【アンサー】セキュリティ対策はどこまでやるべき? ~セキュリティの必要性編~
- 祥貴 藤村
- 2025年12月25日
- 読了時間: 7分
本記事では、代表の小松による経営視点で考える、セキュリティ対策はどこまでやるべき?の内容から、セキュリティエンジニア視点でさらに深堀し解説していきます。今回はその中でも、企業におけるセキュリティ対策の必要性について取り上げます。
【ポイント➀】サイバー攻撃の産業化
かつてサイバー攻撃者といえば、技術力のある一部のハッカー集団が興味本位でサイトを改ざんしたり、愉快犯的にウイルスをばら撒いたりというイメージが強かったのではないでしょうか。しかし今や攻撃者たちは明確に金銭目的で動いています。サイバー攻撃は彼らにとって儲かる犯罪ビジネスになってしまいました。その背景にはいくつか条件が整ったことがあります。
まず、クラウドサービスの普及やリモートワークの拡大により、攻撃対象となるシステムや端末が大幅に増えました。企業ネットワークの境界が曖昧になったことで、攻撃者にとって侵入のハードルは以前よりも下がっています。
次に、企業が保有するデータの価値が飛躍的に高まった点も見逃せません。業務データや顧客情報、設計情報などは事業継続に直結する資産であり、重要なデータであるほど「高額でも取り戻したい」と企業に判断させやすくなっています。
さらに、仮想通貨の登場により、攻撃者は匿名性を保ったまま身代金を受け取ることが可能になりました。これにより、摘発リスクを抑えつつ収益を得られる環境が整っています。
加えて、攻撃用サーバや各種ツールをクラウド上で安価に利用できるようになったことも、攻撃の敷居を下げる要因となっています。以前は大きなコストが必要だった攻撃基盤も、今では容易に準備できるようになりました。
これらの要素が組み合わさった結果、サイバー攻撃は「低リスク・高リターン」の犯罪となってしまったのです。
最近では、RaaS(Ransomware as a Service)という仕組みが市場で台頭し始めております。これは「ランサムウェアという犯罪ツールをサービス化」したもので、攻撃のプロが作ったウイルスや攻撃インフラを、他の犯罪者がレンタルできるようになっています。つまり、技術がなくてもお金を払えば高度な攻撃ができてしまうのです。
このモデルでは、ランサムウェアを提供する開発者・運営者と、それを使って実際に攻撃を行う実行犯が役割分担されています。実行犯は得られた身代金の一部を手数料として開発者側に支払う仕組みで、いわばフランチャイズビジネスに近い構造です。この分業化・効率化によって、ランサムウェア攻撃は急速に拡大しました。
このようにサイバー攻撃の世界が完全に金儲けの手段になり、組織的な犯罪ビジネスとして成立してしまっていることが、攻撃件数を増加させている大きな要因です。攻撃者にとって儲かる限り、今後も攻撃はなくならないという厳しい現実があります。
【ポイント➁】経営リスクとしての「被害損害」
直接的な金銭被害
警察庁が公表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害報告件数は222件と高水準で推移しており、特に中小企業が多く被害を受けていることが明らかになっています。
ランサムウェア被害では、攻撃による身代金要求額の支払いだけでなく、復旧作業・データ復元・セキュリティ強化などの費用として数百万円〜数千万円単位の支出が発生することが珍しくありません。これは中小企業の財務負担に直結します。
これらの直接的な金銭被害は、経営者にとって即時的なキャッシュアウトリスクを生み、資金繰りや投資余力の圧迫につながります。
警視庁 令和6年におけるサイバー空間をめぐる脅威の情勢等について
サービス停止よる売上機械の損失
サイバー攻撃は単なる金銭的損失だけで終わりません。機会損失としての経営への影響は遥かに大きいケースが増えています。
ランサムウェアやDDoS等の攻撃によってシステムが停止すると、正常な業務やサービス提供ができなくなります。顧客への製品・サービス提供が停止し、売上機会が失われるだけでなく、顧客からの信頼失墜を招く可能性が高まります。サイト停止によって予約・申込受付が停止し、競合への流出が発生するなどの機会損失が報道されています。IPA(情報処理推進機構)が公表しているサイバー攻撃による企業活動への影響には「純利益は平均21%減少」との報告もあります。(https://www.ipa.go.jp/security/economics/practice/practices/Practice101/)
