インシデント対応体制とは?CSIRTの役割と企業が整えるべき運用のポイント

Share
「インシデント対応体制とはCSIRTの役割と企業が整えるべき運用のポイント」アイキャッチ画像

サイバー攻撃や情報漏えいなどのセキュリティインシデントでは、迅速かつ適切な対応が被害の拡大防止につながります。そのためには、担当者任せではなく、役割分担や連絡体制をあらかじめ整備しておくことが重要です。本記事では、インシデント対応体制の基本的な考え方をはじめ、CSIRTやSOCの役割、企業が体制を構築・運用する際のポイントを解説します。

インシデント管理の全体像については、以下の記事をご覧ください。
セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

サイバー攻撃や情報漏洩、ランサムウェア感染、不正アクセスなどのセキュリティインシデントは、発生してから担当者が個別に対応するだけでは十分に対処できません。インシデント対応では、技術的な調査や復旧だけでなく、経営判断、法務確認、顧客対応、広報対応、取引先との調整など、複数の部門が関係します。

そのため、企業にはあらかじめインシデント対応体制を整備しておくことが求められます。誰が異常を受け付け、誰が初動対応を判断し、誰が調査を進め、誰が経営層や外部関係者へ報告するのかが決まっていなければ、発生直後の混乱を避けることはできません。JPCERT/CCは「CSIRTマテリアル」について、組織的なインシデント対応体制である「組織内CSIRT」の構築を支援する目的で作成したものと説明しています。また、すべての組織が同じ形のCSIRTを持つべきというものではなく、それぞれの組織の状況に応じた適切な形があるとしています。つまり、インシデント対応体制は、大企業だけが整備する特別な仕組みではなく、企業規模や事業内容に応じて現実的に設計すべきものです。

なぜ体制が必要なのか

インシデント対応体制が必要な理由は、セキュリティインシデントが一部門だけで完結する問題ではないためです。たとえば、マルウェア感染が発生した場合、情報システム部門は端末隔離やログ調査を行います。しかし、個人情報漏洩の可能性があれば法務や個人情報保護の担当部門が関与し、顧客影響があれば営業やカスタマーサポートが対応し、外部公表が必要になれば広報や経営層の判断が必要になります。

不正アクセスやランサムウェア感染では、技術的な調査と同時に、事業継続の判断も必要になります。システムを停止するのか、どの業務を優先して復旧するのか、取引先へいつ説明するのかといった判断は、現場担当者だけで決められるものではありません。事前に体制がなければ、関係者への連絡が遅れ、対応の優先順位も曖昧になります。

NIST SP 800-61 r2「Computer Security Incident Handling Guide」でも、効果的なインシデント対応は複雑な取り組みであり、成功する対応能力を確立するには、計画とリソースが必要であるとされています。また、インシデント対応では、IT部門だけでなく、法務などの内部関係者や、外部のインシデント対応チーム、法執行機関などとの連携も想定されています。

体制がない企業では、インシデントが発生したときに「誰に報告すればよいか分からない」「誰が判断責任を持つのか分からない」「外部ベンダーに何を依頼すればよいか分からない」という状態になりがちです。平時であれば多少の確認不足は補えますが、インシデント発生時には時間が限られています。対応の遅れは、被害拡大や情報漏洩、事業停止、信用低下につながる可能性があります。

独立行政法人情報処理推進機構(IPA)が公開するプラクティス・ナビ「指示7 インシデント発生時の緊急対応体制の整備」の中で、CSIRT等の対応体制が整備されていないこと、証拠保全ルールや外部報告・公表ルールが定められていないこと、想定インシデントに応じた分析・対応手順がないこと、CSIRT業務が属人化していること、演習を行っていないことを課題として挙げています。

インシデント対応体制とは、単に担当者の名前を決めることではありません。発生時に必要な判断、作業、報告、連携を整理し、組織として動ける状態にすることです。対応体制が整っていれば、発生直後の混乱を抑え、被害拡大防止、原因調査、復旧、再発防止までを一貫して進めやすくなります。

インシデント対応体制の基本構成

インシデント対応体制は、企業規模や業種、システム構成によって異なります。ただし、多くの企業に共通する基本構成として、CSIRT、SOC、各部門の連携があります。これらはそれぞれ役割が異なり、単独で機能するものではありません。CSIRTは、インシデント対応を組織として進めるための中核的な役割を担います。インシデントの受付、事実確認、対応方針の調整、関係部門への連絡、外部機関や専門ベンダーとの連携、再発防止策の整理などを担うことが一般的です。企業によっては、専任組織として設置される場合もあれば、情報システム部門やセキュリティ担当者を中心に兼任体制で運用される場合もあります。SOCは、Security Operation Centerの略で、主に監視や検知、分析を担う機能です。EDR、SIEM、ファイアウォール、クラウド監査ログ、認証ログなどを監視し、不審な通信や挙動を検知します。SOCは、インシデントの兆候を早期に発見し、CSIRTや情報システム部門へエスカレーションする役割を持ちます。自社内にSOCを持つ企業もありますが、専門ベンダーのSOCやMDRサービスを活用する企業もあります。

各部門の役割も重要です。情報システム部門は、端末、サーバ、ネットワーク、クラウド環境の技術的対応を担います。法務部門は、個人情報保護法や契約上の責任、監督官庁への報告要否などを確認します。広報部門は、外部公表やメディア対応、顧客向け説明文の調整を担います。営業部門やカスタマーサポート部門は、顧客や取引先からの問い合わせ対応を担います。経営層は、事業停止や外部公表、重大なリスク判断について意思決定を行います。

これらの体制は、実際のインシデント対応フローの中で機能します。具体的な対応手順については、以下の記事で詳しく解説しています。
インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイント

重要なのは、CSIRT、SOC、各部門の役割を分けるだけでなく、連携の流れを決めておくことです。SOCが検知したアラートを誰に報告するのか、CSIRTがどの基準で重大度を判断するのか、法務や広報をどのタイミングで巻き込むのか、経営層への報告基準は何かを定めておかなければ、体制図があっても実際には動きません。インシデント対応体制は、組織図上の箱を作ることではなく、実際に発生したときに機能する連絡・判断・対応の仕組みを作ることです。

CSIRTとは何か

CSIRTとは、Computer Security Incident Response Teamの略で、コンピューターセキュリティインシデントに対応するチームを意味します。JPCERT/CCによれば、CSIRTは「Computer Security Incident Response Team=コンピューターセキュリティインシデントに対応するチーム」の略であると説明されています。CSIRTの役割は、単に技術的な調査を行うことだけではありません。組織内で発生したインシデントの情報を集約し、対応方針を整理し、関係部門をつなぎ、必要に応じて外部機関や専門ベンダーと連携することが重要な役割です。企業によっては、脆弱性情報の収集、注意喚起、セキュリティ教育、訓練、再発防止策の推進など、平時の活動もCSIRTが担う場合があります。

JPCERT/CCの公開する資料「組織内 CSIRT の役割とその範囲」では、組織内CSIRTの役割には違いがあり、インシデントへの直接対応、支援的対応、調整役としての対応などが示されています。つまり、CSIRTは必ずしもすべての技術対応を自ら行う必要はありません。企業の体制に応じて、現場対応を支援する立場、部門間を調整する立場、外部専門家との窓口になる立場など、現実的な役割を設計することが重要です。

CSIRTが必要とされる理由は、インシデント発生時に情報と判断を一元化するためです。インシデント対応では、端末の隔離、ログ調査、外部連絡、顧客説明、法務判断、復旧作業など、さまざまな対応が同時に発生します。これらが各部門でばらばらに進むと、情報の食い違いや判断の遅れが起こりやすくなります。CSIRTが中心となって情報を集約すれば、経営層への報告も整理しやすくなります。経営層が必要とするのは、単なる技術情報ではなく、事業への影響、顧客への影響、復旧見通し、法的・契約上のリスク、外部公表の必要性などです。CSIRTは、技術部門と経営判断をつなぐ役割を担うことで、インシデント対応を企業全体のリスク対応として進めやすくします。ただし、CSIRTは設置するだけでは機能しません。連絡先が古い、権限が曖昧、判断基準がない、訓練をしていない、担当者が兼任で実質的に動けないといった状態では、有事に十分な役割を果たせません。CSIRTの必要性を理解したうえで、自社の規模やリソースに合った運用を設計することが大切です。

体制が機能しない原因

インシデント対応体制が機能しない原因として、最も多いのが属人化です。特定の担当者だけがシステム構成を理解している、ログの確認方法を知っている、外部ベンダーとの連絡先を把握している、過去のインシデント対応の経緯を覚えているという状態では、その担当者が不在のときに対応が止まります。属人化は、日常業務では見えにくい問題です。詳しい担当者がいれば、普段のトラブルはその人が解決できてしまいます。しかし、インシデント発生時には、短時間で多くの判断と作業が必要になります。特定の個人に情報や判断が集中すると、対応速度が落ち、確認漏れや連絡漏れが起こりやすくなります。

IPAのプラクティス・ナビ「プラクティス7-4 CSIRT業務の属人化回避も兼ねたインシデントや脅威に関する情報の共有・蓄積」では、CSIRT業務の属人化回避を目的とした情報共有・蓄積の重要性を示しています。公開されている事例でも、CSIRT設立の中核だった従業員が退職した際に対応能力が低下し、その後、業務を属人化させない仕組みの整備が必要になったことが紹介されています。

もう一つの原因は、判断基準がないことです。どのアラートをインシデントとして扱うのか、どの段階でCSIRTを招集するのか、端末隔離やシステム停止を誰が判断するのか、外部報告や公表を検討する基準は何かが決まっていなければ、現場は迷います。判断基準がないと、対応は担当者の経験や感覚に依存します。経験豊富な担当者であれば適切に判断できる場合もありますが、担当者が変われば対応品質も変わります。また、重大なインシデントほど、技術的な判断だけでなく、事業影響や法務リスク、顧客影響を含めた判断が必要になります。判断基準が曖昧なままでは、経営層への報告も遅れやすくなります。

体制が機能しない企業では、形式的な体制図だけが存在していることもあります。CSIRTという名前はあるものの、実際のメンバー、役割、権限、連絡手順、訓練計画が決まっていない状態です。このような体制では、インシデント発生時に「誰が何をするのか」を改めて確認することになり、初動対応が遅れます。 さらに、部門間の連携不足も大きな要因です。情報システム部門が技術対応を進めていても、法務や広報、営業、経営層への共有が遅れると、顧客説明や外部公表の準備が間に合いません。反対に、経営層や広報が十分な事実確認を待たずに情報発信を進めると、誤った説明につながる可能性があります。インシデント対応体制を機能させるには、体制図を作るだけでなく、情報共有の流れ、判断権限、報告基準、記録方法を具体化する必要があります。

体制構築のポイント

インシデント対応体制を構築するうえで重要なのは、まず対応フローを明確にすることです。検知、初動対応、調査、復旧、再発防止という流れの中で、誰がどの工程を担当するのかを整理します。たとえば、従業員からの不審メール報告を誰が受け付けるのか、SOCや監視サービスのアラートを誰が確認するのか、感染端末の隔離を誰が実施するのか、経営層への報告を誰が行うのかを定めます。このとき、細かすぎる手順書を作ることよりも、実際に使える判断ルールを整備することが大切です。インシデントは事案ごとに状況が異なるため、すべてを手順書通りに進められるとは限りません。だからこそ、重大度の判断基準、エスカレーション条件、外部連携の基準、証拠保全の原則、復旧判断の考え方を整理しておく必要があります。

IPA「サイバーセキュリティ経営ガイドライン Ver3.0 実践のためのプラクティス集 第4版」では、インシデント発生時の緊急対応体制の整備として、司令塔としてのCSIRTの設置、従業員の初動対応の規定、想定されるインシデントに関するセキュリティ分析計画の事前策定、情報共有・蓄積、インシデント対応演習などが示されています。

次に重要なのが、訓練です。手順書や体制図を作っても、実際に動かしていなければ、有事に機能するとは限りません。インシデント対応訓練では、ランサムウェア感染、不正アクセス、情報漏洩、Webサイト改ざん、委託先からの侵害連絡など、想定シナリオをもとに、連絡、判断、報告、初動対応の流れを確認します。訓練では、技術対応だけでなく、経営層への報告、法務確認、広報文案の検討、顧客問い合わせへの対応、外部ベンダーへの連絡も含めて確認することが望ましいです。実際に演習してみると、連絡先が古い、判断者が不在時の代替ルートがない、ログの取得範囲が不足している、委託先との責任分界点が曖昧といった課題が見つかります。

体制構築では、外部リソースの活用も現実的な選択肢になります。すべての企業が専任CSIRTや自社SOCを持てるわけではありません。特に中堅・中小企業では、情報システム部門が日常業務とセキュリティ対応を兼任しているケースも多くあります。その場合は、外部SOC、MDR、インシデント対応支援ベンダー、フォレンジック調査会社、顧問弁護士、保険会社など、必要な支援先を平時から整理しておくことが重要です。ただし、外部委託すればすべて任せられるわけではありません。外部ベンダーが調査や監視を支援しても、最終的な事業判断、顧客対応、外部公表、再発防止策の実行は企業自身が行う必要があります。外部リソースは、自社の対応体制を補完するものとして位置づけることが大切です。

インシデント対応体制の整備は、情報漏洩対策全体の一部でもあります。あわせて以下の記事もご確認ください。
情報漏洩対策とは何か ―企業が知るべき原因・リスク・防止策の全体像―

