サイバーレジリエンスとは何か―ランサムウェア時代の企業が取るべき対策と実践ガイド
第1回:サイバーレジリエンスの重要性:攻撃を前提とした“事業を守る防御”とは

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーレジリエンスとは何か  第1回:サイバーレジリエンスの重要性

攻撃されても事業を継続できる力「サイバーレジリエンス」を解説。シリーズ第1回では、2025年のランサムウェア攻撃の事例をもとに、従来の防御型セキュリティの限界を整理。攻撃を前提とした強靭な防御策や、技術・人・組織を融合させた総合的な情報セキュリティ体制の重要性を解説します。

サイバーレジリエンスの必要性が高まる背景

2020年代半ばにおいては、「情報セキュリティ」という言葉が単なる防御策やリスク回避という意味合いを超えて、新たな時代へと突入しました。その象徴的な出来事が、2025年秋に発生したアサヒグループHDへのランサムウェア集団Qilin(キリン)によるサイバー攻撃です。日本を代表する食品・飲料メーカーが標的となり、情報システムの停止、新商品の発売延期、受注や出荷業務の停滞、さらに決算発表の延期にまで発展したこの事件は、社会全体に深刻な影響をもたらしました。この出来事は、従来型の「守るための情報セキュリティ」だけでは不十分であり、「サイバーレジリエンス」、すなわち「攻撃を受けても事業を継続するための強さ」が必要不可欠であることを多くの日本企業に示しました。

サイバーレジリエンスとは何か

サイバーレジリエンスとは、米国NISTなどが提唱している、「攻撃を受けても迅速に回復し、事業運営を継続できる能力」のことです。情報セキュリティにおいても、技術対策の積み重ねだけでは完璧な防御は難しく、ランサムウェアAPT(Advanced Persistent Threat) のような高度な攻撃に突破される可能性は常に存在します。そのため、企業はどのように復旧し、どのように事業を再開するかに知恵を絞り、BCP(事業継続計画)やリスク評価のサイクルの中にサイバーレジリエンスを組み込むことが不可欠となっています。

2025年、ランサムウェア市場で主要な犯罪ビジネス「RaaS」

QilinによるアサヒGHDへの情報セキュリティ上の課題は多様です。同グループは「RaaS(Ransomware as a Service)」、すなわち攻撃ツールやノウハウを提供しビジネス化したモデルを採用しており、技術力が高くない実行者でも大規模な攻撃を行える点が脅威となっています。実際の攻撃手法としては、フィッシングメールやVPNの脆弱性を突いた侵入が多く、内部侵入後は認証情報の窃取や水平展開、情報漏洩と二重脅迫が展開されます。アサヒGHDでは、27GB以上、9300ファイルに及ぶ機密情報が流出し、従業員の個人情報が公開されるリスクも現実化しました。復旧には数ヶ月を要すると見込まれています。

企業が取るべき防御と対応の考え方

情報セキュリティを考える際、システムに侵入されないことを前提にする従来のアプローチは、もはや限界を迎えています。特に製造業など基幹産業では、デジタルシフトによりサイバー攻撃の影響範囲が拡大しつつあります。今求められているのは、ゼロトラストモデル、EDR・XDR、オフラインバックアップを中心とした多層防御、現実の攻撃を想定したインシデント対応計画、従業員教育や情報共有を含めた総合的な情報セキュリティ体制です。技術だけでは乗り越えられない脅威に備え、組織のガバナンスと人材育成が融合した「組織としてのレジリエンス」が、真の競争力となり、顧客や関係者からの信頼にも直結します。

組織としてのレジリエンスと競争力への影響

企業・組織としてサイバーレジリエンスを高めるためには、下記の要素が重要です。

  • リスク評価と資産洗い出しによる保護対象の明確化
  • インシデント対応計画(IRP)と定期的な訓練による実践力の強化
  • 速やかに復旧できるバックアップ体制と、復旧目標(RTO/RPO)の設計
  • 技術と人、両面からの多層防御策(EDR、MFA、多層アクセス制御など)と、従業員への情報セキュリティ教育・組織のガバナンス強化と、早期発見
  • 報告を促す風通しの良い社内文化

