サイバー攻撃は"いつ来るか"の問題——
経営層が知るべきセキュリティ対策の全体像と優先順位
1分でわかるサマリ
- 2025年のセキュリティインシデント公表件数は559件(トレンドマイクロ調べ)。KADOKAWA・アスクル・アサヒグループなど大企業の被害が相次いだ
- 侵入経路の80%超がVPN・RDP経由。境界防御の見直しが急務
- OWASP Top 10が2025年に改訂され、サプライチェーン脆弱性(A03)が新設された
- 対策は9つのドメインで整理でき、フェーズ別に段階的に着手可能
- 経済産業省のSCS評価制度がFY2026末の運用開始を目指しており、サプライチェーン全体での対策が求められつつある
被害はもう他人事ではない
2024-2025年の主要インシデント
「うちは大丈夫」——そう思えた時代は終わりつつあります。2024年から2025年にかけて、日本の大企業で深刻なサイバー攻撃被害が相次ぎました。
| 企業 | 時期 | 概要 | 影響 |
|---|---|---|---|
| KADOKAWA | 2024年6月 | BlackSuitによるランサムウェア攻撃。254,241人の個人情報流出 | ニコニコ動画が約2ヶ月停止 |
| アスクル | 2025年10月 | RansomHouseによる攻撃。主要サービス全停止 | 売上95%減。復旧に45日以上 |
| アサヒグループHD | 2025年9月 | Qilinによる攻撃。9月29日に検知 | 復旧に約9週間、完全正常化まで約5ヶ月 |
トレンドマイクロの集計によれば、2025年に公表されたセキュリティインシデントは559件に上ります。こうした数字を見ると、サイバー攻撃はもはや「もし被害に遭ったら」ではなく「いつ被害に遭うか」の問題になってきたと言えるのではないでしょうか。
侵入経路の実態——VPN・RDPが80%超
では、攻撃者はどこから侵入しているのでしょうか。警察庁の調査(令和4年上半期報告が初出、以後一貫した傾向)によれば、ランサムウェア被害における侵入経路の約83%がVPNとRDP経由です。
テレワーク普及で急いで構築したリモートアクセス環境が、そのまま攻撃の入り口になっている。この構造的な脆弱性は、多くの企業でまだ十分に対処されていないのが実情です。
なぜ攻撃は防ぎきれないのか
二重恐喝・サプライチェーン攻撃の進化
近年のランサムウェア攻撃は、データを暗号化するだけでなく、事前にデータを窃取し「身代金を払わなければ公開する」と脅す二重恐喝(ダブルエクストーション)が主流になっています。バックアップだけでは防げない時代です。
さらに、自社のシステムが直接攻撃されるのではなく、取引先や委託先を経由して侵入されるサプライチェーン攻撃も増加しています。自社のセキュリティだけでなく、サプライチェーン全体のリスク管理が求められるようになっています。
クラウド設定ミス・S3バケットの悪用
オンプレミスからクラウドへの移行が進む中、新たなリスクも顕在化しています。AWSのS3バケットやAzure Blob Storageのアクセス権限設定ミスによる情報漏洩は、世界的に後を絶ちません。クラウドは「預ければ安全」ではなく、設定と運用の責任は利用者にあるという「責任共有モデル」の理解が不可欠です。
被害の本当のコスト——事業停止・信用毀損・訴訟
事業停止期間の実態
サイバー攻撃の被害を「情報漏洩の件数」だけで捉えるのは不十分です。企業にとってより深刻なのは、事業そのものが止まることです。
| 企業 | 停止期間 | 事業影響 |
|---|---|---|
| KADOKAWA | 約2ヶ月(ニコニコ動画) | 出版事業の出荷にも遅延 |
| アスクル | 45日以上 | 売上95%減 |
| アサヒグループHD | 約9週間(完全正常化に約5ヶ月) | グループ全体の業務に影響 |
見えにくいコスト
IBMの「Cost of a Data Breach Report 2025」によれば、データ侵害の平均コストは過去最高を更新し続けています。しかし直接的な復旧費用は氷山の一角に過ぎません。
- 株価への影響——大規模インシデント公表後、株価が一時的に下落するケースが多い
- 取引先の離反——セキュリティ体制への不信から取引見直しに至ることも
- 採用への影響——インシデントが報道された企業への応募が減少する傾向
