>
>
最終更新日
現代のビジネス環境において、企業が保有するデジタル資産を脅威から守ることは、情報システム部門(情シス)にとって最優先のミッションです。クラウド利用の拡大やリモートワークの普及に加え、近年は生成AIの業務利用に伴う機密情報漏洩リスクなど、従来の境界型防御だけでは防ぎきれないサイバーセキュリティのリスクが増大しています。
本記事では、2026年10月に施行が確定した「サイバー対処能力強化法」など法規制の最新トレンドから、実際の国内被害データ、さらには他社に差をつける「ゼロトラスト」や「サイバーレジリエンス」の構築手法まで、情シスが押さえておくべき実務の要点を包括的に解説します。これさえ読めば、セキュリティ投資の稟議を経営層に通すためのファクトと、明日から自社で取り組むべきアクションプランがすべて手に入ります。
セキュリティ対策とは
本記事のポイント
サイバー対処能力強化法の施行(2026年10月1日)に伴い、サプライチェーン構成企業に対しても「つながる責任」として高い安全基準が求められます。
IPA「情報セキュリティ10大脅威 2026」にて「AIの利用をめぐるサイバーリスク」が3位に初選出され、シャドーITを招かない「安全な生成AI活用ルール」の策定が急務です。
2025年の国内ランサムウェア被害の約6割は中小企業であり、取引先大企業への侵入経路となる「サプライチェーン攻撃の踏み台」としてのリスク管理が問われています。
これからの防御は「100%防ぐことは不可能」を前提とし、迅速に事業を復旧させる「サイバーレジリエンス(回復力)」へのシフトが不可欠です。
セキュリティ対策とは、企業が保有する情報資産の機密性・完全性・可用性を維持し、サイバー攻撃や内部不正による重大な損失を未然に防止する一連の仕組みを指します。
単にウイルス対策ソフトを導入するにとどまらず、不正アクセスや情報漏洩、データの改ざん、インフラやシステム停止といった多角的なリスクから組織を守る「技術的・物理的・組織的」な包括防護措置を網羅することが実務上の要諦です。企業の信頼を揺るがすサイバー攻撃や内部不正からの情報漏洩を効率よく、かつ持続的に防ぐためには、デジタル空間に閉じたシステム防御だけでなく、運用フローやリテラシー教育を含めた「情報資産全体の保護」の視点が極めて重要になります。
情報セキュリティの3要素(CIA)の維持
情報セキュリティの根幹は、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)という3つの要素をバランスよく保つことにあります。
機密性は「許可された人だけがアクセスできること」、完全性は「情報が正確で改ざんされていないこと」、可用性は「必要な時にいつでも利用できること」を意味します。情シスはこれら3要素(通称:CIA)を維持するために、ID管理や暗号化、隔離バックアップなどの多層的な施策を講じる必要があります。
サイバーセキュリティと情報セキュリティの違い
サイバーセキュリティはデジタル空間における攻撃への防御に特化しているのに対し、情報セキュリティは紙の書類の取り扱いや物理的な入退室管理なども含む、より広範な概念です。
近年では、サイバー攻撃の手口が巧妙化しているため、ITインフラを管理する情シスにとっては、デジタル上の防御であるサイバーセキュリティが対策の中核となります。しかし、USBメモリの紛失や書類の誤廃棄、物理デバイスの盗難といったアナログな情報漏洩リスクも無視できないため、双方を包含した「情報資産の保護」という一貫した視点を持つことが重要です。
なぜ今、企業に強固な情報セキュリティが必要なのか?