Qilin事件を機に、多くの日本企業は情報セキュリティ戦略を再構築し、「攻撃を防ぐ」だけでなく「攻撃されても事業継続できる」レジリエンス思考へのシフトを迫られています。サイバー攻撃の高度化と社会的インパクトは、すでに企業の枠を超え、日本社会全体の重要課題となっています。「情報セキュリティ」と「サイバーレジリエンス」が両軸として不可分であることを、今こそ再認識すべき時代に突入しています。

次回、第2回では、QilinによるアサヒGHD攻撃の詳細と、技術的・組織的インパクト、企業が得るべき教訓について、さらに深く掘り下げます。


―第2回へ続く―

【参考情報】

【関連ウェビナー開催情報】
弊社では12月3日(水)14:00より、「【最新事例解説】Qilin攻撃に学ぶ!組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは?」と題したウェビナーを開催予定です。最新のランサムウェア被害事例をもとに、攻撃の実態と被害を最小化するための具体的な備えについて解説します。ぜひご参加ください。詳細・お申し込みはこちら

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年11月26日(水)13:00~14:00
    【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-
  • 2025年12月3日(水)14:00~15:00
    【最新事例解説】Qilin攻撃に学ぶ!組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは?
  • 2025年12月10日(水)14:00~15:00
    【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT® with Swift Delivery紹介セミナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    サイバーセキュリティとは-情報セキュリティとの違いと目的・対策・重要性を解説-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーセキュリティとは-情報セキュリティとの違いと目的・対策・重要性_アイキャッチ画像

    サイバーセキュリティとは、インターネットやデジタル技術を利用する社会で欠かせない「防犯」の仕組みです。情報セキュリティとの違いを正しく理解し、その目的や重要性を把握することは、セキュリティ担当者だけでなくすべての利用者に求められます。本記事では、サイバーセキュリティの基本から具体的な対策、最新トレンドまでをわかりやすく整理し、日常業務や企業活動に活かせる実践的なポイントを解説します。

    サイバーセキュリティという言葉を初めて耳にすると、多くの人が「何か難しそう」「専門家向けでは?」と思ってしまうかもしれません。しかし、インターネットやスマートフォンを使って日常生活を送る現代において、サイバーセキュリティは私たちにとっても実は身近な存在です。

    サイバーセキュリティとは?日常とのつながり

    たとえば、「情報セキュリティ」という言葉の通り、サイバーセキュリティは個人や企業が保有する情報を、外部の攻撃や内部の不正から守るためのあらゆる取り組み——つまり「デジタル社会の防犯」と言ってもいい存在です。特別なものではなく、日々のネット利用やデバイス操作そのものがサイバーセキュリティと密接に関わっているのです。現代はスマートフォンやパソコンだけでなく、テレビや冷蔵庫までがネットにつながる”IoT社会”。SNSでのコミュニケーションやオンラインショッピング、各種アプリの利用など、「サイバー空間」と呼ばれるインターネットの世界は生活の一部になっています。この便利さの裏には、見えないサイバー攻撃のリスクが潜んでいます。ここを知ることが、サイバーセキュリティへの第一歩です。

    サイバー攻撃とは何か

    サイバー攻撃とは、インターネットやネットワークを通じてコンピュータやスマートフォンなどのデバイス、Webサービスなどに損害を与える行為を指します。ニュースでは「ウイルス」「マルウェア」「フィッシング詐欺」「ランサムウェア」「不正アクセス」などの言葉が頻繁に登場しますが、これらはすべてサイバー攻撃の一種です。たとえば、フィッシング詐欺 は本物そっくりの偽メールや偽サイトに誘導し、パスワードやクレジットカード情報を盗み取る手口です。マルウェアは悪意をもったプログラムで、感染することで大切なデータの流出や端末の壊滅的な損害につながります。ランサムウェアは、データを人質に身代金を要求する攻撃手法です。