- 訴訟リスク——個人情報漏洩に対する集団訴訟や損害賠償請求
被害コストの全体像を把握しておくことは、セキュリティ投資の意思決定において重要な視点です。
ランサムウェアだけではない——見えにくい脅威の正体
OWASP Top 10 2025が示すアプリ脆弱性の最新像
ランサムウェアに注目が集まる一方で、Webアプリケーションの脆弱性という別の大きなリスクも存在します。OWASP(Open Worldwide Application Security Project)が2025年に改訂した「Top 10」は、世界のWebアプリケーション脆弱性の公式ランキングとも言える指標です。
| # | カテゴリ | 概要 |
|---|---|---|
| A01 | Broken Access Control | 認可制御の不備。権限のないデータや機能にアクセスされるリスク |
| A02 | Security Misconfiguration | セキュリティ設定の不備。2021年の5位から2位に上昇 |
| A03 | Software Supply Chain Failures | サプライチェーン脆弱性。2021年A06の拡張として新設 |
| A04 | Cryptographic Failures | 暗号化の不備。2021年2位から4位にランクダウン |
| A05 | Injection | SQLインジェクション等。2021年3位から5位にランクダウン |
| A06 | Insecure Design | 設計段階でのセキュリティ欠如 |
| A07 | Identification and Authentication Failures | 認証の不備。パスワード管理やセッション管理の問題 |
| A08 | Software or Data Integrity Failures | ソフトウェア・データの整合性に関する問題 |
| A09 | Security Logging and Alerting Failures | ログ・アラートの不備。侵害の検知が遅れる原因 |
| A10 | Mishandling of Exceptional Conditions | 例外処理の不備。新設 |
アクセス制御不備(A01)と設定ミス(A02)がワンツー
1位と2位がアクセス制御と設定ミスであることは示唆的です。高度な攻撃手法ではなく、基本的な設定と権限管理の不備が最大のリスク要因になっています。これは逆に言えば、基本を徹底するだけで多くの脅威を防げる可能性があるということでもあります。
サプライチェーン脆弱性(A03)の新設が意味するもの
A03に「Software Supply Chain Failures」が新設されたことは、2021年のSolarWinds事件やLog4Shell脆弱性を経て、ソフトウェアサプライチェーン全体のセキュリティが業界共通の課題として認識されたことを意味しています。自社が開発したコードだけでなく、利用しているOSSやサードパーティのライブラリも含めた管理が求められています。
なお、2021年版でA10だったSSRF(Server-Side Request Forgery)はA01に統合されています。
対策の全体像——9つのドメインで考えるセキュリティマップ
セキュリティ対策は範囲が広く、どこから手をつければよいか迷いがちです。従来は「境界防御」「エンドポイント」といった制御の種類で分類するのが一般的でしたが、経営層にとっては「何を守るか」——つまり資産を軸に整理するほうが直感的ではないでしょうか。ここでは対策を9つのドメインに分類した「セキュリティマップ」で全体像を俯瞰し、手薄な領域を可視化します。
| ドメイン | 何を守るか | 代表的テクノロジー |
|---|---|---|
| 端末・サーバー | PC・モバイル・サーバー | EPP → EDR → UEM / MTD |
| ネットワーク | 通信経路・境界 | NGFW / SASE・SSE(SWG, ZTNA, FWaaS, CASB) |
| ID管理 | ユーザーID・特権アカウント | IDaaS / PAM / ITDR / IGA |
| パブリッククラウド | IaaS/PaaS上の資産 | CNAPP(CWPP, CSPM, CIEM, KSPM) |