まとめ

インシデント対応体制とは、セキュリティインシデントが発生したときに、企業が組織として対応するための仕組みです。CSIRT、SOC、情報システム部門、法務、広報、営業、経営層などが連携し、検知、初動対応、調査、復旧、再発防止を進められる状態を整えることが重要です。CSIRTは、インシデント対応の司令塔や調整役として、情報を集約し、対応方針を整理し、関係部門や外部機関との連携を担います。SOCは、監視や検知、分析を通じて、インシデントの兆候を早期に発見する役割を持ちます。各部門は、それぞれの専門性に基づいて、技術対応、法務判断、顧客説明、広報対応、経営判断を担います。

一方で、体制は作るだけでは機能しません。属人化した対応、曖昧な判断基準、古い連絡先、訓練不足、部門間連携の弱さがあると、インシデント発生時に初動が遅れます。特に、誰が判断し、誰が報告し、誰が外部と連携するのかが曖昧な状態では、対応の品質は担当者個人に依存してしまいます。 企業がまず取り組むべきことは、自社のインシデント対応フローを整理し、役割分担と連絡ルートを明確にすることです。そのうえで、重大度の判断基準、証拠保全ルール、外部報告・公表の検討基準、委託先や外部ベンダーとの連携方法を定め、定期的な訓練によって実効性を確認する必要があります。インシデント対応体制は、セキュリティ部門だけのための仕組みではありません。情報漏洩対策、事業継続、顧客信頼、経営リスク管理を支える重要な基盤です。自社の規模に合った現実的な体制から整備し、継続的に見直していくことが、インシデント発生時の被害最小化につながります。

【参考情報】

編集責任:木下


サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

最新情報はこちら


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

Share
セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像アイキャッチ画像

サイバー攻撃や情報漏洩、不正アクセス、ランサムウェア感染などのセキュリティインシデントは、発生してから対応を考えていては被害を最小限に抑えることができません。重要なのは、発生時の対応だけでなく、平時から対応フローや体制を整備し、組織として継続的に管理することです。

セキュリティインシデント管理とは、インシデントの検知から初動対応、調査、復旧、再発防止までを組織的に運用するための仕組みを指します。

本記事では、インシデント管理の基本的な考え方や対応フローの全体像、企業に求められる体制について解説します。

本記事は「セキュリティインシデント管理・対応ガイド」の一部です。セキュリティ担当者だけでなく、インシデント発生時に判断・承認を求められる経営層・管理職の方にも読んでいただける内容になっています。技術的な詳細よりも「組織として何を決めておくべきか」という視点を中心に解説します。

【関連記事】

実際のインシデント対応の具体的な手順については、以下の記事で詳しく解説しています。
インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイント

サイバー攻撃や情報漏洩、ランサムウェア感染、不正アクセス、Webサイト改ざんなど、企業を取り巻くセキュリティリスクは年々複雑化しています。これまでのように、インシデントが起きてから担当者が個別に対応するだけでは、被害の拡大を防ぎきれないケースも増えています。特に近年は、クラウドサービス、外部委託先、SaaS、リモートアクセス環境など、企業システムの構成が複雑になっています。そのため、自社の内部だけを見ていれば安全を確保できるという状況ではありません。セキュリティインシデント管理とは、こうしたリスクを前提に、インシデントの検知、初動対応、調査、復旧、再発防止までを組織として継続的に管理する考え方です。

NIST SP 800-61 r2「Computer Security Incident Handling Guide」でも、インシデント対応は単なる技術対応ではなく、計画、体制、分析、封じ込め、復旧、事後対応を含む組織的な取り組みとして整理されています。インシデント管理は、まさにその全体像を企業活動の中に組み込むための実務です。

インシデント管理とは何か

インシデント管理とは、セキュリティ上の問題が発生した際に、被害を最小限に抑え、事業への影響を管理し、再発を防ぐための一連の仕組みを指します。ここでいうインシデントには、マルウェア感染、不正アクセス、情報漏洩、アカウント侵害、ランサムウェア被害、Webサイト改ざん、システム停止、内部不正、委託先を経由した被害などが含まれます。重要なのは、インシデント管理が「発生後の火消し」だけを意味するものではないという点です。もちろん、発生直後の被害拡大防止や復旧作業は重要です。しかし、それだけではインシデント管理とはいえません。管理という言葉が示すように、事前準備、連絡体制、判断基準、証拠保全、外部報告、再発防止策の検討までを含めて、組織として運用できる状態にしておくことが求められます。

IPAも、インシデント発生時には影響範囲や損害の特定、被害拡大防止、再発防止策の検討を速やかに行うため、CSIRTなどの組織内対応体制を整備することが重要であると示しています。これは、インシデント対応を個人の経験や判断に依存させず、企業として再現性のある対応にするための考え方です。

「インシデント対応」と「インシデント管理」は混同されがちですが、両者には違いがあります。インシデント対応は、発生した事象に対して具体的に行う対応行動です。たとえば、感染端末の隔離、ログ調査、被害範囲の確認、復旧作業、関係者への報告などが該当します。一方、インシデント管理は、それらの対応を適切に実行するための全体設計です。誰が判断し、誰が作業し、どの基準で経営層へ報告し、いつ外部機関や顧客に連絡するのかをあらかじめ定め、実行できる状態にしておくことが中心になります。つまり、インシデント対応が「現場の行動」だとすれば、インシデント管理は「組織としての仕組み」です。対応力を高めるためには、個別の手順だけでなく、それを支える管理体制が欠かせません。

なぜインシデント管理が重要なのか

インシデント管理が重要視される理由は、サイバー攻撃の被害が技術部門だけの問題にとどまらなくなっているためです。情報漏洩が発生すれば、顧客や取引先への説明、監督官庁への報告、法務対応、広報対応、営業活動への影響、事業継続への支障など、企業全体に影響が及びます。システム停止が長期化すれば、売上機会の損失や顧客離れにもつながります。

独立行政法人情報処理推進機構(IPA)「中小企業のためのセキュリティインシデント対応の手引き」でも、インシデントによる被害には、原因調査や復旧の外部委託費、謝罪対応、法的対応費用といった直接的な金銭被害に加え、信用低下や事業停止による機会損失といった間接的被害があると整理されています。インシデント対応の目的は、これらの被害と影響範囲を最小限に抑え、迅速に復旧し、再発を防止することにあります。

特に情報漏洩リスクは、企業にとって深刻です。個人情報、認証情報、営業秘密、技術情報、取引先情報、顧客データなどが漏洩した場合、企業の信用は大きく損なわれます。たとえ漏洩件数が限定的であっても、初動対応や公表内容に不備があれば、二次的な批判を招くことがあります。反対に、発生直後から事実確認、被害拡大防止、関係者への説明、再発防止策の提示を適切に行えれば、被害の拡大を抑え、信頼回復への道筋を作ることができます。

また、サプライチェーンの複雑化もインシデント管理の重要性を高めています。企業のシステムや業務は、クラウドサービス、業務委託先、開発会社、保守ベンダー、物流・決済・顧客管理システムなど、多くの外部組織とつながっています。そのため、自社のセキュリティ対策だけではインシデントを完全に防ぐことはできません。委託先の侵害、外部サービスの設定不備、ソフトウェア供給網への攻撃などを起点として、自社に影響が及ぶ可能性があります。

インシデント管理が機能している企業では、外部委託先やクラウドサービスを含めたリスクを前提に、連絡先、責任範囲、報告基準、ログ取得範囲、復旧手順を整理しています。反対に、インシデント発生後に「誰に確認すればよいかわからない」「契約上どこまで調査できるかわからない」「委託先から情報が上がってこない」という状態になると、初動が遅れ、被害の実態把握も難しくなります。

インシデント管理の全体フロー

インシデント管理では、発生した事象を場当たり的に処理するのではなく、一定の流れに沿って対応することが重要です。ここでは、企業実務で理解しやすいように、検知、初動対応、調査・分析、復旧、再発防止という流れで整理します。

検知(Detection)

検知は、インシデント管理の出発点です。セキュリティ製品のアラート、ログ監視、外部機関からの通報、顧客からの問い合わせ、従業員からの報告、Webサイトの異常、システム停止など、インシデントの兆候はさまざまな形で現れます。重要なのは、検知した情報を見落とさず、適切な担当者へつなげる仕組みです。アラートが大量に発生しているにもかかわらず確認されていない、従業員が異常に気づいても報告先を知らない、外部からの通報が担当部署で止まってしまうといった状態では、検知していても管理できているとはいえません。

IPAでもインシデント対応の流れにおいて、Webサイト改ざん、システム停止、標的型メール、ログ監視による不正通信の発見などが検知の例として示されています。検知は技術的な監視だけでなく、社内外からの連絡受付を含めた仕組みとして考える必要があります。

初動対応(Containment)

初動対応では、被害の拡大を防ぐことが最優先になります。たとえば、マルウェア感染が疑われる端末をネットワークから隔離する、不正アクセスが疑われるアカウントを一時停止する、攻撃に悪用された通信経路を遮断する、関係システムの利用を制限する、といった対応が考えられます。ただし、初動対応では「とにかく止める」ことだけが正解とは限りません。証拠保全をせずに端末を初期化してしまうと、原因調査に必要なログや痕跡が失われる可能性があります。システムを不用意に停止すると、業務影響が大きくなる場合もあります。そのため、初動対応では、被害拡大防止と証拠保全、事業継続のバランスを考えながら判断する必要があります。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)「Incident Response Plan (IRP) Basics」インシデント対応計画に関する資料でも、インシデント対応計画は、組織がインシデントの前、最中、後に取るべき行動を支援する正式な文書として位置づけられています。初動で迷わないためには、あらかじめ承認された計画と判断基準が必要です。

調査・分析(Investigation)

調査・分析では、何が起きたのか、どの範囲に影響があるのか、攻撃者が何を行ったのか、情報漏洩の可能性があるのかを確認します。調査対象には、端末、サーバ、認証ログ、通信ログ、クラウドサービスの操作履歴、メール、EDRやSIEMの検知情報などが含まれます。この段階で重要なのは、事実と推測を分けることです。インシデント発生直後は情報が錯綜しやすく、関係者の不安も高まります。そのため、確定していない情報を断定的に扱うと、誤った判断につながります。調査結果は、時系列、影響範囲、確認済み事実、未確認事項、今後の調査方針に分けて整理することが望ましいです。

また、調査・分析は技術部門だけで完結しない場合があります。個人情報や機密情報の漏洩可能性がある場合は、法務、広報、経営層、顧客対応部門との連携が必要になります。外部委託先やセキュリティ専門ベンダーに調査を依頼するケースもあります。インシデント管理では、こうした連携をあらかじめ想定しておくことが重要です。

復旧(Recovery)

復旧では、影響を受けたシステムや業務を安全な状態に戻します。バックアップからの復元、パッチ適用、設定変更、アカウントの再発行、認証情報のリセット、ネットワーク接続の再開、業務再開判断などが含まれます。復旧時に注意すべきなのは、原因が取り除かれていない状態でシステムを戻さないことです。ランサムウェア感染後にバックアップから復元しても、侵入経路となった脆弱性や認証情報の悪用が残っていれば、再侵害される可能性があります。不正アクセスを受けたシステムを復旧する場合も、攻撃者が作成したアカウント、バックドア、不審な設定変更が残っていないかを確認する必要があります。単に業務を再開するだけでなく、脅威を除去し、安全性を確認したうえで復旧することが重要です。

再発防止(Lessons Learned)

再発防止は、インシデント管理の中でも特に重要な工程です。インシデントが収束した後、原因、対応の良かった点、課題、判断が遅れた場面、連絡体制の不備、ログ不足、訓練不足などを振り返り、次に同じ問題が起きないよう改善します。再発防止策には、技術的対策だけでなく、運用改善も含まれます。たとえば、脆弱性管理の見直し、バックアップ運用の改善、EDRやログ監視の強化、アカウント権限の見直し、委託先との連絡ルール整備、初動対応手順の改定、経営層への報告基準の明確化、机上演習の実施などが考えられます。IPAも、インシデント発生に備えた演習を行っていないことや、CSIRT業務が属人化していることを課題として挙げています。再発防止は、報告書を作って終わりではありません。組織の対応力を高めるために、手順、体制、訓練へ反映することが求められます。

インシデント対応との違いと関係

インシデント対応とインシデント管理は、密接に関係しています。ただし、同じ意味ではありません。インシデント対応は、実際に起きたインシデントに対する具体的な行動です。検知したアラートを確認する、感染端末を隔離する、ログを調査する、影響範囲を特定する、復旧作業を行うといった実務が該当します。一方、インシデント管理は、それらの対応を組織として適切に動かすための仕組みです。対応手順、報告ルート、責任者、判断基準、外部連携、訓練、記録、改善活動までを含みます。つまり、対応は管理の一部です。管理がなければ、対応は担当者個人の経験や判断に依存しやすくなります。この違いは、平時と有事の関係で考えるとわかりやすくなります。有事に実際に動くのがインシデント対応です。平時から有事に備えて準備し、発生時に迷わず動けるようにし、終息後に改善するのがインシデント管理です。

たとえば、ランサムウェア感染が疑われる端末を隔離することはインシデント対応です。しかし、どの条件で隔離するのか、誰が判断するのか、隔離後に誰へ報告するのか、業務影響をどう判断するのか、顧客や委託先への連絡が必要か、証拠をどのように保全するのかを定めることはインシデント管理です。

インシデント管理が目指すのは、個別最適ではなく全体最適です。現場担当者が最善を尽くしていても、経営判断が遅れたり、法務・広報との連携が取れなかったり、委託先との情報共有が進まなかったりすれば、企業全体としての対応は不十分になります。だからこそ、インシデント管理では、技術、業務、法務、広報、経営をつなぐ視点が必要です。