    攻撃名主な手口被害の特徴主な被害対象
    マルウェア感染メール添付や危険なサイトからのダウンロード情報漏洩、コンピュータの乗っ取り、不正操作個人・企業全般
    フィッシング詐欺偽サイトや偽メールで認証情報取得ID・パスワード盗難、金銭的被害個人ユーザー、ネットバンキング利用者
    ランサムウェアメール・ウェブ経由で感染しデータ暗号化し身代金要求データ利用不可能、金銭的要求、業務停止企業・医療機関・自治体等
    不正アクセス弱いパスワードや設定ミスを悪用機密情報の漏洩、なりすまし被害企業システム・個人サービスアカウント

    サイバーセキュリティの目的

    サイバーセキュリティの目的は、単に攻撃を防ぐことにとどまりません。情報セキュリティの3要素、「機密性」「完全性」「可用性」を合わせて「CIA」と呼びます。つまり「誰にでも見せていい内容か」「内容が改ざんされていないか」「必要な時に使えるか」を守り抜くことこそ、サイバーセキュリティの本懐です。たしかな一次情報によれば、この三要素は、世界中でセキュリティを考えるときの共通する普遍的な指針となっています。このCIAを守るためには、実に幅広い知識と対応策が必要とされます。企業だけでなく、個人が日々の生活でできるセキュリティ対策もたくさん存在します。

    要素概要リスク例
    機密性 (Confidentiality)許可された人だけが情報にアクセスできる状態を保つ情報漏洩、不正閲覧
    完全性 (Integrity)情報が正しく保たれ、改ざんされていない状態を維持データの改ざん、不正操作
    可用性 (Availability)必要な時に情報やシステムが利用できる状態を保つシステム障害、サービス停止

    なぜサイバーセキュリティが重要なのか

    インターネットに依存する現代社会では、サイバー攻撃の被害はもはや特殊な例ではありません。たとえば、企業で情報漏洩が起きれば信用失墜や巨額賠償の問題が発生します。個人の場合でも、SNSの乗っ取りやネットショッピングでの不正利用、クレジットカード情報の流出など、誰もが被害者になりかねません。さらに、近年は、サプライチェーン攻撃ゼロデイ攻撃など、従来の対策では防ぎきれない高度な手口も拡大。セキュリティ対策のトレンドや法規制(サイバーセキュリティ基本法GDPRなど)の最新動向をしっかりと抑えることも必須となっています。

    こうした被害や課題を正しく理解するためにも、具体的な被害事例や判例、世界的な潮流は表にまとめて学ぶことが効果的です。業界団体や行政機関(総務省やIPAなど)が公開している公的なデータやレポートを活用することで、サイバーセキュリティに対する理解を深めることができます。

    サイバーセキュリティにおける基本対策

    「何をすればいいのか?」と悩む方に向けて、まずは日常生活で実践できる初歩的な対策からスタートするのが推奨されます。総務省が示す三原則は、すぐにでも始められる実践的なセキュリティ対策の例です。

    1. ソフトウェアは常に最新版に保つ
    2. 強固なパスワードの設定と多要素認証の活用
    3. 不用意なメール・ファイルを開かない、アプリをインストールしない

    これらに加え、「ウイルス対策ソフトの導入」「ネットショッピングサイトのURL確認」「Wi-Fiルーターの設定見直し」「スマートフォンのOSアップデートの定期的な実施」なども効果的です。企業で働く場合は、「アクセス権限の制御」「重要データのバックアップ」「ログ管理」など、さらに高度な対策が求められます。こうした対策の具体例や実践ポイントは、図表やチェックリスト形式でまとめると自己点検にも役立ちます。セキュリティ対策チェック表や安全なパスワードの選び方、多要素認証の設定ガイド等の図解は、初心者が最初に取り組むべき項目を可視化できるため推奨されます。

    セキュリティ対策チェックリストの例

    以下はチェックリストの一例です。実際に運用する際には業務や使用しているシステムに合わせてより細かく作成していく必要があります。

    やるべきこと重要度対応状況
    OSやアプリの定期的なアップデート実施/未実施
    ウイルス対策ソフトの導入・更新実施/未実施
    強固なパスワード設定と多要素認証の利用実施/未実施
    不用意なメールや添付ファイルを開かない実施/未実施
    バックアップの定期実施実施/未実施
    ネットワーク機器の初期設定見直し実施/未実施
    従業員向けセキュリティ教育・研修実施/未実施