| ログ・監視 | 検知・対応能力 | SIEM / SOAR / XDR / SOC |
| 人 | 従業員のリテラシー | Security Awareness / フィッシング訓練 |
| 公開資産・攻撃面管理 | Webサイト・API・外部公開資産 | WAF・WAAP / SAST・DAST / SCA / EASM・ASM |
| IoT・OT | 制御系・IoTデバイス | OTセキュリティ / ネットワーク分離 |
| AI | AIモデル・学習データ | Model Scan / AI SPM / LLM Firewall |
各ドメインで押さえておきたいポイントを順に見ていきます。
端末・サーバー——EPP/EDR/UEM(EDRだけでは万全ではない)
EPP(Endpoint Protection Platform)はマルウェアの侵入を防ぐ防御基盤、EDR(Endpoint Detection and Response)は侵入後の検知・対応を担う仕組みです。最近はEDRの導入が進んでいますが、EDRを入れれば安心というわけではありません。アラートを受けて対処する運用体制がなければ、検知しても被害を防げないケースがあります。
さらに、スマートフォンやタブレットの業務利用が増える中、UEM(Unified Endpoint Management)でPC・モバイルを一元管理する動きや、モバイル端末に特化したMTD(Mobile Threat Defense)の導入も広がっています。
ネットワーク——NGFW/SASE/SSE(侵入口対策の最前線)
前述の通り、ランサムウェアの侵入経路の80%超はVPN・RDP経由です。ネットワーク機器の脆弱性対応と攻撃面の削減は、特に即効性の高い施策です。
NGFW(Next-Generation Firewall)はアプリケーションレベルの制御を行う次世代ファイアウォール。SASE(Secure Access Service Edge)は、ネットワークとセキュリティをクラウドで統合するアーキテクチャで、SWG(Web通信のフィルタリング)、ZTNA(ゼロトラスト型のリモートアクセス)、CASB(SaaSの利用制御)などを包含します。テレワーク環境のセキュリティを根本から見直すなら、SASE/SSEは有力な選択肢です。
ID管理——IDaaS/PAM(SaaS+ネットワーク連携が鍵)
クラウドサービスの利用が増えるほど、ID管理の重要性は高まります。IDaaS(Identity as a Service)はSSOとMFAを提供するクラウド型のID管理基盤で、SaaS利用時の認証を一元化できます。
見落とされがちなのは、IDaaS単体では不十分という点です。SaaSへの認証だけでなく、ネットワーク接続時の認証とも連携させることで、「誰が・どこから・何にアクセスしているか」を横断的に管理できるようになります。PAM(Privileged Access Management)は特権アカウントの管理を強化し、管理者権限の悪用を防ぎます。
パブリッククラウド——CNAPP(設定ミスが最大のリスク)
クラウド環境における最大のリスクは、高度な攻撃ではなく設定ミスです。IAMポリシーの過剰な権限付与やストレージの公開設定など、ヒューマンエラーに起因するインシデントが後を絶ちません。
CNAPP(Cloud-Native Application Protection Platform)は、クラウドセキュリティの主要機能を統合したプラットフォームです。CSPM(設定ミスの検出)、CWPP(ワークロード保護)、CIEM(クラウドの権限管理)、KSPM(Kubernetes環境のセキュリティ)などを一括でカバーします。
ログ・監視——SIEM/XDR/SOC(検知と対応の統合)
セキュリティ対策を導入しても、攻撃を検知し迅速に対応できなければ被害は拡大します。SIEM(Security Information and Event Management)はログを集約・相関分析するプラットフォーム、XDR(Extended Detection and Response)はエンドポイント・ネットワーク・クラウドなど複数の領域からのアラートを統合して対応する仕組みです。