高度化・民主化するサイバー攻撃の脅威は中堅・中小企業を最も狙っており、セキュリティを怠ることは主要取引先からの排除という死活的な経営リスクに直結します。
2026年10月施行「サイバー対処能力強化法」と取引継続リスク
2025年5月16日に成立した「サイバー対処能力強化法(正式名称:重要電子計算機に対する不正な行為による被害の防止に関する法律)」が、一部の規定を除き2026年10月1日に施行されることが閣議決定されました。さらに、本法に先立ち2025年7月1日には、日本のサイバー安全保障分野の政策を一元的に総合調整する司令塔組織として、内閣官房に「国家サイバー統括室(NCO)」が新設されています。これらに伴い、「サイバーセキュリティ基本法」に基づく政府機関の統一基準(2025年7月改定)も刷新されました。
これらの動きが情シスに与える最大の影響は、基幹インフラ事業者だけでなく、その委託先やサプライチェーンを構成する中小・民間企業に対しても、セキュリティ準拠や「つながる責任」がこれまで以上に強く問われるようになる点です。セキュリティ対策を怠ることは、インシデント時の損害に留まらず、「取引先のサプライチェーンから強制排除される」という極めて重大な経営リスクに直結する時代に突入しています。
警察庁の最新データが暴く「BtoB・中小企業安全神話」の崩壊
警察庁サイバー警察局が2026年3月に公表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、日本のサイバー脅威は過去最悪の水準で高止まりしています。
ランサムウェア被害の現状:2025年の国内におけるランサムウェア被害の報告件数は226件でした。注目すべきは、被害企業の規模別に見て、中小企業が全体の約6割を占めている点です。「大企業しか狙われない」という認識は、警察庁のファクトによって明確に打ち砕かれています。
業種別の割合:最もターゲットになりやすいのは製造業(全体の約4割)で、次いで卸売・小売業、サービス業、情報通信業となっています。これは、海外取引や下請けサプライチェーンの網の目を狙って侵入を試みる攻撃手口の常態化を示しています。
「ノーウェアランサム」の台頭:システムを暗号化せず、機密データを窃取して「公開する」と脅迫する『非暗号型(ノーウェア)ランサム』が急増しており、2025年は17件が公式に報告されました。
フィッシングと不正送金:2025年のフィッシング報告件数は245万4,297件、インターネットバンキングの不正送金件数は4,747件(被害総額約103億9,700万円)に達しており、従来の対策のみでは防ぎきれない状況です。
さらに近年、猛威を振るったEmotet(エモテット)等の手口も形を変えながら潜伏・拡大を続けており、情シスは常に最新の侵入手法を前提に対策をアップデートし続ける必要があります。
情シスが優先すべきセキュリティ対策の5つの柱
自社のITインフラを全方位で守るためには、境界防御の限界を認識した上で「ID(人)」「エンドポイント」「データ」を起点とする多層防御体制を整備することが有効です。
1. 境界防御からゼロトラストへの移行
「社内ネットワークは安全、社外は危険」という従来の境界防御モデルを捨て、すべてのアクセスを検証する「ゼロトラスト」への移行が急務です。
従来のVPN機器は、その脆弱性や認証情報の漏洩が攻撃者の格好の侵入口となっています。ゼロトラスト環境では、ユーザーのアイデンティティ(ID認証)とデバイスの健全性を毎回厳格に評価するため、テレワークや複数のクラウドサービスを併用するハイブリッドな業務環境でも安全な通信経路を担保できます。
2. エンドポイントセキュリティ(EDR)の強化
PCやサーバーといった端末(エンドポイント)での脅威検知・隔離を行うため、従来のアンチウイルス(EPP)からEDR(Endpoint Detection and Response)へのアップグレードが推奨されます。
未知のマルウェアを100%遮断することは不可能なため、EDRを導入して「侵入された後の不審な挙動」をリアルタイムに監視し、感染端末をネットワークから自動隔離・封じ込めるプロセスを確立することが重要です。
3. ID・アクセス管理(IAM)と「シークレット管理」の徹底
適切なユーザーのみに最小限の権限を付与し、多要素認証(MFA)を必須とすることで、不正ログインを防止します。