    サイバーセキュリティと情報セキュリティの違い

    初学者からよくある質問の一つが「サイバーセキュリティと情報セキュリティは同じですか?」という点です。情報セキュリティは、あらゆる情報(紙媒体、物理的なデータも含む)を対象にしますが、サイバーセキュリティは特にインターネットやデジタル技術が関与する電子的な情報・デバイス・システムにフォーカスしています。つまり、インターネットやIT機器を使って情報をやり取りする現代において、サイバーセキュリティの重要性は年々増しています。サイバー攻撃に対応するためには、技術だけでなく利用者の意識も不可欠です。

    サイバーセキュリティの最新トレンド

    2025年現在、ゼロトラストモデルEDRSOCMFA(多要素認証)など新しいサイバーセキュリティ技術・サービスの導入が進んでいます。AI技術の進化により、攻撃側・防御側ともに手法が高度化し、サイバー攻撃事例、セキュリティインシデント、情報漏洩等のニュースが増加傾向にあります。また、テレワークの普及やIoT機器の急増は新たなセキュリティリスクを生み出しつつあり、最新のサイバーセキュリティ関連キーワード(ゼロデイ、サプライチェーン、ランサムウェア、フィッシング、VPN、SOC、EDR)は、入門段階から意識して覚えておくべきです。 こうした最新動向は、企業サイト、行政レポート、業界ニュースなど一次情報を出す信頼できる媒体で確認することを強く推奨します。

    サイバーセキュリティの相談窓口・一次情報へのアクセス

    一歩踏み込んで「どこに相談すればいいの?」と感じたら、総務省やIPA(情報処理推進機構)など、一次情報を発信している公的機関の情報を閲覧することからはじめてみましょう。また今皆様が記事を読んでいる弊社SQAT.jpサイトをはじめとした、サイバーセキュリティ情報を扱ったWebサイトから一次情報を確認するのも一つの手段です。独自の見解や推測ではなく、根拠となるニュースリリース、ガイドライン、最新動向をもとに判断するのが大切です。また、さらに一歩踏み込んで対策を始めていきたい、指針がほしいと思ったらセキュリティベンダーを頼ってかかりつけ医のように利用してみてはいかがでしょうか。

    BBSecでは

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    まとめ:誰もが守るべきデジタル時代の「防犯」

    サイバーセキュリティは社会のインフラを守る防犯意識に他なりません。スマートフォン、パソコン、ネットショッピングやSNSなど身近な存在を守るために、まずは基礎を知り、簡単な対策から一歩踏み出してみることが重要です。専門家の世界だけでなく、どなたでも役立つ情報を、身の回りのことからオンラインサービスの使い方まで、生活目線で学ぶ姿勢がセキュリティレベルの向上につながります。今後もサイバー攻撃や新しいリスクは進化を続けますが、一次情報に基づいた正しい知識をもとに、日々小さな工夫から実践を積み重ねていくことこそ、自身と社会を守る最良の方法です。サイバーセキュリティは難しいものではなく、まずは「知る」「見直す」「具体的に始める」―その小さな一歩から、身近な世界に安心と安全をもたらすことができるでしょう。

    【参考情報】


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年10月22日(水)14:00~15:00
    ランサムウェア対策セミナー2025 ~被害を防ぐための実践的アプローチ~
  • 2025年10月29日(水)13:00~14:00
    【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 2025年11月5日(水)13:00~14:00
    【好評アンコール配信】「SQAT®ペネトレーションテスト実演付き!-攻撃の“成立”を見極めるペネトレーションテストとは-
  • 2025年11月12日(水)14:00~15:00
    なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較
  • 2025年11月26日(水)13:00~14:00
    【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Windows10サポート終了はいつ?影響と今後の対応策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    Windows10サポート終了の影響と今後の対応策アイキャッチ画像

