1 情報セキュリティ対策の第一歩は、脅威を知ることから
2025年秋、アサヒビールの親会社アサヒグループホールディングス(アサヒHD)、通販大手のアスクルを襲ったサイバー攻撃によるシステム障害。受注・出荷業務の停止、飲食店や小売店への商品供給が長期にわたって滞るなどサプライチェーンに深刻な影響を及ぼし、従業員の個人データや内部文書が流出した恐れも指摘されています。
このようにサイバー攻撃によって通常業務ができなくなってしまうという恐ろしい事態が、あなたの会社にも突然やってくるかもしれません。大企業などと比べて情報セキュリティが弱いとされる中小企業こそ、サイバー攻撃に遭わないよう対策を講じる必要があります。
情報セキュリティ対策の第一歩は、自社を取り巻く環境にどのような脅威があるのかを知ることです。IPA(情報処理推進機構)が毎年公表する「情報セキュリティ10大脅威」で、社会的に影響の大きい情報セキュリティの脅威を確認してみましょう。
特に注目すべきは、「組織」向けの10大脅威です。1位は前年に続き「ランサム攻撃による被害」でした。冒頭で触れたアサヒHDやアスクルのシステム障害も、ランサムウェア感染が原因です。ランサムウェアとは、
PCやスマートフォンに保存されているファイルの暗号化や画面のロックなどを行い、「金銭を支払えば復旧させる」と脅迫する手口に使われるコンピューターウイルスの一種
です。脅迫の際に「暗号化や画面のロックの解除」に加え、
暗号化前に窃取したデータの暴露の取りやめを条件に、身代金を要求する
など、複数の脅迫を組み合わせる手口が増加しています。
3位には「AIの利用をめぐるサイバーリスク」が初選出されました。生成AIが広く一般に利用されるようになった昨今ならではのリスクといえるでしょう。リスクの内容は、
- AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害
- AIが加工・生成した結果を十分に検証せず、鵜呑みにすることにより生じる問題
- AIの悪用によるサイバー攻撃の容易化、手口の巧妙化
など多岐にわたります。
また、「個人」向け脅威では、「インターネットバンキングの不正利用」が4年ぶりに選出されました。フィッシング詐欺や、情報の窃取に特化したマルウェア「インフォスティーラー」への感染などにより、証券口座の乗っ取りが相次いだことなどが影響したものと考えられます。
2 必ず押さえておきたい5つの情報セキュリティ基本対策
1)OS・ソフトウェアの脆弱性への対策:OS・ソフトウェアの更新
OS・ソフトウェアに脆弱性が見つかった場合、通常、開発業者は脆弱性の情報とともに、脆弱性をカバーするためのプログラムである「セキュリティパッチ」を一般公開します。速やかにセキュリティパッチを適用するためには、
- 自社で利用しているOS・ソフトウェアやネットワーク対応機器について、製品名とバージョン情報を把握する
- 開発業者のウェブサイトで公開されている脆弱性対策情報を随時収集する
ことが求められます。
IPAのウェブサイトでも、主な製品の脆弱性対策情報が「重要なセキュリティ情報」として公開されています。自社で利用している製品があったら、緊急度・重要度に応じて関係先(組織内や顧客など)への周知、ソフトウェアの更新などの対応を行いましょう。
2)ウイルス感染への対策:ウイルス対策ソフトの導入+バックアップ
既知のウイルスの感染を未然に防止するためには、
ウイルス対策ソフトの導入が不可不可欠
です。ウイルス対策ソフトの導入によって膨大な種類のウイルスを検知できますが、一方で、ウイルスを作成する者も新しい手口を模索しているので、検知できないウイルスも多くなっています。つまり、ウイルス対策ソフトを導入すれば完璧というわけではないので、
万が一感染してしまった場合に備えて、重要情報のバックアップを取るなど、多段階の対策が必要
となります。
3)パスワード窃取への対策:パスワードの適切な管理と認証の強化
パスワードは、他人が分からないように作成し、他人に使われないように管理しなければなりません。
作成については、8桁以上など一定の桁数以上で、英数の大文字・小文字と記号を組み合わせるといった対策が有効です。
短いパスワードだと総当たり(ブルート・フォース・アタック)でログインを試行され、不正にログインされてしまいます。また、誕生日や名前、「123456」「password」「qwerty」といった、推測されやすい文字列をパスワードにするのもやめましょう。
管理については、複数のサービスで使い回しをしないのが鉄則です。そうしないと、いかに強度の高いパスワードを設定したとしても、どこか1つのサービスから漏れた場合に「パスワードリスト攻撃」を受け、不正ログインを防げないからです。
以前はパスワードの定期的な変更が推奨されていましたが、今では、
定期的な変更でパスワードの作成方法がパターン化することのほうが問題である
と考えられています。内閣サイバーセキュリティセンター(NISC)からも、パスワードを定期的に変更する必要はなく、流出時に速やかに変更する旨が示されています。
サービスによっては、「多要素認証」(MFA:Multi-Factor Authentication)が使えるので、積極的に取り入れましょう。多要素認証とは、ログインなどの際に、知識情報(ID・パスワード)、所有情報(ワンタイムパスワードや証明書)、生体情報(指紋・顔・虹彩・静脈)、その他の情報(グローバルIPアドレス)といった複数の情報を組み合わせて認証するものです。
4)設定不備への対策:設定の見直し
ソフトウェアをインストールした直後や、サーバーやネットワーク対応機器などの購入時点では、不要な機能が有効になっていたり、機能へのアクセス制限が設定されていなかったりする場合があります。情報漏えいや乗っ取りなどの被害を防止するために、
設定の確認と定期的な見直しが必要
です。特にルーター、ウェブカメラ、複合機などのネットワーク対応機器の設定は見落としがちです。実際、ネットワークに接続された複合機の設定に不備があり、機器内に保存されたデータが外部から閲覧できてしまう問題も指摘されています。必要なければ、オフィス機器を外部ネットワーク(インターネット)に接続しないようにしましょう。
この他、社員の退職時には速やかにユーザーアカウントを抹消する、異動時にはアカウントに付与したアクセス権限を見直すといった対策も必要です。
5)罠にはめる誘導への対策:脅威や手口を知る
メールやウェブサイトを使って言葉巧みに誘導する手口は年々巧妙化しています。ただし、
どのような手口があるのか知っていれば、攻撃者が仕掛けた罠に気付き、被害を未然に防げる可能性が高まる
ことになります。IPAでは情報セキュリティに関する脅威や対策などを学ぶことができる映像コンテンツを、YouTubeの「IPA Channel (ipajp)」で公開しています。参考にしてください。
以上(2026年3月更新)
pj60098
画像: ImageFlow-Adobe Stock