管理が機能しない企業の特徴

インシデント管理が機能しない企業には、いくつか共通する特徴があります。

対応が属人化している

最も多いのは、対応が属人化している状態です。特定の担当者だけがシステム構成を理解している、ログの見方を知っている、ベンダーとの連絡先を把握している、過去のトラブル対応を覚えているという状態では、その担当者が不在のときに対応が止まります。

属人化は、平時には問題が見えにくいという特徴があります。日常業務では、詳しい担当者がその場で処理できるため、大きな問題に見えません。しかし、インシデント発生時には状況が一変します。判断すべきことが増え、関係者も増え、時間的な余裕がなくなる中で、特定の個人に情報と判断が集中すると、対応が遅れやすくなります。対策の第一歩は、対応手順・連絡先・ログの見方・ベンダー窓口を「担当者の頭の中」から文書に移すことです。

IPAも、CSIRT業務の属人化や、証拠保全ルール、外部報告・公表ルール、分析・対応手順の未整備をインシデント対応体制上の課題として挙げています。これは、実務上の弱点がインシデント発生時に表面化しやすいことを示しています。

判断基準が定められていない

もう一つの特徴は、判断基準が明確になっていないことです。たとえば、どのレベルのアラートで経営層へ報告するのか、個人情報漏えいの可能性がある場合に誰が判断するのか、システム停止を許容する条件は何か、外部公表の検討を始めるタイミングはいつか、といった基準が曖昧な企業では対応が遅れやすくなります。まず「このレベルのアラートが発生したら経営層へ報告する」という1行の基準を決めるだけでも、判断の遅れを防ぐ効果があります。

感染端末の隔離判断が遅れて被害が拡大する、不正アクセスの可能性を軽視して調査開始が遅れる、顧客への説明が後手に回るといった事態も起こり得ます。限られた情報の中で迅速に判断するためには、平時から基準を定めておくことが重要です。

部門間の連携が弱い

また、部門間連携が弱い企業も、インシデント管理が機能しにくい傾向があります。情報システム部門だけで対応しようとしても、顧客対応、法務判断、広報対応、取引先調整、経営判断が必要になる場面では限界があります。セキュリティインシデントは技術トラブルであると同時に、事業リスクでもあります。

JPCERT/CCはCSIRTについて、「組織内の情報セキュリティ問題を専門に扱うインシデント対応チーム」と説明し、組織的なインシデント対応体制の構築を支援しています。管理を機能させるためには、技術部門だけでなく、経営層、法務、広報、営業、総務、人事、委託先を含めた連携が欠かせません。

まとめ

セキュリティインシデント管理とは、インシデントが発生した後の対応だけでなく、検知、初動対応、調査・分析、復旧、再発防止までを組織として管理するための仕組みです。インシデント対応が現場の具体的な行動であるのに対し、インシデント管理は、その対応を確実に実行するための全体設計といえます。

サイバー攻撃や情報漏洩の影響は、情報システム部門だけにとどまりません。顧客、取引先、委託先、経営、法務、広報、営業活動、事業継続にまで広がります。そのため、企業には、発生後に慌てて対応するのではなく、平時から判断基準、連絡体制、対応フロー、証拠保全、外部連携、再発防止の仕組みを整えておくことが求められます。特に、属人化した対応や曖昧な判断基準は、インシデント発生時に大きな弱点になります。担当者の経験に頼るのではなく、組織として再現性のある対応を行うことが、被害の最小化と早期復旧につながります。

インシデント管理は、単なるセキュリティ部門の業務ではありません。企業の信頼、事業継続、情報漏洩対策を支える重要な経営課題です。まずは、自社でインシデントが発生した場合に、誰が検知し、誰が判断し、誰が対応し、誰が経営層や外部関係者へ報告するのかを確認することから始めることが重要です。


本記事では、セキュリティインシデント管理の全体像について解説しました。より実践的に理解したい方は、まず「セキュリティインシデントとは?」で代表的な事例やリスクを確認し、その後「インシデント対応フロー」「インシデント対応体制」を読むことで、企業に求められる対応を体系的に理解できます。

また、インシデント発生後の改善活動については、「セキュリティインシデントの再発防止策とは?」もあわせてご覧ください。


【関連記事】

【参考情報】

公開日:2026年6月17日

編集責任:木下


サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

最新情報はこちら


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

セキュリティインシデント発生時の対応 ―初動から復旧まで解説―

Share
セキュリティインシデント発生時の対応アイキャッチ画像

セキュリティインシデントが発生した際は、限られた時間の中で被害拡大を防ぎ、原因を調査し、業務復旧を進める必要があります。しかし、実際の現場では「まず何をすべきか」「どこまで影響が広がっているのか」「誰に報告すべきか」と判断に迷うケースも少なくありません。

初動対応の遅れや判断ミスは、情報漏えいや業務停止などの被害拡大につながる可能性があります。本記事では、セキュリティインシデント発生時に企業が取るべき対応について、初動対応から復旧までの流れを解説します。

なお、インシデント管理の全体像については、以下の記事で詳しく解説しています。
セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

インシデント対応が遅れると被害が拡大する―「初動対応」の重要性

セキュリティインシデントが発生した際、最初に求められるのは「被害の拡大を防ぐこと」です。具体的には、該当システムのネットワーク接続を遮断する、影響範囲を限定する、ログを確保して証拠を保存するといった行動が挙げられます。ここで重要なのは、焦ってシステムを完全に停止させたり証拠を消去したりしてしまわないことです。例えば、感染が疑われるPCを慌てて初期化すると、攻撃経路やマルウェアの痕跡といった重要な調査情報を失うことになり、後続の対応が困難になります。そのため、インシデント発生時には「まず拡大防止と証拠保全を優先する」という基本原則を徹底する必要があります。初動段階での判断ミスが、被害規模や復旧にかかる時間を大きく左右するのです。

セキュリティインシデント対応の基本フロー

社内連携と報告体制

セキュリティインシデントが発生した際、技術的な対応と同じくらい重要なのが「社内連携と報告体制」です。現場担当者が異常を検知した場合、直属の上司や情報システム部門への迅速な報告はもちろん、経営層へのエスカレーションルートを明確にしておくことが不可欠です。さらに、インシデント対応を一部門だけに任せるのではなく、法務・広報・総務など関連部門との連携が欠かせません。例えば、法務部門は法的リスクの確認や外部機関への届出判断を担い、広報部門は顧客や取引先への適切な情報発信を行います。これらが連携できていないと、組織全体としての対応が後手に回り、混乱や信頼失墜を招く恐れがあります。そのため、平常時から「誰が・どのタイミングで・誰に報告するか」を明文化したインシデント対応計画を整備しておくことが重要です。

被害範囲の特定

セキュリティインシデントが発生した際に、初動対応で重要なのが「被害範囲の特定」です。単なる障害や一時的な不具合と、外部からの不正アクセスやマルウェア感染といったインシデントを明確に区別する必要があります。具体的には、ログの解析やネットワーク監視、ユーザ報告などを通じて、侵入経路や影響を受けたシステム、漏洩が疑われる情報を洗い出します。この段階で誤った判断を下すと、被害を過小評価して対応が遅れたり、逆に過大評価して不要な混乱を招いたりするリスクがあります。そのため、迅速かつ客観的に状況を評価できる仕組みを整えておくことが欠かせません。

被害の封じ込め・拡大防止

被害範囲を特定した後は、被害の「封じ込め」が必要です。これは、インシデントの拡大を防ぎ、さらなる被害を最小限に抑えるための重要なプロセスです。例えば、侵害を受けたサーバをネットワークから切り離す、攻撃者が利用したアカウントを即座に無効化する、通信を一時的に遮断するなどの対応が考えられます。ただし、封じ込めの方法を誤ると、証拠が失われたり、攻撃者に異変を察知されて活動を隠蔽されたりする恐れもあります。そのため、封じ込めの対応はセキュリティチーム内で役割を明確にし、優先順位を付けて慎重に進めることが求められます。

原因調査・ログ解析・フォレンジック調査

封じ込めが完了した後は、インシデントの原因を突き止める「原因調査」が不可欠です。攻撃者がどのように侵入したのか、どの脆弱性を悪用したのか、内部関係者の過失や不正が関与していないかなど、多角的な視点から調査を進める必要があります。ログ解析やフォレンジック調査を通じて、攻撃経路や被害状況を正確に把握することが求められます。この段階で調査が不十分だと、再発防止策が不完全となり、再び同様の被害を招く可能性が高まります。そのため、外部のセキュリティ専門家の協力を得るケースも少なくありません。

復旧対応

原因が特定された後は、システムやサービスの復旧作業に移ります。ただ単に停止したサービスを再開させるのではなく、原因を取り除き、安全性を確認したうえで再稼働することが重要です。例えば、脆弱性が悪用されていた場合はセキュリティパッチを適用し、不正アクセスで改竄されたデータがあればバックアップから復旧します。また、復旧の際には「段階的な再開」を意識することが推奨されます。いきなり全システムを戻すのではなく、優先度の高いシステムから順に稼働させ、監視を強化しながら正常性を確認することで、再度の障害発生や攻撃再開のリスクを軽減できます。

関係者への報告・情報共有

復旧作業と並行して、関係者への適切な報告や情報共有も欠かせません。セキュリティインシデントは自社だけの問題ではなく、取引先や顧客、さらには規制当局にまで影響が及ぶ可能性があります。そのため、影響範囲を正確に把握したうえで、必要な関係者に迅速かつ誠実に情報を提供することが求められます。特に個人情報漏洩が発生した場合、法令やガイドラインに従った報告が義務付けられているケースも多く、対応を怠れば法的リスクや企業の信頼失墜につながります。また、社内向けの情報共有も重要であり、従業員が不安や誤情報に惑わされないよう、明確なメッセージを発信する体制を整えることが望まれます。

再発防止策の検討

インシデント対応の最終段階は、再発を防ぐための改善策を講じることです。単に原因を修正するだけでなく、組織全体のセキュリティ体制を見直す機会として活用することが重要です。例えば、脆弱性管理の仕組みを強化する、アクセス制御のルールを見直す、ログ監視やアラートの精度を高めるなど、技術的な改善が挙げられます。また、従業員へのセキュリティ教育や定期的な訓練を実施し、人為的なミスや不注意を減らす取り組みも効果的です。さらに、インシデント対応の流れを記録し、振り返り(ポストモーテム)を行うことで、今後同様の事態が発生した際に迅速かつ適切に対処できる体制を構築できます。

BBSecでは

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスも提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

まとめ

本記事では、セキュリティインシデントが発生した際に組織が取るべき対応を、初動から原因調査、復旧、関係者への報告、そして再発防止まで段階的に解説しました。インシデント対応は単なる技術的作業ではなく、社内連携や外部機関との調整、法令遵守、そして企業全体の信頼維持といった広範な要素が関わります。特に初動対応の速さや正確さは被害の拡大を防ぐ鍵となるため、日頃からの対応体制の整備や訓練が欠かせません。次回第3回では、インシデントの発生を未然に防ぐ取り組みや、組織全体でのセキュリティ強化策について詳しく解説し、実践的な予防策のポイントを紹介します。

インシデント発生時の対応を円滑に進めるためには、平時から対応体制を整備しておくことが重要です。
インシデント対応体制とは?CSIRTの役割と企業が整えるべき運用のポイント

【参考情報】

公開日:2025年10月8日
更新日:2026年6月17日

編集責任:木下


ウェビナー開催のお知らせ

最新情報はこちら


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

セキュリティインシデントとは?基礎知識と代表的な事例を解説

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

セキュリティインシデントとは何か?基礎知識と代表的な事例アイキャッチ画像

サイバー攻撃や情報漏えい、不正アクセス、ランサムウェア感染など、企業を取り巻くセキュリティリスクは年々増加しています。こうした事象は「セキュリティインシデント」と呼ばれ、発生した場合は情報資産の損失だけでなく、事業停止や信用低下につながる可能性があります。

しかし、「どのような事象がセキュリティインシデントに該当するのか」「企業はどのようなリスクを認識すべきか」を正しく理解できていないケースも少なくありません。

本記事では、セキュリティインシデントの定義や代表的な事例、企業への影響についてわかりやすく解説します。

インシデント管理や対応フローの全体像については、関連記事もあわせてご覧ください。
セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

セキュリティインシデントの定義

セキュリティインシデントとは、情報システムやネットワークにおいて、情報のセキュリティの3要素、「機密性」「完全性」「可用性」を脅かす事象の総称です。具体的には、不正アクセスや情報漏洩、マルウェア感染、サービス運用妨害(DoS)攻撃などが含まれます。近年はクラウドやリモートワークの普及により、攻撃対象や被害の範囲が広がり、セキュリティインシデントの発生リスクは増大しています。国内外で大規模な事件が相次いで報道されるなか、インシデントの発生はもはや大企業に限られた問題ではなく、中小企業や自治体、教育機関に至るまで幅広い組織が直面しています。そのため、経営層から現場担当者に至るまで、セキュリティインシデントへの理解と備えが求められているのです。

セキュリティインシデントの種類(例)

一口にセキュリティインシデントといっても、その内容は多岐にわたります。代表的なものとしては、まず「不正アクセス」が挙げられます。攻撃者が外部からシステムに侵入し、機密情報を窃取したり改竄したりするケースです。次に「マルウェア感染」があります。ウイルスやランサムウェアなどの悪意あるソフトウェアにより、データが暗号化され業務が停止する被害が増えています。また、従業員による「内部不正」も見逃せません。権限を持つ社員が意図的に情報を持ち出すケースや、誤操作による情報流出が問題化しています。さらに「情報漏洩」や「サービス停止(DoS/DDoS攻撃など)」も、企業活動を直撃する深刻なインシデントです。このようにセキュリティインシデントは外部攻撃だけでなく、内部要因やシステム障害など多面的に発生し得るため、幅広い視点での備えが不可欠です。