自社で24時間の監視体制を構築するのは難しい場合、SOC(Security Operations Center)サービスとして外部委託する選択肢もあります。SOAR(Security Orchestration, Automation and Response)を活用すれば、定型的な対応を自動化し、限られた人員でも運用を回すことが可能です。
人——Security Awareness(教育だけでは不十分)
フィッシングメールやソーシャルエンジニアリングに対しては、技術的対策だけでは限界があります。セキュリティ研修やフィッシング訓練の実施は欠かせません。
ただし、教育だけで人的リスクをゼロにすることはできないのも現実です。「うっかりクリック」は一定の確率で発生するため、メールフィルタリングやサンドボックスといった技術的な防御との両輪で対策することが重要です。訓練の目的は「クリックした人を責める」ことではなく、「組織全体の検知力を上げる」ことにあります。
公開資産・IoT/OT・AI——広がる攻撃面
- 公開資産:Webアプリケーションの脆弱性対策としてWAF(Web Application Firewall)やSAST/DAST(静的・動的セキュリティテスト)が基本です。EASM(External Attack Surface Management)で外部から見える攻撃面を継続的に把握することも重要性が高まっています。加えて、APIやWebサービスの実行時防御も欠かせません。シークレット情報(APIキー・DB接続情報等)をシークレットマネージャーで一元管理し、ソースコードや.envファイルへの直書きを排除する。APIキーには最小限の認可スコープを設定する。レート制限で異常なリクエストを遮断する。決済を伴うサービスでは一回あたりの取引金額の上限を設ける——こうしたアプリケーションレベルの多層防御が、万が一認証情報が漏洩した場合の被害を局所化します
- IoT・OT:工場や設備の制御系システムは、ITネットワークとの分離が原則ですが、DXの進展で接続が増えています。OTセキュリティの可視化と、IT/OT境界のアクセス制御が急務です
- AI:生成AIの業務利用が広がる中、プロンプトインジェクションやモデルへの攻撃、学習データの汚染といった新しいリスクが生まれています。LLM FirewallやAI SPM(AI Security Posture Management)といったカテゴリが形成されつつあります
プラットフォーム統合という潮流
9つのドメインそれぞれに個別の製品を導入すると、管理画面やアラートが分散し、運用負荷が膨らみます。近年のセキュリティ業界では、部分最適から全体最適へ——複数の機能を包括するプラットフォームで対策する動きが加速しています。
- 端末 × 監視:EDRを起点に、ネットワークやクラウドのログも統合して対応するXDR/MDR
- ネットワーク × ID:SWG・ZTNA・CASBを一体化したSASE/SSE
- クラウド:CSPM・CWPP・CIEMをまとめたCNAPP
統合プラットフォームの利点は、隙間のない防御と運用の一元化です。アラートの相関分析が容易になり、対応速度も向上します。ただし、自社の環境や既存ツールとの相性もあるため、「何を統合すべきか」は現状のセキュリティマップを可視化したうえで判断するのが得策です。
現実的なロードマップ——フェーズ別の着手順(例)
セキュリティマップで全体像を把握したら、次は「いつ、何から着手するか」を時間軸で整理します。最適な順序は企業の規模・業種・既存の対策状況によって異なりますが、ここではひとつの目安を示します。
フェーズ1(0-3ヶ月):即効性の高い施策から
コストが比較的低く、効果が大きい施策の例です。
- MFA全社展開——VPN・メール・SaaSすべてに適用。費用対効果が高い
- VPN/RDP脆弱性の緊急パッチ適用——侵入経路の80%超を占めるリスクポイントを即座に対処
- EDR導入・運用体制の構築——導入だけでなく、アラート対応の体制まで整える
- 3-2-1バックアップの確立——3つのコピー、2種類のメディア、1つはオフサイト
- インシデント対応計画の策定——「誰が」「何を」「どの順番で」を事前に決めておく
- フィッシング訓練の開始——技術対策と並行して、人的な検知力を高める
- シークレット管理の見直し——APIキーや接続情報の直書きを排除し、認可スコープを最小化
フェーズ2(3-6ヶ月):可視化と制御の強化
基盤が整ったら、可視化と制御範囲の拡大に取り組む例です。