SaaSのアカウント管理や開発環境のセキュリティにおいて、近年は認証情報(トークンやAPIキー)自体の管理漏れが標的にされるケースが激増しています。実際に2026年5月、大手フィンテック企業の株式会社マネーフォワードにおいて、システム開発に使用していたGitHubの認証情報(シークレット情報)が漏えいし、ソースコードと一部個人情報(マネーフォワード ビジネスカードに関わる370件のカード保持者名と番号下4桁)がコピーされた不正アクセス事案が発生しました。同社は二次被害防止のために迅速に銀行口座連携を一時停止し、認証情報の再発行(洗い替え)を完了させて5月12日から順次連携を再開しています。この事件が示すように、ソースコード内へのキー情報の埋め込みや放置された特権アカウントは、攻撃者にとっての格好の侵入経路となります。IDのライフサイクル管理だけでなく、開発環境やSaaSの認証情報の棚卸しを定期的に行うことが情シスには必須の業務です。
4. 脆弱性管理とパッチ適用サイクルの確立
OSやアプリケーションの既知の脆弱性を放置せず、迅速にパッチ(修正プログラム)を適用する運用フローを構築してください。
攻撃者は脆弱性が公表された直後から、自動探索ボットやAIを悪用して脆弱なサーバーやVPN機器を検知します。IT資産管理ツールを導入し、Windows Updateだけでなく、サードパーティ製アプリ(ブラウザやZoom等)のアップデート状況まで一元的に可視化して自動適用される仕組みを作りましょう。
5. 従業員への生成AI・ITリテラシー教育と内部不正対策
IPA「情報セキュリティ10大脅威 2026」にて組織向け第3位に初選出された「AIの利用をめぐるサイバーリスク」への対応が急務となっています。
生成AIの業務利用をルールなしに「全面禁止」にすることは、従業員が個人アカウントで勝手に使用する「シャドーIT(シャドーAI)」を招き、かえって重大な機密情報の漏洩リスクを高めます。情シスは、データが学習に使用されない「法人向けライセンス」を社内標準として公式提供し、「プロンプトへ個人情報や機密データを入力しない」ことを規定したAIガバナンス(社内利用ガイドライン)を策定・研修することが実務上の正しいアプローチです。同時に、内部不正を抑止するための操作ログ監視や、不要なUSBメモリの使用制限などのルール整備を並行して推進しましょう。
情シスが陥りがちなセキュリティ対策の「3つの誤解と失敗パターン」
どれほど高度なセキュリティ製品を導入しても、誤った現状認識や不十分な運用体制を放置していれば、サイバー攻撃を簡単に許してしまいます。
誤解1:「うちはニッチなBtoB(または中小企業)だから狙われない」
現実:攻撃者はあなたの会社ではなく、その先にある「取引先の大企業」へ侵入するための『踏み台(サプライチェーン攻撃の起点)』としてセキュリティの甘い中小企業を狙います。
前述の通り、警察庁の統計でもランサムウェア被害の6割は中小企業です。「狙われるほどの価値がない」という認識は完全に誤りであり、サプライチェーン全体の足を引っ張るセキュリティホールとなり得る自覚を情シスが持ち、経営陣に伝えていく必要があります。
誤解2:「VPNを繋いでいるから社内は安全」
現実:サイバー攻撃の最大の侵入口の一つは「VPN装置自体の脆弱性」や「漏えいしたVPN認証情報の悪用」です。
境界防御(社内と社外を分けて社内だけを信じる構造)を前提にしていると、一度境界を越えて侵入した攻撃者にネットワーク内を自由に動き回られ、すべてのサーバーやActive Directory(管理者権限)を暗号化・破壊されてしまいます。VPNを繋いでいるから安全なのではなく、VPNそのものが最大の脆弱性になり得るという前提でゼロトラストへの移行を検討しなければなりません。
誤解3:「EDRなどの高機能セキュリティ製品を導入したから安心」
現実:高価なツールを導入しても、情シス部門がアラートの監視を放置したり、対応マニュアルがないために運用が破綻するケースが多発しています。
EDRやSIEMなどのツールはアラートを検知する道具であり、24時間365日の監視・判断ができなければ意味をなしません。自社に夜間を含む常時監視体制を敷く余裕がない場合は、導入予算の中に「MSS(マネージド・セキュリティ・サービス)」などの外部SOC(セキュリティオペレーションセンター)の委託費用をあらかじめ盛り込んでおくべきです。