実際に発生した主なセキュリティインシデント事例

セキュリティインシデントは国内外で日々多発しています。この表は2025年8月から9月にかけて発生した主要な国内インシデント事例をまとめたものです。ランサムウェア攻撃や不正アクセスによる被害が多く、特に製造業や重要インフラへの影響が深刻化している傾向が見られます。

被害報告日被害企業概要主な原因影響範囲
2025年9月国内ガス・電力会社人為的ミスLPガス検針端末の紛失顧客情報6,303件の漏洩等のおそれ*1
2025年9月国内デジタルサービス運営委託事業者個人情報漏洩受講状況管理ツールへの登録作業ミスリスキリングプログラム受講者1名の個人情報が他の受講者1名に閲覧可能に*2
2025年9月国内食料品小売業個人情報漏洩サーバへの第三者からの不正アクセス企業情報及び個人情報が流出した可能性*3
2025年9月委託事業者操作・管理ミスオペレーターの利用者情報取り違い高齢者の見守り・安否確認が行われず*4
2025年9月国内オフィス機器販売会社個人情報漏洩第三者による不正アクセスカード支払い顧客の情報漏洩の可能性*5
2025年8月ハウステンボス株式会社システム障害第三者による不正アクセス一部サービスが利用できない状況に*6
2025年8月国内電力関連会社不正ログインリスト型攻撃(複数IPアドレスから大量ログイン試行)ポイント不正利用444件*7
2025年8月国内機器メーカー企業不正アクセス海外グループ会社を経由した第三者の不正アクセス一部サービス提供停止(8月16日復旧)*8
2025年8月医療用メーカー企業マルウェア感染システムのランサムウェア感染2日間出荷停止、その後再開*9
2025年8月国内建設事業者マルウェア感染システムのランサムウェア感染海外グループ会社の一部サーバが暗号化*10
2025年8月国内外郭団体乗っ取り第三者による一部メールアドレスの乗っ取り迷惑メール送信元として悪用*11
2025年8月暗号資産交換事業者クラウド設定ミス顧客データ移転作業中のクラウド設定ミス海外メディアの報道で発覚、アクセス制限不備*12
2025年8月国内銀行元従業員による情報の不正取得出向職員による電子計算機使用詐欺アコムから出向の元行員が逮捕・懲戒解雇*13
2025年8月国内病院個人情報不正利用委託職員が診療申込書から電話番号を不正入手LINEで患者に私的メッセージを送付*14
2024年12月国内総合印刷事業者マルウェア感染VPNからの不正アクセス(パスワード漏洩または脆弱性悪用)複数のサーバが暗号化される被害*15

これらの事例は「セキュリティインシデントは特定の大企業だけの問題ではない」という現実を示しており、規模や業種にかかわらず備えが不可欠であることを強調しています。

セキュリティインシデントが企業に与える影響

セキュリティインシデントが発生すると、企業は多方面に深刻な影響を受けます。最もわかりやすいのは、システム停止や情報漏洩に伴う金銭的損失です。業務が一時的に止まることで売上が減少し、復旧作業や調査にかかる費用も膨大になります。さらに、顧客情報や取引先情報が流出すれば、企業の信頼性が大きく揺らぎ、契約解除や取引停止に直結する可能性があります。また、個人情報保護法や業界ごとのセキュリティ基準に違反すれば、法的責任や行政処分を受けるリスクも高まります。株式市場に上場している企業であれば、セキュリティインシデントの公表によって株価が急落するケースも少なくありません。このように、単なるシステム障害にとどまらず、企業経営全体に打撃を与える点がセキュリティインシデントの恐ろしさといえます。

セキュリティインシデントを理解したら、次に重要なのは実際に発生した際の対応手順です。初動対応から復旧までの流れについては、以下の記事で詳しく解説しています。
インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイント

まとめ

本記事では、セキュリティインシデントの定義や種類、実際に発生した事例、そして企業に及ぼす影響について解説しました。改めて強調すべきは、セキュリティインシデントは大企業だけでなく、中小企業や自治体、教育機関などあらゆる組織にとって現実的な脅威であるという点です。しかも一度発生すると、金銭的損失だけでなく、顧客や取引先からの信頼低下、法的リスク、社会的信用の失墜といった連鎖的な被害を引き起こします。こうした背景から、セキュリティインシデントを「発生してから考える」姿勢ではなく、「発生する前提で備える」姿勢が求められています。次回は、実際にインシデントが発生した際にどのような対応が必要なのか、初動から復旧までの流れを詳しく解説します。

【関連記事】

セキュリティインシデントへの理解を深めたい方は、以下の記事もあわせてご覧ください。

【参考情報】

公開日:2025年10月1日
更新日:2026年6月17日

編集責任:木下


サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

最新情報はこちら


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

情報漏洩はなぜ起きるのか ―企業で多い原因と最新事例から見るリスクの実態―

Share
情報漏洩はなぜ起きるのか ―企業で多い原因と最新事例から見るリスクの実態―アイキャッチ画像

情報漏洩というと、外部の攻撃者による大規模な不正アクセスを思い浮かべる方が多いかもしれません。しかし実際には、誤送信や紛失、権限設定の不備、委託先での事故、クラウドの運用ミスなど、日常業務の延長で起きる事案も少なくありません。情報漏洩の原因を正しく理解することは、企業の情報漏洩対策を実効的なものにする第一歩です。本記事では、最新事例をもとに、企業で多い原因と情報漏洩リスク、対策の考え方を解説します。

情報漏洩の全体像や基本的な考え方については、以下の記事で整理しています。
情報漏洩対策とは何か ―企業が知るべき原因・リスク・防止策の全体像―

情報漏洩の多くは“想定外”で起きている

多くの企業が情報漏洩を「自社が攻撃される特殊な事故」と捉えがちですが、実際には“想定していなかった経路”から起きるケースが目立ちます。個人情報保護委員会から報告された年次報告によると、個人データの漏えい等事案について8,928件の報告処理が行われており、発生原因としては病院や薬局における要配慮個人情報を含む書類の誤交付や紛失、不正アクセス、クレジットカードの誤送付などが多かったとされています*16。つまり、情報漏洩は高度なサイバー攻撃だけでなく、紙・メール・業務フローといった身近な部分でも起き続けています。

さらに厄介なのは、自社だけではコントロールしきれないところで事故が起きることです。個人情報保護委員会「不正アクセス発生時のフォレンジック調査の有効活用に向けた論点整理のための参考資料」(令和8年1月16日)によると、不正アクセスによる漏えい等報告件数が増加しており、令和6年度の直接受付分では不正アクセスによる報告件数が4,024件に達したことが示されています。この数値にはSaaS提供事業者への不正アクセスにより、多数の利用企業へ影響が及んだ事案も含まれており、企業が自社の運用だけを見ていても十分ではないことが分かります。

見落とされやすいのは、「情報漏洩はセキュリティ部門だけの課題ではない」という点です。営業が使うクラウド、委託先が使う再委託先サービス、バックオフィスの紙帳票、現場の持ち出し端末など、事故の起点は部門横断で存在します。だからこそ、情報漏洩対策は製品導入だけでなく、業務設計や権限設計、委託先管理を含めて捉える必要があります。

情報漏洩の主な原因とは?企業で多い5つのパターン

人的ミス

情報漏洩の原因として古くから多いのが人的ミスです。メールの誤送信、添付ファイルの取り違え、紙書類の誤交付、USBメモリやノートPCの紛失といった事故は、特別な攻撃がなくても発生します。人的ミスが減らない理由は、担当者の注意力だけに依存しているからです。確認手順が曖昧だったり、ダブルチェックが形骸化していたり、忙しい時に例外運用が常態化していたりすると、同じような事故は繰り返されます。情報漏洩対策では、個人の注意喚起だけでなく、ミスしても大事故にならない設計が求められます。

権限管理ミス

必要以上の権限が付与されたままになっていることも、情報漏洩の大きな原因です。退職者や異動者の権限が削除されていない、共有フォルダが広く閲覧可能になっている、クラウド上の情報に不要なアクセス権が残っていると、内部不正やアカウント侵害が起きた際の被害が一気に拡大します。個人情報保護委員会は安全管理措置の中で、組織的・技術的な統制の必要性を示しており、アクセス権限の適切な管理はその中心的な要素です。

権限管理ミスは、事故が起きるまで表面化しにくい点が厄介です。実務では「業務が止まらないこと」を優先して権限が広がりがちですが、その積み重ねが情報漏洩リスクを高めます。情報漏洩対策を考える際は、誰がどの情報にアクセスできるのかを定期的に棚卸しする必要があります。

設定不備

クラウドやWebサービスの設定不備も、近年の情報漏洩で頻出する原因の一つです。これには単なる操作ミスではなく、誰が何を公開し、どこまで共有し、いつ見直すのかという運用ルールの不足が背景にあることが多くあります。また、設定不備は、システム担当者だけの問題でもありません。現場部門が便利さを優先して外部共有設定を変更したり、試験用データを本番と同じ場所に残したりすることで、情報漏洩につながるケースもあります。クラウド利用が前提となった今、設定ミスは特別な失敗ではなく、どの企業でも起こりうる実務上のリスクです。

サイバー攻撃

マルウェア(ランサムウェア)によるサイバー攻撃も、情報漏洩の主要因です。攻撃の目的は業務停止だけではなく、個人情報や企業情報の窃取と公開を組み合わせた二重脅迫に及ぶことが多く、被害は広範囲に及びます。

サプライチェーン経由の情報漏洩

近年、特に重要性が増しているのが、委託先や再委託先、利用中の外部サービスを経由した情報漏洩です。自社では直接不正アクセスを受けていなくても、業務を委託している先や、相手先が利用しているクラウド環境に問題があれば、結果として自社の顧客情報や取引情報が漏れることがあります。独立行政法人情報処理推進機構(IPA)が毎年公開する「情報セキュリティ10大脅威 2026」でも、「サプライチェーンや委託先を狙った攻撃」が「ランサム攻撃による被害」に続けて第2位に挙げられており、その継続的な深刻さを指摘しています。

委託先や外部サービスを経由したリスクについては、サプライチェーン攻撃の記事でも詳しく解説しています。
サプライチェーン攻撃とは ―委託先・外注先リスクから情報漏洩を防ぐ全体像―

実際に起きている情報漏洩事例

情報漏洩事例は、発生原因によっていくつかのパターンに整理できます。近年はサイバー攻撃だけでなく、委託先や外部サービス経由の事故も増えています。

類型主な原因主な内容・特徴代表的な事例
人的ミス型誤送信・紛失・誤交付日常業務の延長で発生。メール誤送信や紙書類の取り違え、端末紛失など病院・薬局での誤交付、書類紛失
権限管理・設定不備型過剰権限・公開設定ミス共有フォルダやクラウド設定の不備によって情報が意図せず閲覧可能になるクラウド共有設定ミス、退職者権限の残存
サイバー攻撃型不正アクセス・ランサムウェア情報窃取と業務停止が同時発生。二重脅迫型攻撃も増加KADOKAWA*2、損害保険ジャパン*3
委託先・外部サービス型SaaS侵害・再委託先事故委託先やクラウドサービス経由で情報が漏えいみずほ証券*4、野村證券*5

人的ミス型では、メールの誤送信や書類紛失、端末の置き忘れなど、日常業務の延長で情報漏洩が発生します。特別な攻撃がなくても起こりうるため、多くの企業で継続的な課題となっています。個人情報保護委員会の活動実績でも、病院や薬局における誤交付や紛失が主要原因として挙げられており、業務ミスがそのまま漏洩事故につながる実態が示されています。

また、権限管理ミスや設定不備も、近年の情報漏洩で多く見られる原因です。退職者アカウントの権限が残ったままになっていたり、共有フォルダやクラウドストレージが過剰公開状態になっていたりすると、不正アクセスや内部不正が発生した際に被害が拡大しやすくなります。クラウド利用が一般化した現在では、設定ミスそのものが重要なリスク要因になっています。

サイバー攻撃型では、ランサムウェアや不正アクセスによって、情報漏洩と業務停止が同時に発生するケースが増えています。近年は情報を窃取したうえで公開を脅迫する「二重脅迫」も広がっており、被害は長期化・広域化しやすくなっています。KADOKAWAの事例では、ランサムウェアを含むサイバー攻撃によって「ニコニコ」を含む複数サービスが停止し、約25万4,000人分の個人情報等の漏えいが確認されました*6。また、損害保険ジャパンも2025年に不正アクセスによる顧客情報漏えいの可能性を公表*7しており、初動対応後のフォレンジック調査の重要性も示されています。

さらに近年は、委託先や再委託先、利用中のクラウドサービスを経由した情報漏洩も増加しています。自社が直接攻撃を受けていなくても、外部サービスや委託先で発生した事故によって顧客情報や取引情報が漏洩するケースも少なくありません。みずほ証券や野村證券では、再委託先企業が利用していたクラウドサービスへの不正アクセスにより、顧客関連情報の流出が公表されました。

こうした事例に共通するのは、「想定外の場所が起点になる」「単一の対策だけでは防ぎきれない」「発覚後に影響範囲の特定が難しい」という点です。情報漏洩対策では、自社システムだけでなく、権限管理や業務運用、委託先管理を含めた全体的な見直しが重要になります。