- IDaaS/SSO導入——SaaSとネットワークの認証を一元化し、シャドーITも可視化
- ネットワークセグメンテーション——万が一侵入されても、被害の拡大を最小限に
- SIEM/ログ管理基盤の整備——いつ、何が起きたかを追跡できる体制を構築
- CSPM導入——クラウド環境の設定ミスを継続的に検出・是正
- 委託先のセキュリティ基準策定——サプライチェーン全体のリスク管理の第一歩
フェーズ3(6ヶ月-):統合・高度化
中長期的には、プラットフォーム統合や制度対応が視野に入ります。
- SASE/SSEへの移行——VPN依存を脱却し、ゼロトラスト型のリモートアクセスへ
- XDR/MDRによる検知・対応の統合——複数ドメインのアラートを統合し、対応を効率化
- SBOM管理・DevSecOpsの導入——ソフトウェアサプライチェーンの透明性を確保
- SCS評価制度への対応——経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度」。FY2026末の運用開始を目指しており、自社の対策レベルの棚卸しは今から始められます
上記はあくまで一例です。自社のセキュリティマップを可視化し、手薄なドメインから優先的に着手することが重要です。
経営層が今日から問うべき5つの質問
最後に、経営層として自社のセキュリティ体制を点検するための5つの問いを提案します。
- 「自社のVPN/RDPは最新のパッチが適用されているか?」——侵入経路の80%超を占める最大のリスクポイント
- 「全社員・全システムにMFAが適用されているか?」——最も費用対効果の高い単一の防御策
- 「事業停止した場合の1日あたりの損失額を把握しているか?」——セキュリティ投資の判断基準になる
- 「インシデント発生時に、最初の1時間で何をするか決まっているか?」——初動の速さが被害規模を左右する
- 「サプライチェーン全体のセキュリティリスクを把握しているか?」——自社だけ守っていても、取引先経由で侵入されるリスクがある
これらの問いにすべて「はい」と答えられる企業は多くないかもしれません。しかし、問いを立てること自体が対策の第一歩です。完璧を目指すのではなく、現状を正確に把握し、優先度の高い施策から段階的に取り組んでいく。そうしたアプローチが、現実的で持続可能なセキュリティ対策につながるのではないでしょうか。
参考文献
- 警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」——ランサムウェア侵入経路の統計
- トレンドマイクロ「2025年 国内セキュリティインシデントを振り返る」——インシデント559件の集計
- IPA「情報セキュリティ10大脅威 2026」——国内の主要脅威の概観
- OWASP Top 10:2025——Webアプリケーション脆弱性の最新ランキング
- KADOKAWAグループ 公式発表(2024年8月)——サイバー攻撃に関する報告
- アスクル株式会社 セキュリティインシデント公式発表——2025年10月の攻撃と復旧
- アサヒグループホールディングス サイバー攻撃に関する調査報告——2025年9月の攻撃と復旧
- 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(制度構築方針案)」(2025年12月)
- NIST Cybersecurity Framework 2.0——米国標準のサイバーセキュリティフレームワーク
- 総務省「テレワークセキュリティガイドライン 第5版」——リモートワーク環境のセキュリティ
- JPCERT/CC「インシデント報告対応レポート 2025年」——国内インシデントの動向
- IBM「Cost of a Data Breach Report 2025」——データ侵害の平均コスト調査
- PwC Japan「SCS評価制度の具体化に向けた動向」——制度の解説と企業への影響
- 警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」——最新動向
よくある質問(FAQ)
「9つのドメインのうち、自社はどこが手薄か」
——セキュリティマップで対策状況を可視化しませんか。
現状のアセスメントから優先施策の特定、ロードマップ策定まで、
お気軽にご相談ください。