    Windows10は2025年10月14日をもってサポートが終了します。この日を境にHome、Proエディションに対するセキュリティ更新が停止します。これは世界中の数億台規模のPCに影響を与える重大なイベントであり、業務利用ではコンプライアンス上の問題や情報漏洩リスクが現実的に高まります。本記事では、終了スケジュール、影響、そして取るべき対応策まで解説し、今後の安全なPC運用への道筋を提示します。

    本記事は2025年10月1日開催のウェビナー「2025年10月Windows10サポート終了!今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド」のフォローアップコンテンツです。

    Windows 10 サポート終了のスケジュール

    Microsoftの製品ライフサイクルによれば、Windows 10 HomeおよびProのサポートは2025年10月14日で終了します。この「サポート終了」は、機能追加や仕様改善だけでなく、最も重要なセキュリティ更新の提供停止を意味します。サポート終了後は、新たに発見される脆弱性に対しても修正が行われません。なお、業務向けのEnterprise LTSCには異なる期限が設定されており、例えばWindows 10 Enterprise LTSC 2021は2032年1月12日まで、LTSC 2019は2029年1月9日までサポートが継続されます。これらは組み込み機器や特定業務向けに設計された長期サポート版です。

    サポート終了後に発生するリスク

    サポート終了後は、OSの脆弱性が修正されず放置されるため、マルウェア感染、ランサムウェア被害、情報漏洩、不正アクセスなどのリスクが著しく高まります。特に法人利用では、顧客情報保護義務を規定する個人情報保護法や、金融分野のFISC基準、医療分野のHIPAA(海外拠点の場合)などに抵触する可能性があります。セキュリティ更新のない環境で継続運用することは企業の信用を損ねる要因にもなります。

    延長セキュリティ更新(ESU)プログラム

    マイクロソフトは、Windows 11へ移行できない環境向けにESU(Extended Security Updates)プログラムを提供します。これにより最大3年間、2028年までセキュリティ更新が継続されます。利用にはライセンス単位の更新が必要で、年間費用はエディションや契約形態により変動します。例えば1台ごとの契約で数千円〜数万円程度と見込まれ、法人契約ではボリュームライセンスが利用可能です。 このプログラムは、古いハードウェアや特定業務向けソフトとの互換性のためにWindows10を維持せざるを得ないユーザが主な対象となります。

    Windows11へのアップグレード

    移行可能な環境ではWindows 11へのアップグレードが推奨されます。Windows 11は最新のセキュリティ機能(仮想化ベースのセキュリティ、ハードウェアルートの信頼機能など)を備え、サポート期限も先送りされます。アップグレードの要件としてはTPM 2.0の実装、64-bit対応CPU(第8世代以降のIntel、Zen 2以降のAMDなど)などがあり、Microsoftが提供するPC正常性チェックツールで互換性を確認可能です。移行時には、現行アプリや周辺機器の互換性検証も忘れないようにしましょう。

    Windows10継続利用時の対応策

    やむを得ずWindows10を継続使用する場合は、ESUへの加入が最も現実的な選択肢です。併せてネットワーク分離や限定用途での運用、社内イントラネット専用機への転用も有効です。また、更新が止まるOSを外部ネットワークに接続する場合はEPP(エンドポイントプロテクション)EDR(高度な脅威検知・対応システム)の導入を強化し、対策を多層化する必要があります。

    市場シェアの現状

    StatCounterの最新データでは、2025年現在でもデスクトップOS市場の約55%前後がWindows 10を使用しています。Steamハードウェア&ソフトウェア 調査: September 2025でも、ゲーミングPCの過半数が依然Windows10です。これは法人・個人双方に大きく影響することを示しており、移行の遅れは全世界的なセキュリティリスク増大につながります。

    まとめ

    2025年10月14日をもってWindows10 Home/Proはセキュリティ更新が停止し、運用は高リスクになります。現実的な選択肢は、Windows11への移行か、ESU契約による延命です。市場規模が大きく影響範囲が広いため、企業も個人も早急な移行計画が求められます。特に法人利用では、法規制と顧客信頼維持のためにも、早急に計画に着手することが安全な未来への第一歩となるでしょう。

