デジタル化が進む今、情報資産を安全に扱う意識は欠かせません。とくに企業の情報は、破損や消失を防ぎ、必要なときにすぐ使える状態を保つことが重要です。

この記事では、「サイバーセキュリティ」の基本的な意味や最新動向から、個人としても企業としてもどのように考え、取り組んでいくべきなのかをわかりやすく解説します。

サイバーセキュリティとは

サイバーセキュリティとは、サイバー空間（ネットワーク／クラウド／端末／ソフトウェア）で扱う情報資産を、機密性・完全性・可用性（CIA）に加え、真正性（本人・正当性の確認）・責任追跡性（誰が何をしたかの記録）・否認防止（後からの“やっていない”を防ぐ証跡）・信頼性（期待どおり動作する安定性）の“7要素”の観点から守る取り組み全般です。

なぜ今、重要か（最新動向）

国内でも件数・圧力が高止まり

2024年のサイバー犯罪の検挙件数は13,164件、関連サイバー事案の検挙は3,611件。2025年上半期も6,625件が検挙されており、依然として高水準です。警察庁センサーによる不審アクセスも増加傾向が続いています。

実務現場の“報告”も増

JPCERT/CCが2025年Q1（4–6月）に受け付けたインシデント報告は14,558件（前期比+44%）。脆弱機器の探索や侵入試行の観測が継続して多く、国内外組織との調整案件も多数にのぼります。

グローバルでは“過去最大規模”の侵害

Verizon DBIR 2025は22,052件のインシデントのうち12,195件を実際のデータ侵害として分析（同報告史上最多）。第三者関与が倍増（30%）、脆弱性悪用は前年比+34%で20%に達し、サプライチェーンとパッチ運用の重要性がさらに増しています。

EUの最新ランドスケープ

ENISA ETL 2025は4,875件のインシデントを集計（対象期間：2024/7–2025/6）。DDoSが全体の約76.7%を占め、ハクティビズム起因の可用性攻撃が目立つ一方、侵入（17.8%）や脆弱性悪用（21.3%）も無視できない比率です。

日本の優先課題は変わらず

IPA「情報セキュリティ10大脅威2025」では、組織向けの1位がランサム攻撃、2位にサプライチェーン／委託先を狙った攻撃。順位に依らず“自組織に関係する脅威”への対応を求めています。

実務では「人・プロセス・技術」を束ね、リスクに基づく運用で継続的に改善します。近年はサプライチェーンや生成AI時代の認証・権限管理（IDaaS／ゼロトラスト）が焦点です。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録はこちらから

基本概念

情報セキュリティ7要素

従来のCIA三要素（機密性・完全性・可用性）に、真正性・責任追跡性・否認防止・信頼性を加えた「7要素」として整理するケースが近年は主流です。実務はこの7観点で設計・運用を見直します。

• 機密性（Confidentiality）：権限のない閲覧を防ぐ。データ分類、最小権限、暗号化（保存・転送）、MFA。
• 完全性（Integrity）：改ざんや誤更新を防ぐ。署名・ハッシュ、変更管理、改ざん耐性ログ。
• 可用性（Availability）：必要な時に使える状態。冗長化、RTO/RPO、3-2-1＋イミュータブルバックアップ、DDoS対策。
• 真正性（Authenticity）：本人／正当な送信元の確認。強固な認証、相互TLS、コード署名。
• 責任追跡性（Accountability）：誰が何をしたかを追える。監査ログ、時刻同期、SIEMで保存・分析。
• 否認防止（Non-repudiation）：後から「やっていない」を防ぐ。電子署名、タイムスタンプ、電子証跡。
• 信頼性（Reliability）：期待通り安定して動く。SLO／可観測性、テストとリリース管理、障害復旧手順。

ゼロトラスト

境界防御前提をやめ、継続的な認証・認可＋端末健全性チェックで守る考え方です。

実際の対策例

• IdP（IDプロバイダー）によるSSO（シングルサインオン）とMFA（多要素認証）
• 条件付きアクセス
• ネットワークのマイクロセグメンテーション
• 継続的モニタリング（XDR／SIEM）

多層防御

予防（予測／保護）→検知→対応→復旧を重ねます。単一製品に依存しません。

実際の対策例

• メール対策／フィッシング訓練
• エンドポイント（EDR）
• ネットワーク／WAF
• 脆弱性管理
• ログ可視化

脆弱性管理

資産台帳→識別→評価→対処→検証→報告のサイクルを回します。

情報源

• CVE：世界共通の脆弱性識別子。https://www.cve.org/
• NVD：NIST運営の国立脆弱性DB。https://nvd.nist.gov/
• JVN：国内の脆弱性情報と対策。https://jvn.jp/

実際の対策例

• 「パッチ適用」「設定緩和」「一時隔離」の選択肢を用意し、検証→本番のフローを標準化します。

主な脅威と手口

ランサムウェア（暗号化・二重／三重恐喝）

侵害されたVPNや公開RCE、フィッシングを起点に侵入し、横展開→機密窃取→暗号化→恐喝へと進みます。復旧不能や風評被害を狙う二重／三重恐喝が主流です。

対策方法：MFA徹底／外部公開資産の脆弱性即修正／管理者アカウントの分離運用／EDR／XDRで横展開検知／イミュータブル＋定期復元テスト済みバックアップ／退職・委託終了時のオフボーディング徹底。