セキュリティ対策の優先順位と構成例
すべての攻撃を100%防ぐことは不可能なため、事前防御だけでなく、侵入されても速やかに事業を復旧する「サイバーレジリエンス」を軸に優先順位を設定すべきです。
防御から「復旧(レジリエンス)」へのシフトと3-2-1ルール
万が一システムが攻撃によってダウン、あるいは暗号化された際、速やかに被害を最小限に抑えながら事業を立ち上げる能力を「サイバーレジリエンス」と呼びます。
その最大の実効策が、バックアップデータの「隔離(イミュータブル・不変)化」です。情シスが実践すべきなのは、バックアップにおける「3-2-1ルール」の厳守です。これは、『3つのデータ(本番+コピー2つ)を、2つの異なる物理媒体に保存し、そのうち1つは社内ネットワークから論理的または物理的に分離した隔離環境(オフライン・コールドスタンバイ、または独立したクラウドストレージ)に保管する』という原則です。ネットワークに接続されたままのバックアップデータは、ランサムウェア侵入時に同時に暗号化されるため、隔離バックアップを確保することが究極のレジリエンスとなります。
【規模別】即実践できる!情シスのためのセキュリティ対策セルフチェックリスト
企業の規模や割り当てられるリソース(ひとり情シスかチームか)によって、着手すべきアプローチは異なります。自社のフェーズに合わせて、以下の推奨タイムラインを参考に実践してください。
対象規模 | 実務チェック項目 | 導入目的・得られる効果 | 目標タイムライン |
|---|---|---|---|
50名未満 | □ 全アカウントでの多要素認証(MFA)の強制化 | フィッシングやリスト型攻撃による不正ログインの即時防止 | 即時(1週間以内) |
□ OSおよび主要サードパーティ製アプリの自動アップデート有効化 | 既知の脆弱性を突いた自動スキャン攻撃の無力化 | 即時(1週間以内) | |
□ ネットワークから切り離されたクラウド(隔離)へのバックアップ取得 | ランサムウェア感染時のデータ完全復旧経路の確保 | 1ヶ月以内 | |
50〜300名 | □ EDRの導入、および資産管理ツールによるIT資産の一元可視化 | 侵入された際の即時アラート検知、および端末隔離機能の確保 | 3ヶ月以内 |
□ 生成AIの安全な利用ガイドラインの策定、および従業員研修 | AIの利用をめぐる意図しない機密情報・個人情報の流出を抑止 | 3ヶ月以内 | |
□ VPN装置等の不要ポートの閉塞、およびパッチ適用の自動化 | 外部からの主たる不正侵入経路(境界の穴)を完全に塞ぐ | 3ヶ月以内 | |
300名超 | □ ゼロトラスト環境(SASE、SSO、EDRの完全統合)への移行開始 | 場所を問わない均一な高レベルセキュリティと利便性の両立 | 6ヶ月〜1年 |
□ CSIRT(緊急対応体制)の正式発足と、復旧シミュレーション訓練 | 万が一の感染時における初動の混乱防止、事業継続力(BCP)の確保 | 6ヶ月以内 | |
□ 外部SOC/MSSへの監視アウトソーシングによる24時間体制化 | 情シスの監視負荷を排除し、夜間・休日の即時インシデント封じ込めを実現 | 6ヶ月以内 |
インシデント発生時に備えた対応体制(CSIRT)の構築ステップ
インシデント発生後の初動対応の成否は、事前に整備されたCSIRT(シーサート)の機能性と外部専門チームとの緊密な連携計画に委ねられます。
STEP1:緊急連絡網と役割分担の明確化(経営・法務・外部ベンダーの網羅)
インシデントを検知した際の第一報ルート、および対策本部の役割(技術調査、法務判断、外部広報、ベンダー連携)を、フロー図を交えて事前に定義します。
初動の遅れは、個人情報保護委員会への法的な報告義務期限(重大事態の場合は速報3日以内、確報30日以内等)に遅れを生じさせ、甚大なペナルティを招くリスクがあります。「誰が最終決定を下すのか」を明確にした意思決定ラインを最新化しておきましょう。
STEP2:ログ収集と監視体制の整備(外部SOC/MSSへの委託検討)
攻撃の原因特定や被害範囲(漏洩データの内容・有無)を迅速に特定するため、サーバー、ネットワーク、EDRのログを改ざん不可能な形で集約・保管します。
自社のみで24時間365日のログ監視や異常分析を行うのは難しいため、情シス代行 セキュリティ対策などの外部専門サービスや、セキュリティ監視を専門とするSOC、MSSと事前に契約を結んでおくことが、実務上極めて現実的なアプローチとなります。
