【現役CSIRT解説】企業の10.7%が最重要視するサイバーセキュリティリスク - 実態調査で見えた対策の現実

こんにちは。現役CSIRTメンバーとして日々企業のセキュリティインシデント対応に携わっている私が、先日発表されたMS&ADインターリスク総研の企業リスク調査結果について解説します。

この調査結果を見て、正直「やっと企業の皆さんもサイバーセキュリティの重要性に気づいてくれたか」という思いと、「まだまだ対策が不十分すぎる」という危機感の両方を抱いています。

サイバーセキュリティが企業の重要リスク第2位に浮上

今回の調査で注目すべきは、現在企業が関心を持つリスクとして「サイバーセキュリティ」が10.7％で第2位にランクインしたことです。これは決して偶然ではありません。

私たちCSIRTが対応する案件を見ても、中小企業から大企業まで、業界を問わずサイバー攻撃の被害が急増しています。特に最近目立つのは以下のような事例です：

これらは氷山の一角に過ぎません。実際には、被害を公表していない企業も含めれば、その数は膨大なものになるでしょう。

さらに興味深いのは、3～5年後の企業の脅威として「サイバーセキュリティ」が9.5％で第3位に挙がっていることです。これは企業が短期的な対処療法ではなく、長期的な視点でセキュリティ対策を考え始めた証拠といえるでしょう。

実際、フォレンジック調査を行っていると、攻撃者は何ヶ月も前から標的企業のネットワークに潜伏していることが判明するケースが多々あります。つまり、サイバー攻撃は一過性の問題ではなく、継続的に企業を脅かす存在なのです。

調査では、自社のリスクマネジメントの取り組みについて「かなり不十分」「やや不十分」と感じている企業が約3割に上ることも明らかになりました。

この結果は、私たちが日常的に接している企業の実態と完全に一致しています。多くの企業で以下のような問題を目にします：

企業レベルの対策も重要ですが、まずは個人レベルでできることから始めることも大切です。特に、テレワークが普及した現在では、個人のセキュリティ対策が企業全体に影響を与える可能性があります。

1. 信頼性の高いアンチウイルスソフトの導入
マルウェアやウイルスからデバイスを保護する最初の防御線です。無料版ではなく、しっかりとした有料版を選ぶことをお勧めします。

2. 安全な通信環境の確保
特に外出先や公共Wi-Fiを使用する際は、VPN を活用して通信を暗号化し、第三者による盗聴やデータ傍受を防ぎましょう。

個人レベルの対策に加えて、企業としては包括的なセキュリティ戦略が必要です。特に注目すべきは、Webサイトの脆弱性対策です。

私が関わったフォレンジック調査でも、企業のWebサイトの脆弱性を突いた攻撃が増加しています。SQLインジェクション、クロスサイトスクリプティング（XSS）、ディレクトリトラバーサルなど、様々な手法で攻撃者は企業システムへの侵入を試みます。

こうした脅威に対抗するため、定期的なWebサイト脆弱性診断サービスの実施は必須となっています。専門的な診断により、システムの弱点を事前に発見し、対策を講じることができます。

多くの経営者がセキュリティ対策を「コスト」として捉えがちですが、これは大きな間違いです。適切なセキュリティ投資は「保険」であり、将来的な大きな損失を防ぐための必要経費なのです。

実際に被害を受けた企業の復旧コストを見ると：

これらの総額と比較すれば、事前の対策投資がいかに重要かがわかるでしょう。

調査結果を受けて、今すぐ実行できる対策をまとめました：

今回のMS&ADインターリスク総研の調査結果は、企業がようやくサイバーセキュリティの重要性を認識し始めた証拠です。しかし、「認識」と「実行」は別物です。

現役CSIRTとして断言しますが、サイバー攻撃は「もしかしたら受けるかもしれない」ものではなく、「いつかは必ず受ける」ものです。その日が来る前に、適切な対策を講じることが企業の持続的成長には不可欠です。

セキュリティ対策は一朝一夕にはできません。今日から、できることから始めましょう。あなたの企業と従業員、そして顧客を守るために。