    【参考情報】

    https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#3656
    http://learn.microsoft.com/en-us/lifecycle/end-of-support/end-of-support-2025
    http://store.steampowered.com/hwsurvey/Steam-Hardware-Software-Survey-Welcome-to-Steam

    2025年10月1日開催のウェビナー「2025年10月Windows10サポート終了!今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド」の再配信予定にご関心のある方はこちらからお問い合わせください。

    次回のウェビナー開催情報はこちら

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年10月22日(水)14:00~15:00
    ランサムウェア対策セミナー2025 ~被害を防ぐための実践的アプローチ~
  • 2025年10月29日(水)13:00~14:00
    【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    狙われる医療業界2025 医療機関を標的とするサイバー攻撃

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    医療機関のサイバーセキュリティ(アイキャッチ画像)

    前回の記事の公開から約5年が経ちましたが、医療機関を標的とするサイバー攻撃の脅威はむしろ増加しています。特にランサムウェアによる被害は国内外問わず深刻化し、患者の命が危険に晒されてしまう可能性も出てきています。いまやインシデントを“他人事”とせず、「命を守るもの」という認識で組織一丸となってセキュリティ対策の見直しをすることが重要です。本記事では医療機関へのサイバー攻撃の脅威とセキュリティ対策の見直しのためのポイントをご紹介します。

    2020年12月公開の記事「狙われる医療業界―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを」をまだご覧になっていない方はぜひ、この機会にご一読ください。

    世界的に高まる医療分野へのサイバー攻撃

    ランサムウェアによる被害は世界中で後を絶たず、いまや医療分野は重要な標的の一つとされています。米国のセキュリティ監視サイトRansomware.liveの統計によれば、2025年時点でランサムウェア被害を受けた業種の中で、医療・ヘルスケア関連は第3位に位置しています。医療業界が金融や行政に並ぶほどの標的となっている現実は、決して無視できません。

    Ransomware.live統計円グラフ(ランサムウェア被害を受けた業界)
    出典:Ransomware.liveRansomware Statistics for 2025」(https://www.ransomware.live/stats

    国内でも相次ぐ深刻な被害事例

    日本国内でも、深刻な被害事例が相次いで報告されています。たとえば2024年3月、鹿児島県の国分生協病院では、ランサムウェアによるサイバー攻撃により、電子カルテをはじめとする複数のシステムが使用できなくなり、患者の診療に支障が出るという被害が発生*1しました。また、同年の5月に起きた岡山県精神科医療センターでは、外来診療の一部を中止せざるを得ない事態に追い込まれました*2。このように、サイバー攻撃は単に業務の一時停止を招くだけでなく、医療提供そのものに影響を与え、患者の命を危険に晒す恐れがあるという点で、他業種におけるサイバー被害とはその意味において一線を画します。

    サイバー攻撃は“日常の医療”を止めうる

    Silobreaker社がまとめた医療業界に関する分析レポートでも、ヘルスケア分野に対するサイバー脅威の増加は顕著であり、医療情報の価値の高さとシステムの脆弱性が攻撃を呼び込んでいると指摘されています。国内外でのこうした事例は、「サイバー攻撃が日常の医療を止め得る存在である」という現実を強く物語っています。特に日本では、「まさかうちが」という意識が依然として根強く残っているのが現状ですが、医療機関はすでに、攻撃者にとって“おいしいターゲット”であることを自覚すべき時期に来ています。

    攻撃者はなぜ医療機関を狙うのか

    攻撃側の論理①わきの甘さ=「機会要因」の存在

    医療機関がサイバー攻撃の標的になる。―これはもはや偶発的なものではなく、確かな傾向として定着しつつあります。過去の記事でも言及しましたが、2025年現在ではその背景にある“攻撃側の論理”がより鮮明になってきています。