なお、サイバー攻撃対策として「バックアップを取得しているから問題ない」と考えている経営層や企業は少なくありません。しかし実際のインシデント対応の現場では、バックアップがあっても復元できない、あるいは実質的に使えないケースが数多く発生しています。これは、経営リスクとして見過ごされがちな重要なポイントです。
警視庁 令和6年におけるサイバー空間をめぐる脅威の情勢等について
ブランド価値・株価下落
データ漏洩やサービス停止は、株式市場からの評価にも直結します。ランサムウェア攻撃後にサービス停止が長引いた企業では株価の急落や顧客離れが表面化しており、これも経営指標に直接響いています。
IPA(情報処理推進機構)が公表しているサイバー攻撃による企業活動への影響には「株価は平均10%下落」との報告もあります。(https://www.ipa.go.jp/security/economics/practice/practices/Practice101/)
復旧対応コストと人的資源の逼迫
攻撃後の復旧作業は、IT部門だけでなく全社的な労力を消費します。通常業務を優先できない状況は、他の成長投資や新規プロジェクトの延期・中止を余儀なくされることにもつながり、企業の競争力を削ぎます。
【ポイント➂】サプライチェーン観点での取引停止リスク
現在は、サプライチェーン攻撃も増えてきています。サプライチェーン攻撃とは、狙った企業自体ではなく、その取引先や関連会社など、比較的セキュリティ対策の弱い企業を踏み台にして本来の標的に攻撃を仕掛ける手口です。
攻撃者にとってセキュリティの厳重な大企業を直接攻撃するのは難しいため、その周辺にいる中小企業など「守りの甘いところ」から攻めようとします。攻撃者は守りの甘いところを狙い、中小企業側のネットワークに侵入してから大企業のシステムに接近を試みます。昨今のサイバー攻撃では、自社への被害だけでなく取引先にも影響が及ぶケースが増えています。攻撃を受けた会社だけでなく、その会社と取引のある別の会社まで業務が止まってしまう、といった事態が起きているのです。IPA(情報処理推進機構)が2024年度に行った中小企業等の実態調査の結果です。質問:「サイバーインシデントによって貴社の取引先(サプライチェーン)に影響はありましたか?」という問いに対し、約7割の企業が『影響があった』と回答しています。つまり、サイバー攻撃を受けた企業の7割で取引先にも何らかの悪影響が及んだということです。
このような背景を受け、中小企業に対するセキュリティ対策の要請は年々強まっています。一方で、多くの企業と取引を行う中小企業においては、取引先ごとに異なるセキュリティ要件やチェックシートへの対応を求められるケースが多く、回答や対応に多大な時間と労力を要しているのが実情です。
こうした状況を踏まえ、経済産業省はサプライチェーン全体の強化を目的とした「セキュリティ対策評価制度」の実施を公表しており、早ければ2026年10月からの運用開始が見込まれています。本制度の導入により、これまで企業ごとにばらつきのあったセキュリティ要件や評価基準が標準化され、中小企業にとって煩雑であった対応の統一・効率化が期待されています。
IPA 2024年度中小企業等実態調査結果 https://www.ipa.go.jp/pressrelease/2024/press20250214.html
まとめ
サイバー攻撃はもはや一部の企業や業界だけの問題ではなく、あらゆる企業にとって現実的な経営リスクとなっています。攻撃の産業化により、被害は偶発的なものではなく、常に発生し得る前提で考える必要があります。特に中小企業においては、直接的な金銭被害に加え、事業停止による機会損失、ブランド価値の低下、取引先への影響など、経営基盤そのものを揺るがすリスクが複合的に発生します。
さらに、サプライチェーン全体でのセキュリティ水準が問われる中、自社の対策状況は取引継続の可否にも直結する時代になりました。今後は「被害に遭わないための対策」だけでなく、「被害が発生することを前提に、事業を止めないための備え」を含めた、経営視点でのセキュリティ対策が不可欠です。セキュリティはコストではなく、事業継続と信頼を守るための重要な経営投資と考える必要があります。