なぜ情報漏洩は繰り返し起きるのか

同じような情報漏洩事故が繰り返される理由の一つは、業務の属人化です。担当者しか知らない運用、引き継がれていない例外ルール、慣習で続いている権限付与などが残っていると、問題が見えないままリスクが蓄積します。事故が起きたときだけルールを追加しても、実務の現場で運用可能な形になっていなければ再発防止にはつながりません。個人情報保護委員会が安全管理措置として組織的・人的・技術的対策を求めているのは、こうした属人的運用を避けるためでもあります。

もう一つの理由は、可視化不足です。どの情報をどこで持ち、誰がアクセスでき、どの委託先に渡し、どのクラウドに保存しているのかが見えていない企業では、情報漏洩リスクを事前に評価できません。不正アクセスが増加している今、見えない資産、見えない権限、見えない再委託は、そのまま事故要因になります。

さらに、事故が起きるまで「うちは大丈夫」と考えてしまうことも再発の温床です。IPAや国家サイバー統括室(旧NISC)「サイバーセキュリティ2025」が示しているように、ランサム攻撃やサプライチェーン経由の被害はすでに幅広い業種で発生しています。情報漏洩対策は特定業界の一部企業だけの話ではなく、どの企業にも関係する経営課題です。

こうした事故を防ぐための具体的な対策については、以下の記事で詳しく解説しています。
企業の情報漏洩対策 ―すぐに実践できる防止策と運用のポイント

まとめ

情報漏洩は、単純な「外部からの攻撃」だけで起きるものではありません。人的ミス、権限管理ミス、設定不備、サイバー攻撃、委託先や再委託先での事故など、複数の原因が複雑に絡み合って発生します。個人情報保護委員会の統計でも誤交付や紛失、不正アクセスが継続して多く報告されており、さらに近年はSaaS事業者や委託先を経由した広域的な影響も目立っています。つまり、情報漏洩対策では「どこから漏れるか分からない」という前提に立ち、社内運用、自社システム、委託先管理を一体で見直す必要があります。情報漏洩対策は、IT部門だけの課題ではなく、企業全体の業務設計と管理体制の問題です。「どこから漏れるか分からない」ことを前提に、継続的な見直しを行うことが求められます。

情報漏洩を防ぐために企業が取るべき対策を整理した記事もあわせてご覧ください。
企業の情報漏洩対策 ―すぐに実践できる防止策と運用のポイント


ウェビナー開催のお知らせ

  • 2026年5月27日(水)14:00~15:00「~取引先から求められる前に押さえる~ SCS評価制度への対応準備と現実的な進め方
  • 2026年6月3日(水)14:00~15:00「金融機関の対応事例に学ぶPQC移行の進め方と実務ポイント
  • 2026年6月10日(水)14:00~14:30「Webサイトの見えない脅威を可視化する 外部タグ・サードパーティースクリプトの監視対策
  • 最新情報はこちら

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    特別寄稿/AI時代のセキュリティ戦略:上野宣氏が語る、攻撃と防御の最前線【前編】

    Share
    上野宣氏

    生成AIの急速な進化は、私たちの業務やビジネスの在り方だけでなく、サイバーセキュリティの常識そのものを塗り替えつつあります。攻撃者によるAI活用が高度化・自動化を加速させる一方で、防御側もまたAIを駆使した新たな対策を模索する時代に突入しました。攻撃と防御の双方でAI化が進むなか、企業はこれまでの延長線上にある対策だけで十分と言えるのでしょうか。いま、セキュリティ戦略そのものの再定義が求められています。

    本記事では、現ブロードバンドセキュリティ(BBSec)およびグローバルセキュリティエキスパート株式会社の社外取締役、そして長年にわたりサイバーセキュリティ分野を牽引してきた上野 宣氏に、AIとセキュリティを取り巻く最新動向、企業が直面する課題、そしてこれからの時代に求められる戦略の方向性について伺います。

    後編「AI時代に増えるリスクと、経営が取るべきアクション」はこちら


    AIが変える攻撃の現状と、防御側AI活用のリアル

    生成AI(LLM)の普及によって、サイバー攻撃のコストが劇的に低下しています。フィッシング文面の作成、標的企業の調査、マルウェアの作成、侵入後の横展開など、これまで人手と経験を必要としていた工程が、現在では半自動化されつつあります。犯罪ビジネスとして収益最大化を狙う攻撃者にとって重要なのは「時間を掛けて大物を狙うこと」ではなく、「いかに効率的に稼げるか」です。その結果、防御側には「特定の攻撃を止める」だけではなく「被害を最小化し、迅速に復旧する」という視点がこれまで以上に求められています。一方、防御側も、EDR/XDRやログ分析の高度化、セキュリティ運用(SOC/CSIRT)の自動化など、AIを取り入れた対策が急速に進んでいます。

    また、独立行政法人情報処理推進機構(IPA)が2026年1月29日に公開した「情報セキュリティ10大脅威 2026 [組織編]」では、「AIの利用をめぐるサイバーリスク」が初めて3位に選出されました。

    攻撃と防御の双方でAI化が進む現在、企業のセキュリティ戦略はどう変わるべきなのでしょうか。本稿では、攻撃者の視点で侵入を行うペネトレーションテストの経験を踏まえ、AI時代のセキュリティ最前線を整理し、現場と経営の双方が「明日から動ける」論点を提示します。

    AIが変えるサイバー攻撃の現状

    攻撃者は「巧妙さ」よりも「スケール」と「成功確率」を取りに来る

    AIがもたらした本質的な変化は、攻撃手法そのものの高度化ではありません。最大の変化は攻撃のスケール(量)と、標的に適した攻撃手法を選択できる確率が大きく向上した点にあります。

    • フィッシング/ビジネスメール詐欺(BEC)の高精度化
      役職や業務内容、業界用語に合わせた文面、自然な敬語表現、過去メールの文体模倣、会話の継続まで、生成AIが支援することができます。結果として「日本語が不自然」「誤字が多い」といった従来の判別ポイントが機能しなくなっています。さらに、メールに限らず、チャット(Teams/Slackなど)やSMS、SNSのDM、ビデオ会議(Zoom/Teamsなど)など複数チャネルを横断した心理的誘導も増えています。
    • ディープフェイク(音声・映像)によるなりすまし
      役員の音声を模した緊急指示など、本人になりすましたリアルタイムの会話を通じた詐欺など、人の心理を突く攻撃が進化しています。特に決裁フローが「口頭承認」「チャットでOK」で通る組織ほど影響が大きくなります。
      2024年初頭には、香港でCFOをディープフェイクで偽装し、ビデオ会議を通じて2,500万米ドル(約38億円)を詐取した事件が報じられました。従来、本人確認は「見て・聞いて・確認する」という感覚に依存していましたが、その前提自体が崩れています。

    [CFO(最高財務責任者)になりすまして2500万米ドルを送金させたディープフェイク技術 |トレンドマイクロ](https://www.trendmicro.com/ja_jp/research/24/c/deepfake-video-calls.html)

    • マルウェアの派生と検知回避の高速化
      既存コードの改変、難読化、検知回避の試行錯誤を短時間で回せるため、シグネチャ依存の検知は追随が難しくなります。加えて、侵入後の活動(権限昇格、横展開、永続化)に必要なコマンドや手順を考えるコストが下がり、攻撃者の習熟速度が上がります。
    • 偵察(Recon)と脆弱性悪用の自動化
      公開情報(OSINT)の収集、サブドメイン列挙、設定不備の探索、既知脆弱性(CVE)の当たり付けなど、攻撃の前工程が加速します。攻撃者は「露出している資産」「更新されていないミドルウェア」「放置された管理画面」のような守りの穴をAIで素早く見つけ、手当たり次第に試行します。
    • 生成AIによるコード生成とその限界
      生成AIは攻撃コードのたたき台(PoC)や、攻撃後の痕跡隠し(ログ削除や設定変更)の手順を提案することができます。攻撃者が高速に試行錯誤を行うことができるようになりました。ただし、生成物は常に正しいとは限らず、環境依存のミスも多くあります。AIは攻撃を容易にしますが、万能ではありません。

    2024年5月にはIT分野の専門知識を持たない人物が、生成AIを悪用してランサムウェアを作成し逮捕されたという国内事案も起きています。従来は一定の技術力が必要だった領域でしたが、AIが参入障壁を引き下げています。
    [生成AI悪用しウイルス作成、有罪判決…IT知識なくとも「1か月ぐらいで簡単に作れた」 | 読売新聞](https://www.yomiuri.co.jp/national/20241025-OYT1T50209/)

    AIは攻撃者にとって新しい武器というより、「既存の攻撃を、安く、速く、個別最適化して量産する装置」として機能しています。

    守る側が見落としがちな本質的脅威:攻撃者の「工数」ではなく「意思決定」が変わる

    AIで工数が下がると、攻撃者の意思決定が変わります。たとえば以前なら「ROI(投資利益率)が合わない」と見送られていた中堅企業や子会社、地方拠点も、数を打つ前提で標的に入りやすくなります。また、ランサムウェアのように侵入後に人が関与する攻撃でも、初期侵入の候補が増えるだけで全体の被害母数は増えます。

    企業は「自社は狙われない」ではなく、狙われる前提で、侵入しにくく・侵入されても広がらない設計に投資する必要があります。

    一方で、AI攻撃にも限界があります。生成物の誤り、環境依存、権限・ネットワーク制約など、現実の侵入は地味な制約だらけです。 だからこそ防御側は、AIを過度に恐れるよりも、AIによって「攻撃の頻度と質が上がる」前提で、基本対策を徹底しつつ、運用を強化することが重要になります。

    防御側のAI活用と、その限界

    「検知モデル」と「生成モデル」は役割が異なる

    防御側のAI活用を考える際、まず押さえたいことは、AIには大きく2種類の使い方があることです。

    1. 検知(判別)に強いAI:振る舞いから異常を検知し、アラートを出す(EDR/XDR、UEBAなど)
    2. 生成(要約・支援)に強いAI:文章の要約、問い合わせ応答、手順提案、チケット起票など運用補助を担う

    両者を混同すると、「AIを入れたのに検知できない」「要約は便利だが判断が危ない」といったミスマッチが起きます。導入時はAIに何を任せ、何を人が担うかを明確にすることが出発点になります。

    AIはすでに防御のコアである

    防御側のAI活用は、AI製品を買えば解決という単純な話ではありません。多くの企業で現実に進んでいるのは、次のような領域です。

    • EDR/XDRの検知ロジック強化
      従来のルールベースに加え、行動分析や相関分析を組み合わせ、攻撃の兆候を早期に拾う。
    • ログ分析/異常検知の高度化
      分散したログを統合し、普段と違う通信・認証・権限変更などを検知する。特にクラウドでは、設定変更(IaC、権限付与、APIキー利用)のログが要になります。
    • SOCの一次分析(トリアージ)の効率化
      アラート要約、関連ログの自動収集、影響範囲の仮説立て、過去事例の類推など、人が疲弊する作業をAIが肩代わりする。SOAR(自動対応)と組み合わせ、軽微なインシデントを自動封じ込めする例も出ています。
    • 脅威インテリジェンスの取り込み
      攻撃者のTTPやIoCを取り込み、自社ログと突合する。AIは情報の整理・関連付けに強い一方、最終的な妥当性判断は人が担う必要があります。
      AIが得意なのは「大量データの整理・優先順位付け」であり、最終判断(ビジネス影響、止める/止めない、復旧手順)は人間の責務として残ることです。

    AI防御の落とし穴

    AIを活用した防御には、以下のようなリスクがあることを知っておいて下さい。

    • 誤検知/見逃し(False PosITive/Negative)
      AIはもっともらしい出力を返しますが、誤りをゼロにはできません。誤検知が多いと現場はアラート疲れを起こし、逆に見逃しが増えます。
    • 説明可能性(ExplAInabilITy)の不足
      「なぜ検知したのか」が説明できないと、現場の納得も、経営への説明も難しいことがあり、監査や顧客説明に耐えない可能性もあります。
    • データの偏り/経時変化
      組織の利用状況、システム構成、攻撃トレンドは常に変わります。過去データに最適化されたAIは、時間とともに精度が落ちる可能性があります。
    • 生成AIの幻覚(ハルシネーション)
      運用支援にLLMを使う場合、誤った要約や根拠不明の推論が混ざることがあります。検証手順(根拠ログの提示、再現確認)を確立しておくことが必須となります。
    • 機密ログの扱い
      生成AIにログを投入する場合、そのログ自体が機密情報の塊です。保存、外部送信、学習利用、権限管理の設計を誤ると、防御強化のつもりが漏えいリスクになります。
      AIは防御の万能薬ではなく、運用を強くするための一要素に過ぎません。AIを導入するなら「どのKPIを改善するのか(初動時間、検知率、分析工数、MTTRなど)」を定義し、運用とセットで設計する必要があります。

    ―【後編】「AI時代に増えるリスクと、経営が取るべきアクション」 に続く―


    執筆:上野 宣 氏
    株式会社トライコーダ代表取締役
    奈良先端科学技術大学院大学で山口英教授のもと情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立。2019年より株式会社Flatt Security、2022年よりグローバルセキュリティエキスパート株式会社、2025年より株式会社ブロードバンドセキュリティの社外取締役を務める。あわせて、OWASP Japan代表、一般社団法人セキュリティ・キャンプ協議会理事、NICT CYDER推進委員などを歴任し、教育・人材育成分野にも尽力。情報経営イノベーション専門職大学(iU)客員教員。

    編集責任:木下・彦坂

    スペシャル記事 TOPに戻る
    バックナンバー TOPに戻る


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    2025年4Q KEVカタログ掲載CVEの統計と分析