    多くの人が誤解しがちなのは、「医療機関は狙われている」という表現があたかも特定の施設に対して意図的な攻撃が行われている、という印象を与えてしまう点です。確かに、一部には病院のネットワークやデータに照準を合わせた標的型攻撃も存在します。しかし実態としては、多くの場合、攻撃者は最初から「病院を狙って」いるわけではありません。攻撃者は、不特定多数の組織や端末に対して無差別にスキャンをかけ、リモートアクセスサービスやVPN機器、ファイル共有サーバといった、公開された情報から侵入経路を探しています。そしてその中で、意図せず医療機関が引っかかるのです。つまり、標的にされたのではなく、“侵入可能だったから侵入された”というのが現実なのです。

    医療機関では古いシステムが更新されずに残っている、または、ネットワークの分離が不完全なまま稼働していることがあります。また、パスワードの使い回し、脆弱性が放置されたソフトウェア、機器の寿命サイクルの見落としなど、基本的なセキュリティ対策に隙があることが少なくありません。そして、攻撃者にとっては、それこそが格好の「入り口」になるのです。

    攻撃側の論理②「動機」金になる標的としての医療機関

    ランサムウェア攻撃を実行するサイバー攻撃者の目的は、金銭的な利益です。医療機関には、個人情報(診療記録、保険情報、連絡先など)や経営上の内部資料、研究データといった売買可能な資産が豊富にあります。また、医療機関は儲かっているように思われており、そのうえで業務の中断が患者の生命に直結するため、身代金の支払いに応じやすいに違いない、と見られているわけです。つまり、医療機関が狙われるのは、「わきが甘いから侵入しやすい」+「金銭的利益を得やすい重要なデータの宝庫である」=“コストパフォーマンスに優れた良い標的”と見なされているからと考えられます。

    2020年以降医療サイバーセキュリティはどう変わったのか

    制度とガイドラインの整備が進む

    前回の記事からの5年間で、医療分野のサイバーセキュリティを取り巻く制度やガイドラインも着実に充実してきています。例えば2025年5月に、厚生労働省から「医療機関等におけるサイバーセキュリティ対策チェックリスト(令和7年5月版)」が公開され、以前に比べて具体的かつ実践的な内容になっています。クラウド環境やBCP(事業継続計画)への配慮、IoT・BYODといった新たなリスクへの言及も盛り込まれています。

    また、CSIRT(Computer Security Incident Response Team)を設けたり、EDR(Endpoint Detection and Response)などの対策製品を導入したりする医療機関も増えてきました。CSIRTを中心とした地域単位の訓練や、院内外のネットワーク構成の共有と点検を含む取り組みが、学術会議や業界団体の枠組みとして増加しています*3。サイバー攻撃に備える土台作りは、着実に進みつつあるといえるでしょう。

    2025年いまだ残る基本的な課題

    一方で、5年前と変わらぬ問題を目にする場面も少なくありません。その一つが、「パスワード管理」です。初期設定のまま放置されたアカウント、業務上の利便性から生まれる使い回し。こうしたわきの甘さが、攻撃者の入り口になることは以前から分かっていたはずですが、2024年の岡山県精神科医療センターの事例などを見ると、なおも同様の傾向が残っていることがうかがえます。また、電子カルテやシステムのクラウド化に対しても、依然として現場では極端な見方が交錯しているように思えます。「クラウドだから安全」と根拠のない安心感を持つ一方で、「クラウドだから怖い」「電子カルテという形式そのものが危ない」といった漠然とした不安も根強く見受けられます。

    どちらにしても共通するのは、仕組みやリスクを正しく理解しないまま思い込んでいるケースが少なくないということです。実際には、クラウドの活用は有効な手段のひとつでありつつも、アクセス制御や端末管理、ネットワーク構成など、設定次第でその安全性は大きく変化します。こういった基本的な理解の重要性や注意点は、5年前から現在も変わらずに示され続けてきたものですが、いまだに“本質的な理解”が広がり切っていないように見受けられます。

    基本的な課題の根底には、インシデントを“自分事”として捉えづらい空気があるのかもしれません。実際に深刻な被害を受けた他機関の事例を目にしても、「うちには関係ない」とどこかで思ってしまう感覚。それは、ごく自然な反応である一方で、取り返しのつかないインシデントに繋がりかねません。

