIR 2025
最近の3件の事例は、現代のセキュリティ侵害のメカニズム、そして各事例において初期の侵害から被害が拡大するまで放置されてしまった検知の失敗を如実に示している。
2024年2月、ChangeHealthcareは 、攻撃者が多要素認証(MFA)の保護が施されていないCitrixのリモートアクセス認証情報を悪用した結果、ALPHV/BlackCatランサムウェアグループによる 攻撃の被害に遭った 。この攻撃は史上最大規模の医療データ漏洩事件となり、1億9,270万人が影響を受け(HIPAA Journal)、全米の薬局業務が数ヶ月にわたり混乱し、UnitedHealth Groupは報道によると2,200万ドルの身代金を支払うことを余儀なくされた。
主な詳細:
セキュリティチームへの教訓:
AT&Tは2024年に2件の別々の情報漏洩事故に見舞われ、その結果、1億7700万ドルの和解金を支払うことになった。3月の事案では、サードパーティのプラットフォームが侵害されたことにより顧客データが流出。7月の事案では、Snowflakeに関連する情報漏洩が発生し、顧客の通話記録が影響を受けた。これら2件の事案による影響を受けた顧客数は、合わせて7300万人以上に上る。
主な詳細:
セキュリティチームへの教訓:
身元調査会社「ナショナル・パブリック・データ」で情報漏洩が発生し、社会保障番号、氏名、住所を含む29億件の記録が流出しました。

根本原因:姉妹サイト上の平文の認証情報により、メインデータベースへのアクセスが可能となっていた。その後、同社は破産を申請した。
主な詳細:
セキュリティチームへの教訓:
Vectra AIのデータ侵害検知アプローチは、ネットワーク、ID、クラウドの各領域にわたる行動分析を中核としており、初期アクセスが発生した後、攻撃者の移動が継続している段階、つまりデータが環境外に流出する前に、その活動を特定します。
Vectra AIは、既知のシグネチャではなく攻撃者の行動に基づいて脅威を検知し、優先順位を付けるAttack Signal Intelligence 」を活用しています。侵害事例の61%に見られるように、攻撃者が有効な認証情報を使用する場合、シグネチャベースのツールではそれが正当なアクセスとして認識されてしまいます。 行動AIは、個々のアクションが単独で見れば正当に見えても、同一のIDが偵察活動を行ったり、本来の業務範囲外のシステムにアクセスしたり、データを準備したりしていることを識別します。この違いこそが、進行中の侵害を捕捉する検知と、下流への影響を通じて侵害を発見する検知とを分けるものです。
Vectra AIは、ネットワークトラフィック、クラウド環境、ID管理システムを同時に監視することで、従来のツールでは見逃されがちな侵害の兆候を特定します。 NDRは、エンドポイント制御を迂回する脅威の検知に優れています。具体的には、管理対象外のデバイス間での横方向の移動、暗号化されたコマンド&コントロール通信、オンプレミスおよびクラウド環境を横断するIDの悪用などが挙げられます。攻撃者が正当なユーザーを装う、認証情報の盗難による侵害の61%において、ネットワークレベルの行動分析は、初期の侵害から侵害の発見までのギャップを埋める可視化レイヤーを提供します。
Vectra AIは、初期の偵察から横方向の移動、権限昇格、データの集積に至るまで、5段階からなる侵害ライフサイクルのあらゆる段階で攻撃者の行動を検知します。これにより、セキュリティチームは、データが外部へ流出してから、あるいは運用面や規制面での影響が生じてから脅威を発見するのではなく、流出が発生する前に脅威を封じ込めることが可能になります。
多くの組織が、実際に発生している侵害に気づかないまま241日間を過ごす間、その結果を左右するのは攻撃者の手口の巧妙さではなく、防御側がその動きを察知できるかどうかにかかっている。
データ漏洩は偶発的な出来事ではありません。そのパターンは一貫しています。すなわち、侵害された認証情報によって初期アクセスが成立し、正当なワークフローを通じた横方向の移動によって攻撃者の潜伏期間が延長され、可視性の断片化によって検知が遅れ、サードパーティとの接続によって下流への影響が拡大します。行動検知、IDセキュリティ、および正式なインシデント対応計画を通じて、こうした具体的な攻撃経路に対処する組織は、一般的なセキュリティ対策の強化に注力する組織よりも、一貫して優れた成果を上げています。
組織が現在どのようなリスクにさらされているかを評価するには、以下の診断質問をご検討ください:
こうしたギャップを最も迅速に埋める組織は、コストを抑え、より早く回復し、規制当局に対して説明ではなく証拠を提示することができる。
このページに掲載されている統計データおよび侵害件数の数値は、以下の一次情報源に基づいています:
特定された情報漏洩事案は、公開されている報告書や組織による開示情報を通じて記録されている。
データ侵害とは、通常、認証情報の盗難などを通じて、権限のない第三者が個人データ、財務記録、知的財産などの機密情報、保護対象情報、または機微情報にアクセスしてしまうセキュリティインシデントのことです。 フィッシング、あるいはシステムの脆弱性を悪用することを通じて発生するセキュリティインシデントです。
意図的な侵害の多くは、以下の5つの段階を経ます。すなわち、偵察、初期侵入、横方向の移動、データの収集と準備、そしてデータの持ち出しです。侵害された認証情報は、最も一般的な初期侵入手段であり、インシデントの61%に関与しています。
最も一般的な攻撃経路は認証情報の盗難(侵害事例の61%)であり、 フィッシング およびソーシャルエンジニアリング(16%)、ランサムウェア(システム侵入の75%)、クラウドの設定ミス、内部者による脅威、およびサードパーティやサプライチェーンの侵害(侵害の30%を占め、増加傾向にある)。出典:IBM 2025;Verizon DBIR 2025。
組織がセキュリティ侵害を検知し、封じ込めるまでに要する期間は平均241日である(IBM 2025年)。これは過去9年間で最も短い期間であり、検知能力の向上を反映しているが、それでも攻撃者が検知されることなく横方向への移動を行い、権限を昇格させ、データの持ち出しを準備する時間が数ヶ月間も与えられていることを意味する。
フォレンジック証拠を保全しつつ、さらなるデータ損失を防ぐために侵害の拡大を食い止めましょう。その後、影響範囲を評価し、所定の期限内に該当する規制当局へ通報し、フォレンジックおよび法務の専門家を関与させ、根本原因を是正し、得られた教訓を文書化してください。証拠が保全されるまでは、是正措置を行わないでください。
2025年の世界平均は1件あたり444万米ドルであり、米国の組織が支払う平均額は1,022万米ドルと、過去最高を記録しています。医療業界は1件あたり742万米ドルと、最もコストが高いセクターとなっています(IBM「データ侵害のコスト 2025」)。
主な規制枠組みには、GDPR(監督当局への72時間以内の通知)、NIS2(24時間以内の早期通報および72時間以内の詳細報告)、HIPAA(個人への60日以内の通知)、および30日から60日までの期間を定めた米国の各州法が含まれます。米国の全50州に加え、コロンビア特別区、プエルトリコ、およびバージン諸島は、それぞれ独自の通知要件を設けています。
NDRは、管理対象および非管理対象のデバイス、クラウド環境、IDシステムにわたるネットワークトラフィックをリアルタイムで分析し、エンドポイントやログベースのツールでは検知できない横方向の移動、認証情報の悪用、コマンド&コントロール通信を検知します。これは、有効な認証情報の使用によって引き起こされる攻撃の61%において、最初の侵害から侵害の発見までのギャップを埋める可視化レイヤーです。