サプライチェーン攻撃（委託先・ソフト更新の侵害）

MSP・ベンダーの権限や更新基盤を乗っ取り、正規アップデートや運用経路を悪用して侵入します。信頼関係を突破口にするのが特徴です。

対策方法：セキュリティ条項・監査（契約／ISMS／報告義務）／特権境界の分離（アクセスは最小・期限付き）／SBOM管理と署名検証／更新基盤のハードニング・鍵管理／第三者接続のゼロトラスト化。

公開サーバ／クラウドの脆弱性悪用（ゼロデイ含む）

VPN、WAF／リバースプロキシ、Webミドルウェア、CI/CD、ストレージ設定など“外部に露出する面”が標的になります。ゼロデイや既知脆弱性の迅速悪用が増えています。

対策方法：外部露出の棚卸しと優先度付け／WAF・IPS・仮想パッチ／定期スキャン＋外形監視／IaC化とレビューで設定ミス削減／鍵・トークンのセキュア管理（保管・ローテーション）。

フィッシング／BEC（ビジネスメール詐欺）

偽ドメインや転送ルール悪用、生成AIで自然な文面を装い、認証情報や送金フローを騙し取ります。役員成りすましや請求書改ざんが典型です。

対策方法：MFA必須／SPF・DKIM・DMARC整備／メールセキュリティ（URL防御・サンドボックス）／送金・口座変更は二経路承認／メール転送ルールの監査／利用者訓練と模擬演習。

内部不正・人的ミス

意図的な持ち出し、誤送信、過剰権限、退職者アカウント放置など、人に起因する事故が一定割合を占めます。

対策方法：データ分類とDLP／最小権限・権限の定期レビュー／監査ログと行動分析（UEBA）／入社・異動・退社（JML）プロセスの自動化／機微データの暗号化とアクセス申請フロー。

DDoS（可用性攻撃）

大容量化とアプリ層攻撃が並行し、ハクティビズムや恐喝型も増えています。瞬時の対処が遅れるとサービス停止に直結します。

対策方法：Anycast型CDN／WAFの常時適用／レート制御・接続制限／オリジン分離・シールド構成／ISP・CDN連絡網と切替手順（Runbook）事前整備／演習で復旧時間短縮。

誤設定・公開設定ミス（クラウド／ストレージ）

S3などのパブリック公開、過剰ロール、長寿命アクセスキーなど“ヒューマンエラー×クラウド特性”が漏えいの引き金になります。

対策方法：CSPM／CIEMで継続監査／テンプレート化（Terraform等）とポリシー・アズ・コードで逸脱防止／短期トークン・ローテーション運用／シークレット管理（専用ボルト・KMS）。

日本の主要ガイドライン／フレームワーク

前述の脅威に対しては、業界や技術等の軸で存在感のあるガイドラインやフレームワークを学習することは非常に有益です。実務で“迷わない”ことを最優先に、用途別に公式ドキュメント中心に整理します。

経営・組織

• サイバーセキュリティ経営ガイドライン Ver.3.0：経営者が押さえるべき指針と実行項目（重要10項目）。
• ISMS 認証スキーム（JIS Q 27001:2025）：国内のISO/IEC 27001（JIS化）認証の仕組み。

中小企業

• 中小企業の情報セキュリティ対策ガイドライン（IPA）
• 中小企業において目指すSecurity By Design（JNSA）

事故対応・体制（CSIRT／インシデント）

• CSIRTガイド＆インシデントハンドリング・マニュアル（JPCERT/CC）
• 中小企業のためのインシデント対応手引き（IPA）
• インシデント対応（調整）活動（JPCERT/CC）

脆弱性情報・通報

• JVN：国内脆弱性情報の要。
• 情報セキュリティ早期警戒パートナーシップ（IPA×JPCERT/CC）

クラウド利用・選定

• 政府情報システムのためのセキュリティ評価制度（ISMAP）
• クラウドサービスの安全・信頼性に係る情報開示指針（総務省）
• 中小企業のためのクラウドサービス安全利用の手引き（IPA）

産業／制御系（OT／ICS）

• サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）
• 制御システムのセキュリティリスク分析ガイド（IPA）

業界別（医療・金融・教育）

• 医療情報システムの安全管理ガイドライン（厚生労働省）
• 医療情報を取り扱う事業者の安全管理ガイドライン（経済産業省）
• 金融機関等コンピュータシステムの安全対策基準（FISC）
• 教育情報セキュリティポリシーに関するガイドライン（文部科学省）

テレワーク／働き方

• テレワークセキュリティガイドライン（第5版）

まとめ

昨今のサイバー攻撃手法は日々複雑化・巧妙化しているため、最新の動向を意識して対策をしていかなければなりません。常に最新のセキュリティ技術を導入し続けることはコストも運用も厳しいですが、人的対策・物理的対策など基本のサイバーセキュリティをチェックしておくだけでも効果はあります。

自社でサイバーセキュリティへ対応することが難しい場合や不安が残る場合には、業者が提供するセキュリティチェックサービスを活用したり、専門事業者に自社に合った対策の設計を依頼するなど、第三者の知見を取り入れることも選択肢のひとつです。

よくある質問

現在のセキュリティ対策に問題があるかどうか知りたい

まずは、自社の現状を把握することから始めましょう。本当のリスクは何なのかを見極める「リスクアセスメント」を実施して現状の問題を浮き彫りにすることで、対策を施す対象を絞ることができます。

日本国内でのサイバー攻撃被害はどのくらいありますか？

あまり知られていませんが、日本はサイバー攻撃の被害が非常に多く、世界第3位の標的国となっています。年間での被害人数はおよそ400万人とされ、10秒に1人がサイバー攻撃の被害に遭っている計算です。特に、企業や政府関係のサイトは社会的影響度が高いことから、ターゲットにされやすくなっています。