    Share
    2025年4Q KEVカタログ掲載CVEの統計と分析アイキャッチ画像

    米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から公開されている「KEVカタログ(Known Exploited Vulnerabilities)」は、実際に攻撃に悪用された脆弱性の権威あるリストとして、組織のセキュリティ対策の優先順位付けに不可欠なツールとなっています。本記事では、KEVカタログに2025年10月1日~12月29日に登録・公開された脆弱性の傾向を整理・分析します。

    本記事は2025年1Q:第1四半期~3Q:第3四半期の分析レポートに続く記事となります。過去記事もぜひあわせてご覧ください。
    2025年1Q KEVカタログ掲載CVEの統計と分析
    2025年2Q KEVカタログ掲載CVEの統計と分析
    2025年3Q KEVカタログ掲載CVEの統計と分析

    はじめに

    2025年第四四半期(10月~12月)における既知の悪用された脆弱性の統計分析レポートです。本記事は最新のデータから見える傾向を解説します。前回までの分析ではMicrosoftやCisco製品への攻撃の多さや古い脆弱性が依然悪用されている実態が明らかとなりました。今回は第四四半期のデータを掘り下げ、攻撃トレンドの変化やリスクの深刻度を検証します。経営層に有用な全体像の把握と、技術担当者向けの詳細な分析を両立させ、組織が取るべき対策についても提言します。

    2025年4Qの統計データ概要

    2025年第四四半期に新たにKEVに追加・公開された脆弱性は62件でした。第三四半期(51件)から増加に転じ、2025年1月~12月29日時点で245件(2024年累計186件から約30%増)となっています。まずは月別推移や脆弱性の種類・深刻度について、データの全体像を俯瞰し、特にランサムウェア関連の脆弱性や影響度の大きい脆弱性、自動化攻撃が可能な脆弱性に着目します。

    登録件数の月別推移

    10月に追加件数が31件と突出し、11月は11件、12月は20件となりました(図1参照)。月ごとのばらつきが大きく、10月に集中して脆弱性が公表・追加されたことが分かります。これは各メーカーの定例アップデート直後に既知悪用事例が判明したケースが多いためと考えられ、特定の月に攻撃が急増する傾向が引き続き見られます。4Q全体では3Qからの増加により、年末にかけて脅威が再び活発化したことを示唆します。

    2025年4Q 月別KEV登録件数の推移グラフ
    図1:2025年4Q 月別KEV登録件数の推移グラフ

    主要ベンダー別の内訳

    4Qに新規追加された脆弱性のベンダーを見ると、Microsoftが10件と突出して最多でした。次いでOracle、Fortinet、Gladinetが各3件、Google、Samsung、Kentico、Android、OpenPLC、Dassault Systèmes、WatchGuardなどが各2件で続きます。3Qで多かったCiscoは1件に留まり、Microsoft製品への攻撃集中が際立つ結果です。一方、新たにGladinet(クラウドストレージ)やOpenPLC(産業制御システム)といったベンダーの脆弱性が複数追加されており、攻撃対象の幅が広がっていることが分かります。これは企業向けソフトウェアから家庭用/産業用機器まで攻撃者の関心が及んでいることを示し、ITインフラ全体で対策が必要です。

    脆弱性タイプ(CWE)の分布

    CWE脆弱性タイ
    CWE-7875範囲外の書き込み
    CWE-784OSコマンドインジェクション
    CWE-8623認可の欠如
    CWE-2843不適切なアクセス制御
    CWE-202不適切な入力検証
    CWE-4162解放済みメモリの使用
    CWE-4342危険なタイプのファイルのアップロード許可
    CWE-222パストラバーサル
    CWE-792クロスサイトスクリプティング (XSS)
    CWE-3062重要な機能の使用に対する認証の欠如
    2025年4Q CWE分布表

    悪用された脆弱性の種類としては、範囲外の書き込み(CWE-787)が5件で最多となりました。次いでOSコマンドインジェクション(CWE-78)が4件で続きます。認証・認可に関わる欠陥(CWE-862, CWE-284, CWE-306)も合計8件と多く、アクセス制御の不備が依然として攻撃者に悪用されやすいことが分かります。また、メモリ管理上の欠陥である解放済みメモリの使用(CWE-416)や範囲外の書き込み(CWE-787)など、低レベルのプログラムバグも上位を占めており、メモリ安全性の欠陥が攻撃に利用されるケースが増えています。

    過去頻出したパストラバーサル(CWE-22)も複数含まれており、データから見ると、入力検証検証の不備を突いた攻撃(インジェクション系)、認証・認可の不備、そしてメモリ安全性の欠如という3つの古典的な脆弱性カテゴリーが依然悪用の中心であることが読み取れます。

    攻撃の自動化容易性(Automatable)

    4Qに登録された脆弱性のうち、約48%(30件)は自動化攻撃が容易である「Yes」と分類されました。これは自動スキャンやマルウェアボットによる大規模攻撃に適した脆弱性が増えたことを意味します。残る52%(32件)は「No」(手動操作や特定条件が必要)ですが、スクリプトキディでも悪用できる脆弱性が半数近くを占める状況は深刻です。(2025年年間累計は図3参照)攻撃者は脆弱性を迅速にスキャン・悪用する自動化ツールを駆使するため、組織側も早期パッチ適用と防御網の自動化で対抗する必要があります。

    攻撃の自動化容易性“Yes/No”割合の円グラフ
    図2:攻撃の自動化容易性“Yes/No”割合の円グラフ(2025年累計)

    技術的影響範囲(Technical Impact)

    62件中55件(約89%)は「Total」(=脆弱性を突かれるとシステムを完全制御されてしまう深刻な影響を持つもの)でした。(図3参照)。攻撃者がシステム全面乗っ取り可能な脆弱性を優先的に悪用していることがわかります。特に単独で完全権限を奪える脆弱性は魅力的な標的であり、一方部分的な影響に留まる脆弱性も他のTotalな脆弱性と組み合わせて攻撃チェーンに利用される恐れがあります。

    Total/Partial割合の比較チャート
    図3:Total/Partial割合の比較チャート

    ※注)KEVカタログ掲載時点で実害確認済みである以上、CVSSスコアの大小や影響範囲の違いに関わらず優先度高く対処すべきである点に留意が必要です。

    CVSSスコア分布

    4Qに追加された脆弱性のCVSS基本値は、最大が10.0(3件)、9.8が数件含まれ、9.0以上の「Critical(緊急)」帯が約39%(24件)、7.0~8.9の「High(高)」帯が約52%(32件)を占めました。残り約10%がMedium以下です。平均値は8.48で、前四半期同様に高スコアの欠陥が大半を占めています。3QではCVSS10.0が5件含まれていましたが、4QではCritical帯比率は維持しつつ極端に満点の脆弱性は減少しました。それでもなおHigh以上が全体の9割を超えており、KEVカタログに登録される脆弱性がいかに深刻度の高いものに偏っているかを裏付けています。Criticalでなくとも攻撃に利用され得る(実際に悪用された)ことを示すデータでもあり、スコアに油断せず注意が必要です。

    攻撃手法・影響の深掘り分析

    前述の統計情報を踏まえ、4Qに観測された攻撃の特徴や脅威動向をさらに分析します。ランサムウェアなどサイバー犯罪による悪用事例や、国家支援型グループ(APT)の関与、古い脆弱性の再悪用など、データから読み取れるポイントを考察します。

    実際にランサムウェア攻撃に悪用された脆弱性

    3Qと同様、ランサムウェア攻撃での悪用が確認された事例はごく少数に留まります。4Qに追加された62件中、実際にランサムウェアに悪用されたと判明しているのは3件(約5%)でした。具体的にはオラクルの Oracle Concurrent Processing における認証に関する脆弱性/Oracle E-Business Suite(EBS)のSSRF(サーバサイドリクエストフォージェリ)の脆弱性(CVE-2025-61882および61884)やReact Server Componentsにおける認証不要のリモートコード実行の脆弱性(CVE-2025-55182)がランサムウェア攻撃で利用された例です。これらはいずれも企業の基幹システムや広く使われるフレームワークに関わる欠陥で、金銭目的の攻撃者に狙われたと考えられます。ただしKEVカタログ全体で見ると、依然として国家主体・高度なAPT攻撃での悪用例が多く、ランサムウェアによる事例は氷山の一角です。これは、KEVカタログが単なる理論上の危険性ではなく、「現在進行形で利用されている攻撃手法」を反映したリストであることを示しています。高度な攻撃者はゼロデイ脆弱性を含む様々な欠陥を悪用しており、ランサムウェア以外の脅威にも引き続き注意が必要です。

    古い脆弱性の再注目

    4Qに新規登録された脆弱性の中には、2024年以前に発見されたものが17件(約27%)含まれていました。最も古いものは2010年公表のMicrosoft製品の脆弱性(CVE-2010-3962)で、15年以上前の欠陥が今になって攻撃に利用されたことになります。前四半期にも2020年公表のD-Link製品脆弱性が複数追加されており、サポート切れの古い機器・ソフトが依然として攻撃対象になる実態が浮き彫りです。こうした古い脆弱性はパッチ未適用のまま放置されている資産が狙われており、攻撃者は年代を問わず利用可能な欠陥を有効活用しています。組織内に残存するレガシーシステムの脆弱性管理を怠ると、想定外に古いバグで侵入を許すリスクがあることに注意が必要です。

    脆弱性悪用の手口

    攻撃者の手口としては、引き続きリモートコード実行(RCE)や権限昇格といった直接的にシステム乗っ取りに繋がる攻撃が顕著です。例えば前述のCWE分布にあるCWE-787, CWE-416などのメモリ破壊型脆弱性は、悪用された場合、ターゲットプロセス内で任意コード実行やサービス停止を引き起こします。またCWE-78等のコマンドインジェクションは、サーバー上で攻撃者のコマンドを実行させる手段として多用されています。4Qにはこれらテクニカルな攻撃に加え、認証・認可の不備(CWE-306/862等)を突いて管理者権限を不正取得するケースも見られ、攻撃パターンは多岐に及びます。総じて攻撃者は最も効率よく高い権限を得られる脆弱性の組み合わせを模索しており、一つでも未対策の弱点があれば連鎖的に侵入を許す恐れがあります。

    影響とリスクの評価

    攻撃者は完全なシステム制御が可能な脆弱性(=「Total」)を好んで悪用します。CVSSスコアが「High」や「Critical」の深刻度であればなおさらですが、たとえ中程度でも「KEVカタログに掲載=実害発生済み」である以上、油断は禁物です。特にランサムウェア攻撃では、初期侵入に使った脆弱性自体はさほど目立たない中~高程度の欠陥であっても、内側で別のCritical脆弱性と組み合わせて横展開・権限昇格することが知られています。部分的な影響の脆弱性であっても他の欠陥と組み合わされば致命傷となり得るため、既知の悪用脆弱性は大小問わず優先的に潰す姿勢が重要です。経営層にとっても、これらの統計が示すリスクの高さを踏まえれば、脆弱性対応に十分なリソース投資と適切な意思決定を行う必要性が理解できるでしょう。

    組織が取るべき対策

    4Qの分析レポートの結果を受け、組織として優先的に講じるべき脆弱性管理策を整理します。経営層は戦略的視点から、現場のセキュリティ担当者は実践的観点から、以下のセキュリティ対策の実施をおすすめします。

    KEV掲載脆弱性の最優先パッチ適用

    CISAは継続的にKEVカタログ掲載項目を優先的に修正するよう勧告しています。自社で利用する製品・システムに該当する脆弱性が公開された場合、定例パッチを待たず緊急で対応する体制を整えましょう。自動アラートによる通知や情報資産との照合などによって見落としを防ぐ運用が有効です。特に公表から日が浅い脆弱性は攻撃者も素早く狙ってくるため、初動対応のスピードが重要になります。

    主要ベンダー製品の迅速なアップデート

    MicrosoftやOracle、Cisco、Googleなど主要ベンダーのソフトウェアや機器は引き続き攻撃者の主要標的です。毎月発表されるセキュリティ更新プログラム(例: Microsoftの月例パッチ)や緊急アップデート情報を速やかに収集し、適用テストを経て迅速に全社展開する習慣をつけましょう。4QではMicrosoft製品の脆弱性が突出しましたが、他ベンダーでもゼロデイが報告されればすぐ悪用される可能性があります。例えば「重要なアップデートは可能な限り2週間以内に適用」などといった内部目標を設定し、経営陣もその重要性を認識すべきでしょう。

    ネットワーク機器・IoT/産業機器の点検

    企業ネットワークや工場内に設置されたルーター、NAS、監視カメラ、制御システム等も忘れてはいけません。4QにもD-LinkルーターやOpenPLCなどIoT/OT機器の脆弱性が含まれており、これらは往々にしてファームウェア更新が滞留しがちです。サポート切れやアップデート未適用の機器がないか棚卸しし、可能な限り最新ファームウェアへの更新や機器リプレースを実施しましょう。どうしても更新できない場合は、ネットワーク分離やアクセス制限など緩和策を講じ、インターネットから直接アクセスできる状態を放置しないことが重要です。

    脅威検知とインシデント対応の強化

    脆弱性への対策だけでなく、悪用された際に速やかに検知・対応する能力も不可欠です。IPS/IDSやエンドポイント検知(EDR)のシグネチャを最新化し、KEVに掲載された脆弱性の既知の攻撃パターンやIoC(Indicators of Compromise)を監視します。CISAやセキュリティベンダーから提供される検知ルールやYARAルールを活用し、ログ分析やトラフィック監視に組み込みましょう。また万一侵入を許した場合でも、早期にそれを発見し被害を最小化できるようインシデント対応訓練を積んでおくことも有効です。

