【2025年最新調査】企業が恐れるサイバーセキュリティリスク、現在関心度2位も対策は不十分

企業が直面するサイバーセキュリティリスクの現実

MS&ADインターリスク総研が2025年8月に実施した「企業のリスクマネジメント実態アンケート」の結果は、現役のフォレンジックアナリストとして非常に興味深いものでした。調査結果を見ると、企業の経営陣がサイバーセキュリティをどう捉えているかが浮き彫りになっています。

調査によると、3～5年後に企業にとって最大の脅威となるリスクとして「サイバーセキュリティ」を挙げた企業は9.5％で3位。一方で、現在関心の高いリスクとしては10.7％で2位にランクインしています。

この数字を見て、「あれ、意外と低いな」と思った方もいるかもしれません。でも実際のCSIRT（Computer Security Incident Response Team）の現場では、日々深刻なサイバー攻撃の対応に追われているのが現実です。

興味深いのは、将来のリスクとしての認識（9.5％）よりも、現在の関心度（10.7％）の方が高いという点です。これは多くの企業が「今は対策しているから大丈夫」と考えている可能性を示しています。

しかし、私がフォレンジック調査を行った実例では、こんなケースがありました：

【実例1：地方の製造業A社のケース】
従業員50名の製造業で、「うちは小さいから狙われない」と考えていた企業が、ランサムウェア攻撃を受けました。攻撃者は大企業への足がかりとして、セキュリティの甘い中小企業を狙い撃ちしていたのです。

【実例2：IT企業B社のケース】
「セキュリティ対策は万全」と考えていた企業でも、リモートワーク環境の脆弱性を突かれ、顧客データが流出。調査の結果、従業員の個人デバイスから侵入されていたことが判明しました。

調査で1位となった「人的資本・人材確保リスク」（23.9％）は、実はサイバーセキュリティと密接に関連しています。

セキュリティ人材の不足は、以下のような問題を引き起こします：

実際に私が調査した案件でも、「セキュリティ担当者が退職してから、後任が見つからずに放置されていた脆弱性から攻撃を受けた」というケースが複数ありました。

調査では約3割の企業がリスクマネジメントの取り組みを「不十分」と感じているとありました。でも安心してください。中小企業でも効果的な対策は可能です。

まず個人レベルから始めましょう。アンチウイルスソフトの導入は基本中の基本です。最近のアンチウイルスソフトは、従来のウイルス検知だけでなく、ランサムウェアやフィッシング攻撃からも守ってくれます。

また、リモートワークが増えた今、VPN の利用も重要です。公衆Wi-Fiを使った業務や、自宅からの社内システムアクセス時のセキュリティを確保できます。

企業レベルでは、自社のWebサイトやシステムの脆弱性を定期的にチェックすることが重要です。Webサイト脆弱性診断サービスを活用することで、攻撃者に狙われやすい脆弱性を事前に発見・修正できます。

最近のフォレンジック調査で目立つのは、以下のような攻撃パターンです：

1. 段階的な侵入
攻撃者は一度に大きなダメージを与えるのではなく、時間をかけて徐々にシステム内部に侵入します。初期侵入から実際の被害まで数ヶ月かかるケースも珍しくありません。

2. 複数の手法の組み合わせ
フィッシングメールで従業員のアカウントを奪取し、そこからVPNに侵入、最終的にランサムウェアを展開するといった、複合的な攻撃が増加しています。

3. AI技術の悪用
最近では、AIを使ったディープフェイク音声による電話詐欺や、より巧妙なフィッシングメールの作成なども確認されています。

調査結果を見ると、企業はサイバーセキュリティリスクを認識はしているものの、優先度がそれほど高くないように見えます。しかし、これは非常に危険な状況だと言わざるを得ません。

理由は以下の通りです：

MS&ADインターリスク総研の調査結果は、企業が人材確保に注力する一方で、サイバーセキュリティへの対策が後回しになっている現状を浮き彫りにしました。

しかし、現実には人材不足とサイバーセキュリティリスクは表裏一体の関係にあります。適切なセキュリティ人材の確保と、技術的な対策の両方が必要です。

まずは基本的な対策から始めて、段階的にセキュリティレベルを向上させていくことが重要です。完璧を目指す必要はありません。攻撃者より一歩先を行く対策を継続的に実施することが、企業を守る最も現実的なアプローチなのです。