STEP3:復旧手順(BCP)の策定と訓練
「3-2-1ルール」に従って保護した隔離バックアップを用いて、実際にサーバーやシステムが制限時間内に安全に復旧できるかを、シミュレーション訓練を通して検証します。
マニュアル上の手順が、実際のネットワーク切断状態でも機能するかを定期的にチェックすることが、真のレジリエンス(回復力)獲得につながります。
セキュリティ投資の考え方とROIの捉え方
セキュリティを企業の信頼性・取引適合性という『攻めの資産』として捉え、運用を自動化・効率化させることで長期的なコスト削減を両立させるアプローチが有効です。
ゼロトラスト化とセキュリティ運用コストの半減を両立した国内企業導入事例
セキュリティ投資は単なる「コスト」ではなく、経営を守る保険であり、かつ「運用の最適化によるコスト削減」を実現するポジティブな投資です。以下に、実際にセキュリティ強化と長期的な運用コスト削減(ROIの向上)を両立させた実在の国内企業事例を紹介します。
企業名 | 業種・規模 | 導入・移行時期 | 課題 → 施策 → 成果(ROI・利便性向上) |
|---|---|---|---|
株式会社NTTドコモ | 通信・ITサービス | 2021〜2023年 | 【課題】: テレワーク拡大に伴う境界型ネットワーク(VPN)の限界と、複数のセキュリティ製品維持コストの肥大化。 |
株式会社リコー | 精密機器・オフィスサービス製造 | 2022〜2024年 | 【課題】: 国内外の拠点ごとにセキュリティポリシーや導入製品が異なり、管理が非効率で統治工数が増大。 |
株式会社ひとまいる | 酒類・飲料等の卸売・デリバリー | 2023年 | 【課題】: 従来のネットワーク分離環境の維持により、従業員がPCを「1人2台」持ち歩く必要があり、機器コストと作業工数が限界に。 |
越後製菓株式会社 | 食品製造・販売 | 2024年 | 【課題】: 従業員の利用するシステムやID・パスワードが増大し、リセット対応など情シスの運用負荷とコストが肥大化。 |
よくある質問
Q:ひとり情シスでセキュリティ対策を進める場合、何から始めればよいですか?
A:まずは「全アカウントの多要素認証(MFA)必須化」を即時実施してください。その後、リソース不足を補うために、パッチ管理やログ監視などの日常運用を「情シス代行 セキュリティ対策」サービスや外部のMSS(マネージド・セキュリティ・サービス)へアウトソーシングすることを強く推奨します。
Q:2026年10月施行の「サイバー対処能力強化法」は、基幹インフラ以外の一般企業にも影響しますか?
A:直接の届出義務は基幹インフラ事業者が対象ですが、サプライチェーン全体を守る能動的サイバー防御の観点から、その委託先となる一般のIT企業や中小・中堅企業に対しても高いセキュリティ準拠が求められます。不十分なセキュリティ体制のままでいると、取引先の大企業から「踏み台リスク」を懸念され、契約を解除されるなどの深刻な取引排除リスクが生じます。
Q:生成AIを社内で導入する際の最大のセキュリティリスクと対策を教えてください。
A:最大の懸念は、従業員が不注意に機密情報や個人情報を入力し、AIの再学習データとして外部に流出してしまうリスクです。対策として、まずは入力したデータが学習されない「法人向けライセンス契約(ChatGPT TeamやMicrosoft Copilot等)」を情シスが公式に提供し、併せて「入力してはいけないデータ」を明示したAIガバナンス(社内利用規約)の整備と従業員への教育をセットで行ってください。
まとめ
高度化するサイバー脅威に対し、情シスが最初に取り組むべき一歩は、自社の『IT資産(デバイス、SaaSアカウント)』と『管理者権限の保有者リスト』を最新の状態へ可視化することです。何がどこにあり、誰がどのようなアクセス権限を持っているかが把握できていなければ、適切な防御や迅速なインシデント復旧は不可能です。使われていない『野良アカウント』や不要に付与された特権権限を整理するだけでも、攻撃者が付け狙う隙を劇的に削減できます。最新の法規制や技術トレンドにアンテナを張りつつ、自社に最適な優先順位で実務を前に進めていきましょう。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