    資産管理と内部教育の徹底

    攻撃者に狙われる脆弱性は多岐にわたるため、まずは自社システムの全容を把握することが出発点です。ハードウェア・ソフトウェア資産の最新インベントリを整備し、使用中の全ての製品についてサポート状況や最新パッチ適用状況をチェックします。使われていないシステムや旧式OSは計画的に撤去し、やむを得ず残す場合もネットワークを分離するなどリスク低減策を講じます。またIT部門や開発部門に対し、「古い脆弱性を放置しない」「定期的なアップデート適用は必須」といった意識付けを行います。定期的なセキュリティ研修や訓練で、脆弱性管理の重要性を全社員と共有することも大切です。

    脆弱性管理プロセスの強化と自動化

    増加する脆弱性に対処するには、属人的な対応から脱却しプロセスとツールの整備を進める必要があります。脆弱性情報収集から評価、パッチ適用状況のトラッキングまで一元管理できる仕組みを整えましょう。例えばKEVカタログのデータを自社資産データベースと照合する自動ツールを導入すれば、新たな緊急欠陥の検知と対応指示を迅速化できます。また定期的に脆弱性対応状況をレビューし、未対応件数や所要日数といったKPIを計測・改善することも効果的です。経営層は必要な人員・予算を投じ、継続的に脆弱性管理体制を進化させることが求められます。

    脆弱性管理プロセスの概要とポイントについては以下の記事でも解説しています。あわせてぜひご覧ください。
    脆弱性管理とIT資産管理-サイバー攻撃から組織を守る取り組み-

    まとめ

    2025年4QKEVカタログ分析レポートからは、攻撃者の手口がより広範かつ巧妙になっている実態が浮き彫りになりました。特に今年はKEVカタログへのCVE追加件数が前年より増加し記録更新となったことから、従来以上のハイペースで緊急脆弱性が発生・悪用される可能性が高まっています。侵入前提での備えを強化すべきでしょう。

    2025年を通じて言えることは、脆弱性対応のスピードと徹底度を組織文化として根付かせることです。経営層はリスクと投資対効果を理解し、現場は技術的施策を愚直に実行する。そして最新の脅威情報をキャッチアップし続けることで、組織全体のサイバー耐性を高められるでしょう。来たる2026年も同様のレポートを継続し、変化する攻撃者の戦術に対抗すべく知見をアップデートしていきます。

    BBSecでは

    脆弱性の悪用リスクに迅速に対応するには、専門家の支援を仰ぐことも有効です。ブロードバンドセキュリティ(BBSec)では、発覚した脆弱性への対応支援や緊急インシデント対応サービスをご提供しています。自社だけでは対応が難しいゼロデイ攻撃の発生や、大規模サイバー攻撃の兆候を検知した際はぜひご相談ください。経験豊富なセキュリティ専門チームが、お客様のシステム状況の迅速な把握、攻撃の封じ込め、再発防止策の導入まで包括的にサポートいたします。また、平時からの脆弱性診断サービスやセキュリティ研修なども取り揃えており、脆弱性管理体制の構築から有事の対応までワンストップで支援可能です。BBSecのサービスを活用し、貴社のセキュリティレベル向上にぜひお役立てください。

    サイバーインシデント緊急対応

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2026年2月4日(水)13:00~14:00
    【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 2026年2月10日(火)14:00~15:00
    Web攻撃の“今”がわかる OWASP Top 10 2025で読み解く脆弱性の狙われ方と対策の考え方
  • 2026年2月18日(水)14:00~15:00
    急増する「LINE誘導型」ビジネスメール詐欺の実態 ―社長になりすます最新BEC手口と組織で取るべき対策―
  • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    DoS攻撃のリスクと対策:アクセス急増の原因と見分け方、サービス停止を防ぐ初動対応

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    「DoS攻撃のリスクと対策:アクセス急増の原因と見分け方、サービス停止を防ぐ初動対応」アイキャッチ画像

    Webサイトやオンラインサービスでアクセスが急増した場合、その原因が通常の利用増加なのか、DoS攻撃などによる異常な負荷なのかを早期に見極めることが重要です。判断を誤ると、サービス停止や業務影響につながるおそれがあります。

    本記事では、アクセス急増時に確認すべきポイントを整理し、DoS攻撃による停止リスクが高まる状況の見分け方や、企業が優先して実施すべきDoS攻撃対策の考え方を解説します。用語解説にとどまらず、脆弱性管理や初動対応など実務で役立つ判断軸を中心にまとめています。

    アクセス急増が起きたときに最初に考えるべきこと

    アクセス数や通信量が増えること自体は、必ずしも問題ではありません。キャンペーンやメディア露出など、正当な理由でトラフィックが増加するケースも多くあります。

    一方で、原因を確認しないまま放置すると、サーバやネットワークに過剰な負荷がかかり、応答遅延やエラーの多発、最悪の場合はサービス停止に発展します。重要なのは「増えている」という事実そのものではなく、なぜ増えているのかを切り分けることです。

    最初の15分で確認すべき初動対応のポイント

    アクセス急増を検知した直後は、次の観点を優先的に確認します。

    • いつから増え始め、どの程度の時間継続しているか
    • 影響が出ているのはどこか(ネットワーク、ロードバランサ、アプリケーション、DBなど)
    • 帯域・リクエスト数・エラー率のどれが増えているか
    • 直近で行ったリリースや設定変更の有無

    この初動判断が、DoS攻撃か通常のアクセス増加かを見極める第一歩になります。

    サービス停止につながる代表的な原因

    アクセス急増や負荷増大の原因には、いくつかのパターンがあります。

    一時的な正規アクセス集中

    特定の時間帯やイベントをきっかけに利用が集中するケースです。多くの場合、時間の経過とともに自然に収束します。

    設定不備・設計上の問題

    アクセス制限やリソース管理が適切でないと、通常利用でも過剰な負荷がかかり、サービス停止を招くことがあります。

    悪意ある大量リクエスト(DoS攻撃・DDoS攻撃)

    意図的に大量の通信や処理を発生させ、サービスを利用不能にするケースです。一般にDoS攻撃やDDoS攻撃と呼ばれるものは、この原因の一つとして位置づけられます。

    重要なのは、最初から攻撃と決めつけず、原因を整理して順序立てて切り分けることです。

    DoS攻撃とは何か・DDos攻撃との違い

    「DoS(Denial of Service)攻撃」とは、サーバやネットワークに過剰な負荷をかけることで、サービスを正常に利用できなくする攻撃手法です。単一の攻撃元から行われる場合もあれば、複数の端末を利用して分散的に行われるケースもあります。複数の分散した(Distributed)拠点から同時に行われるものは、「DDoS(Distributed Denial of Service)攻撃」と呼ばれます。

    DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
    記録破りのDDoS攻撃!サイバー脅威の拡大と企業が取るべき対策とは?
    【徹底解説】 日本航空のDDoS攻撃被害の実態と復旧プロセス

    企業のWebサービスは外部公開されている性質上、DoS攻撃の影響を受けやすく、特に処理能力に余裕がない構成や設定不備がある環境では、比較的少ない負荷でもサービス停止に至ることがあります。DoS攻撃は「特別な脅威」ではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

    DoS攻撃 / DDoS攻撃の特徴

    攻撃難易度の低さ

    DoS攻撃/DDoS攻撃の特徴のひとつが攻撃の難易度の低さです。

    多くの場合、コンピュータプログラムを書いてマルウェアを開発するような技術力は不要で、APTのような組織・資金・技術力もいりません。

    インターネット上には、多数のDoS攻撃ツールが存在します。また、ストレステスト等の正規ツールを悪用してDoS攻撃を行う場合もあります。そればかりか、クレジットカードさえあればすぐに利用できる「DDoS攻撃を請け負う違法サービス」すら存在しています。

    DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。

    社会・政治的動機

    DoS攻撃、特にDDoS攻撃の特徴を示すキーワードが「社会・政治」です。

    2010年、米大手決済サービスが、国際的な内部告発サイトが運営のために支援者から寄付を集める際に利用していた口座を、規約にしたがって凍結したことに対し、ハッカー集団がDDoS攻撃を実施、米大手決済サービスのサービスが一部停止する事態に陥りました。

    このように、実施のハードルが低いDoS攻撃/DDoS攻撃は、人々が自身のさまざまな意思を表明するために、あたかもデモ行進のように実施されることがあります。かつては、DDoS攻撃をデモ活動同様の市民の権利として認めるべきであるという議論がまじめに行われていたこともありました。しかし、実際には「気に食わない」だけでもDDoS攻撃は行われ得るのです。社会課題の解決、ナショナリズム、倫理などを標榜していたとしても、端から見るとヘイトや嫌がらせと変わらないことがあります。

    このような背景があるため、単に技術的な負荷として片付けられない場合もある点に留意が必要です。

    ブランド毀損など、DoS攻撃/DDoS攻撃を受けた場合の被害が大きい

    政治的、社会的、あるいは倫理的文脈から批判が集中した企業やサービスなどに対して、一度DoS攻撃/DDoS攻撃がはじまると、その趣旨に共感した人々が次々と参加し、ときに雪だるま式に拡大することがあるのもこの攻撃の特徴です。

    また、DoS攻撃/DDoS攻撃は、攻撃が起こっていることが外部からもわかるという点で、外部に公表するまでは事故の発生がわからない情報漏えいのようなタイプのサイバー攻撃とは異なります。「広く一般に知られる」ことが容易に起こりうるため、ブランドへの負のインパクトが発生する可能性も大きいといえます。

    DoS攻撃/DDoS攻撃の発生に気づくのが難しい

    そもそもWebサービスは、その性質上外部に公開されるものです。そのためDoS攻撃やDDoS攻撃を完全に防ぐことは容易ではありません。特に多数の機器を踏み台として巻き込むDDoS攻撃の標的となった場合には、気づく間もなくあっという間にサービス拒否状態に陥る可能性が高いでしょう。

    DoS攻撃による企業への影響とリスク

    DoS攻撃による影響は、単なる一時的な停止にとどまりません。

    • Webサイトやサービスが利用できなくなることによる機会損失
    • 業務システム停止による業務遅延
    • 顧客満足度の低下や信用・ブランドへの影響

    特にBtoBサービスの場合、短時間の停止であっても取引先への影響が大きく、事後対応に多くの工数を要するケースがあります。

    関連記事:「DoS攻撃/DDoS攻撃の脅威と対策

    DoS攻撃かどうかを見分けるための確認ポイント

    アクセス急増時には、いくつかの観点から状況を確認することで、異常かどうかを判断しやすくなります。

    タイミングと継続時間

    増加のタイミングと継続時間です。特定の時間帯だけ集中しているのか、長時間にわたって負荷が続いているのかによって、想定される原因は異なります。

    アクセス元・リクエスト内容

    同じ操作やURLへのリクエストが繰り返されていないか、特定のIP帯や地域に偏っていないかを見ることで、通常利用との違いが見えてきます。

    ログ・監視データから見る攻撃兆候

    エラー発生状況やレスポンス時間の変化を確認することで、単なるアクセス増加なのか、処理を圧迫する挙動なのかを把握できます。

    これらを総合的に確認することで、「様子見でよいケース」か「早急な対応が必要なケース」かを判断できます。

    企業が優先して実施すべきDoS攻撃対策

    DoS攻撃対策は、すべてを一度に実施する必要はありません。優先順位を付けて、自社環境に合った対策を選択することが重要です。

    DoS攻撃/DDoS攻撃にも有効な3つの基本的対策

    DoS攻撃、特にDDoS攻撃の対策としては、CDN(Content Delivery Networks)の利用、DDoS攻撃対策専用アプライアンス、WAF(Webアプリケーションファイアウォール)などが威力を発揮します。

    そして、これらの対策を適用する際には、同時に、セキュリティ対策の基本ともいえる以下の3点に対応できているかどうかも確認しましょう。

    1.必要のないサービス・プロセス・ポートは停止する
    2.DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
    3.脆弱性対策が施されたパッチを適用する

    いずれもセキュリティ対策の「基本中の基本」といえるものばかりですが、防御可能なタイプのDoS攻撃を回避し、システムがDDoS攻撃の踏み台にされることを防ぐためにきわめて有効です。

    DoS攻撃対策でよくある誤解と見落とし

    DoS攻撃対策というと、高価な専用製品を導入しなければ防げないと考えられがちですが、それだけで十分とは限りません。「対策しているつもり」になっている状態や、運用面の確認が不十分なケースも多く見られます。日常的な設定確認や運用の見直しが、結果としてリスク低減につながります。

    自社だけでの対応が難しい場合の考え方

    アクセス急増の原因が複雑で判断が難しい場合や、継続的な運用に不安がある場合は、第三者の視点を取り入れることも有効です。定期的なセキュリティ診断や評価を通じて、自社では気づきにくいリスクを把握することができます。

    脆弱性や設定不備を狙ったDoS攻撃は防ぐことができる

    DoS攻撃/DDoS攻撃は攻撃の発生に気づくのが難しいという話を前段で述べましたが、一方で、防ぐことができるタイプの攻撃も存在します。

    一部のWebサイトでは、「長大な文字列を受け入れてしまう」「ファイルの容量を制限しない」など、DoS攻撃につけ込まれてしまう問題が存在することがあります。また、ネットワーク関連の設定の不備によってDoS攻撃を受ける可能性も存在します。しかし、こうした脆弱性は、修正による回避が可能です。