    自組織のセキュリティ対策の見直しを

    医療機関向けチェックリストやガイドラインの活用

    ここまで見てきたように、医療機関に対するサイバー攻撃は後を絶たず、その影響は診療の継続性や患者の安全、そして組織の信頼性にまで及びます。「自分たちは大丈夫だろう。」「人命最優先で、他を考えている余裕はない。」―そのように考えがちですが、日々の業務に追われている医療現場こそ、今一度立ち止まって、対策の棚卸しを行うことが求められています。対策の見直しにあたっては、厚生労働省が公開している「医療機関等におけるサイバーセキュリティ対策チェックリスト(令和7年5月版)」の活用が効果的です。

    厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリスト(令和7年5月https://www.mhlw.go.jp/content/10808000/001253950.pdf

    本チェックリストは、技術的な対策だけでなく、組織体制や訓練、業者選定の観点まで網羅されており、現場レベルでも活用しやすい実践的な内容となっています。また、業界全体で参照される基準として、次のようなガイドラインも押さえておくとよいでしょう。

    これらの資料には、医療の特殊性を踏まえた対応策が具体的に記載されており、ベンダや関係業者との連携の際にも参考となります。

    現場の声と経営的視点をつなげる「可視化」

    セキュリティ対策は単なる技術的作業にとどまらず、組織全体で「守るべきもの」を共通認識することが大切です。そのためにも、経営層が積極的に関与し、現場の声を聴きながら継続的な投資と改善を進めていくことが求められます。医療機関にとって、セキュリティはコストではなく、患者の信頼と組織の生命線であることを改めて認識すべきです。その助けになるのが、リスクの「可視化」です。

    仮に端末のひとつがマルウェアに感染したとき、その端末が院内のどの機器と通信しているのか、そこから電子カルテや予約システムにアクセスされたりしないか、バックアップはきちんと機能するかなどなど…。こうした攻撃時の経路や起きうる事象をあらかじめ可視化し、把握しておくことは、被害拡大の防止やインシデント対応の迅速化に大きな効果をもたらすのみならず、経営層の理解を得ることにもつながります。可視化によって得られる「想定していなかった侵入経路」「明らかになる不十分なセキュリティ対策」「攻撃発生時に起きうる具体的な被害」といった情報が、経営層や多くの医療従事者に理解してもらい、組織全体で防御力を高めるための重要な意思決定のための正しい判断材料となりえるでしょう。

    BBSecでは

    BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。詳細・お見積りについてのご相談は、以下のフォームよりお気軽にお問い合わせください。後ほど、担当者よりご連絡いたします。

    アタックサーフェス調査サービス

    インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

    また費用の問題から十分な初動対応ができないといった問題が発生しかねない状況を憂え、SQAT® 脆弱性診断サービスのすべてに、サイバー保険を付帯させていただいています。

    サイバー保険付帯の脆弱性診断サービス

    BBSecのSQAT® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。詳細はこちら。
    https://www.bbsec.co.jp/service/vulnerability-diagnosis/cyberinsurance.html
    ※外部サイトにリンクします。

    エンドポイントセキュリティ

    組織の端末を24時間365日体制で監視し、インシデント発生時には初動対応を実施します。
    https://www.bbsec.co.jp/service/mss/edr-mss.html
    ※外部サイトにリンクします。

    インシデント初動対応準備支援

    体制整備や初動フロー策定を支援します。
    https://www.bbsec.co.jp/service/evaluation_consulting/incident_initial_response.html
    ※外部サイトにリンクします。

    ウェビナー開催のお知らせ

  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 2025年8月27日(水)13:00~14:00
    【最短7営業日で診断&報告】サイバー保険付帯脆弱性診断「SQAT® with Swift Delivery」のご紹介
  • 2025年9月3日(水)13:00~14:00
    止まらないサイバー被害、その“対応の遅れ”はなぜ起こる?~サイバー防衛の未来を拓く次世代XDR:大規模組織のセキュリティ運用を最適化する戦略的アプローチ~
  • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像