    また、あなたの企業が直接DoS攻撃の攻撃対象とならなくても、上述のような脆弱性を放置しておくとDDoS攻撃の踏み台にされることもあります。その対策としては、各種機器・OS・ソフトウェアの脆弱性管理を適切に行うことや、脆弱性診断等のセキュリティ診断を定期的に実施して未知のリスクを把握し、対処することが重要です。

    Webアプリケーション脆弱性診断バナー

    診断会社あるある「すわ、DoS攻撃?」

    ここで余談ではありますが、診断実施に伴う「あるある」エピソードを。

    セキュリティ診断を行う際には、必ず、実施の年月日や時間帯を関連する部署に周知しなくてはなりません。

    実は、診断実施に伴って事業部門等が「DoS攻撃が発生した!」と勘違いすることが、しばしばあるのです。もちろん、一般にインターネット上に公開しているシステムの場合には業務に差し支えるような検査の仕方をしないというのが大前提ですが、それでも、大量の問合せ等が発生すると何も知らされていない担当部署はサイバー攻撃と勘違いすることがあります。ついでにこの際に抜き打ちで社内のサイバー訓練を・・・と目論みたい気持ちが出たとしても、それを実行に移すのは大変危険です。訓練は訓練させる側にきちんとした検証シナリオがあってこそ効果を発揮します。まずは関係各所との連携を徹底するところから始めましょう。

    まとめ

    DoS攻撃は、特別なケースではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

    • アクセス急増時はまず原因を切り分ける
    • DoS攻撃の影響と兆候を理解する
    • 見分け方を把握し、初動対応を誤らない
    • 優先順位を付けて対策・運用を進める
    • 必要のないサービス・プロセス・ポートの停止、などの基本的対策が有効
    • 脆弱性を突いて行われるDoS攻撃は、脆弱性診断などで発見し対策できる

    これまで述べたように、DoS攻撃/DDoS攻撃は、機会損失やブランド毀損など事業継続性を損なうダメージをもたらし得るサイバー攻撃です。DDoS攻撃の踏み台となれば社会的責任が問われることもあるでしょう。経営課題のひとつとして認識し、対処することが大切です。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【速報】アサヒグループホールディングス社長会見、犯行は「Qilin」―サイバー攻撃の全貌とセキュリティの盲点

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【速報】アサヒグループホールディングス社長会見、犯行は「Qilin」―サイバー攻撃の全貌とセキュリティの盲点アイキャッチ画像

    2025年11月27日、東京都内でアサヒグループホールディングス(以下、アサヒGHD)の勝木敦志社長らが記者会見を開き、同年9月に発生した大規模なアサヒグループへのサイバー攻撃の詳細と今後の復旧見通しを初めて公にしました*8。現場で明かされたのは、ロシア系ランサムウェア集団「Qilin」(キリン)による容赦のない犯行手口と、日本企業が直面する「境界型防御」の限界でした。セキュリティアナリストの視点から、今回の事件が投げかける教訓を解説します。

    なぜ侵入を許したのか?ロシア系ランサムウェア「Qilin」の執拗な手口

    会見で最も注目されたのは、攻撃の実行犯とその侵入経路の特定でした。アサヒGHDへの攻撃を行ったのは、医療機関や重要インフラを標的にすることで悪名高いランサムウェアグループ、Qilin(キリン)であることが判明しました。

    彼らの手口は極めて巧妙でした。攻撃者はまず、アサヒグループ内の一拠点にあるネットワーク機器の脆弱性を突き、そこを足場にVPN(仮想プライベートネットワーク)を経由して内部ネットワークへ侵入しました。一度内部に入り込むと、特権IDを奪取し、データセンター内のサーバーや端末を一気に暗号化。まさに電光石火のランサムウェア攻撃です。アサヒグループ側は「NIST(米国国立標準技術研究所)基準に基づいた防御策を講じていた」としていますが、攻撃者はその防御網のわずかな隙間―パッチ未適用の機器や古いVPN設定―を見逃しませんでした。

    今回のQilin(キリン)のような攻撃手口を通じて、従来の境界防御(社内は安全、社外は危険という考え方)のみでは限界がある、ということが改めて浮き彫りになりました。なお、アサヒグループ側は攻撃者からの身代金要求には一切応じておらず、支払いを拒否したという毅然とした対応を見せています。

    191万件の情報漏洩リスクと復旧までの長い道のり

    被害の規模は甚大です。会見では、顧客や従業員を含む最大191万件の個人情報が漏洩した可能性があると発表されました。これには氏名や住所などが含まれている恐れがあり、企業としての信頼に直結する重大なインシデントです。

    また、実体経済への影響も深刻です。現在もアサヒグループでは電話やFAXによるアナログな受注対応を余儀なくされており、物流の一部に遅延が生じています。勝木社長は「システムの完全な正常化は2026年2月になる」との見通しを示しました。攻撃発生から実に半年近くを要することになり、ランサムウェア被害からの復旧がいかに困難で、ビジネスを長期停滞させるかを物語っています。

    「境界防御」から「ゼロトラスト」へ―学ぶべき教訓

    今回のアサヒGHDの事例から、私たちセキュリティ担当者が学ぶべき最大の教訓は、侵入されることを前提とした対策へのシフトです。同社は再発防止策として、従来のVPNに依存した境界防御を廃止し、ゼロトラストアーキテクチャ(すべてのアクセスを疑い、検証する仕組み)への移行を明言しました。これは正しい方向性ですが、同時に多大なコストと時間を要する決断でもあります。

    Qilin(キリン)のような脅威アクターは、明日にもあなたの組織を狙うかもしれません。

    • 公開されているVPN機器の脆弱性パッチは即時適用されているか?
    • 多要素認証(MFA)はすべての外部アクセスに強制されているか?
    • 「侵入された後」の検知体制は整っているか?

    ―今回の会見は、これらを再点検するための警鐘として捉えるべきでしょう。アサヒGHDの事例を対岸の火事とせず、自組織のセキュリティ態勢を見直す契機としてください。

    【参考情報】

    技術解説・背景情報(Qilinの手口)

    サイバーインシデント緊急対応

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年12月3日(水)14:00~15:00
    【最新事例解説】Qilin攻撃に学ぶ!組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは?
  • 2025年12月10日(水)14:00~15:00
    【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT® with Swift Delivery紹介セミナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    企業がランサムウェアに感染したら?被害事例から学ぶ初動対応と経営者が取るべき対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    企業がランサムウェアに感染したら?被害事例から学ぶ初動対応と経営者が取るべき対策アイキャッチ画像

    近年、企業を狙ったサイバー攻撃は巧妙化・高度化し、なかでも「ランサムウェア」被害は深刻さを増しています。業務停止や顧客情報の漏えい、取引先・株主からの信頼低下など、企業経営を直撃するリスクが現実のものとなっています。もし企業がランサムウェアに感染したら、対応の遅れは損害の拡大を招きます。経営層こそ、リスクを正しく理解し、事前の備えと発生時の迅速な意思決定を行う必要があります。本記事では、企業向けにランサムウェアの最新動向と、感染した際に最優先で行うべき初動対応、そして再発防止策について解説します。

    ランサムウェアとは

    ランサムウェアは企業の重要データを暗号化し、復元と引き換えに身代金(Ransom)を支払うよう要求するマルウェアの一種です。

    かつては個人を標的とするケースが中心でしたが、近年では高額な金銭を得られる企業が主な攻撃対象となっています。製造、医療、インフラ、小売、自治体など業界を問わず被害が発生しており、サプライチェーン全体に影響を与えるケースも増加しています。

    身代金はビットコインなどの仮想通貨で要求されることがほとんどです。ただし、支払ってもデータ等が必ず元に戻るとは限りません。また、暗号化されたファイルのパスワードを解析して、自力で元に戻すことは、ほぼ不可能です。

    なぜ企業が狙われるのか

    企業が持つデータは攻撃者にとって高い価値を持ちます。特に以下の理由が挙げられます。

    • 業務停止を避けるため、身代金が支払われやすい
    • 顧客・取引先データなど外部へ悪用できる情報を保有している
    • セキュリティレベルのばらつきがある
    • クラウド移行、DX加速に伴い防御範囲が拡大している

    攻撃者は従業員のメールや脆弱なVPNを突破口として企業ネットワークに侵入し、内部に潜伏しながらバックアップ破壊など周到な準備を行った上で暗号化を実行します。

    被害を拡大させる「二重脅迫」が主流

    従来はファイルを暗号化して身代金を要求するだけだったランサムウェア攻撃ですが、近年主流となっているのが「二重脅迫(二重恐喝)」型です。これは、暗号化する前にデータを盗み出し、身代金の要求に加え、企業の機密情報をインターネットに公開するぞと、二重に脅迫を行う手法です。

    復旧可能なバックアップがあったとしても、情報漏えいリスクから身代金の支払いに追い込まれるケースが後を絶ちません。また、支払い後もデータ公開を止めない犯罪グループも存在します。

    企業のランサムウェア被害がもたらす影響

    ランサムウェア感染により、企業は多面的な損害を受けます。

    影響範囲内容
    業務面生産ライン停止、受注業務・物流遅延、顧客対応停止
    経済面身代金、復旧費、情報漏えい対応費、機会損失
    信頼面顧客・取引先・株主・社会的信用の失墜
    法的責任個人情報保護法、業界規制等による報告義務

    被害の総額は数千万円〜数十億円規模にのぼる例もめずらしくありません。

    どこから感染するのか(ランサムウェアの主な感染経路)

    多くは企業のセキュリティ対策が不十分な“穴”(=セキュリティホール)をついて侵入されます。

    • 標的型攻撃メール(添付ファイル・悪意あるリンク)
    • 脆弱性のあるVPN装置・リモート環境
    • 不正なソフトウェア・USBデバイス
    • サプライチェーンを介した侵入
    • 不正アクセスにより管理権限を奪取

    「メールを開いただけ」といった小さな油断から大被害へと発展します。このように、1つのマルウェアに感染することで様々なランサムウェアに感染する可能性があり、攻撃のパターンも複数あるということを認識しておく必要があります。

    企業がランサムウェアに感染したら:最初の72時間で何をすべきか

    感染発覚後の初動対応が、復旧の成否と被害額を大きく左右します。以下は企業が取るべき基本手順です。

    1. 被害範囲の特定と隔離
      ネットワークから切り離し、被害が拡大しないよう封じ込めます。
    2. 外部専門機関への早期連絡
      フォレンジック調査、インシデントレスポンス(CSIRT)と連携し、被害を技術的に分析します。
    3. 重要関係者への状況共有
      経営層/法務/広報/顧客/取引先/監督官庁など、情報開示を適切に実施します。
    4. バックアップからの復旧検討
      データの安全性を確認した上で、段階的に業務を再開します。
    5. 法的観点に基づく対応
      情報漏えいが発生した場合は報告義務が生じる可能性があります。

    “自社だけで判断しない”ことが極めて重要です。

    サイバーインシデント緊急対応

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    身代金を支払えば解決するのか?

    結論から言えば、身代金支払いは推奨されません。その主な理由は以下の通りです。

    • 復号ツールを受け取れる保証がない
    • データ公開を止める保証がない
    • 再び標的にされる可能性が高まる
    • 資金が犯罪組織の活動に利用される
    • 法令や国際規制に抵触するリスク

    国際的にも支払いは原則「NG」とされており、法務と専門家の判断を必須とすべき領域です。

    企業が導入すべきランサムウェア対策

    感染防止と被害最小化は両輪で取り組む必要があります。

    予防策(侵入させない)

    • EDR/XDRの導入
    • 脆弱性管理・パッチ適用
    • ゼロトラスト型アクセス制御
    • メール訓練と従業員教育

    ランサムウェアの対策として、EDR(Endpoint Detection and Response)やSIEM(Security Information and Event Management)製品を活用して、早期検知とブロックを行う方法がよく知られていますが、最大の感染経路のひとつである「メール」を対象にした訓練を行うことも有効でしょう。

    ランサムウェア対策のメール訓練としては、「定型のメールを一斉送信し、部署毎に開封率のレポートを出す」ことに加え、事前に会社の組織図や業務手順等のヒアリングを行ったうえで、よりクリックされやすいカスタマイズした攻撃メールを作成し、添付ファイルや危険なURLをクリックすることで最終的にどんな知財や資産に対してどんな被害が発生するか、具体的なリスク予測までを実施することをおすすめします。

    標的型メール訓練

    https://www.bbsec.co.jp/service/training_information/mail-practice.html
    ※外部サイトへリンクします。

    被害軽減策(侵入されても止める)

    • 隔離可能なネットワーク構成
    • 攻撃検知・自動遮断システム
    • 権限最小化・多要素認証

    復旧策(迅速に回復する)

    • オフライン・多重バックアップ
    • 復旧手順の事前検証
    • インシデント対応訓練

    経営者が担うべき役割

    ランサムウェアはIT部門だけでは対応できません。経営者視点で求められるのは以下です。

    • セキュリティ投資判断と優先順位付け
    • リスクを踏まえた継続的な管理体制の構築
    • 社内文化としてのセキュリティ意識向上
    • インシデント発生時の意思決定と情報開示方針の確立

    セキュリティは経営課題であり、企業価値を守るための投資です。

    まとめ:感染したら“すぐ動ける企業”へ

    企業がランサムウェアに感染したら、時間との戦いが始まります。初動が遅れるほど被害は拡大し、業務停止や情報漏えい、社会的信用喪失といった影響は深刻さを増します。だからこそ、「事前の備え(体制・技術・教育)」「迅速な判断(経営レベル)」「確実な復旧(検証された手順)」が不可欠です。

    攻撃はいつ起きてもおかしくありません。“感染したらどうするか”ではなく、“必ず起きる前提で備える”―それが企業のセキュリティ対策の出発点です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像