サイバー攻撃被害は「避けられない時代」に — 企業規模別インシデント対応準備の完全ガイド

コラム NO IMAGE
目次

はじめに:サイバー攻撃被害は「起こる前提」で備える時代

2025年9月29日、アサヒグループホールディングスがランサムウェア「Qilin」による大規模なサイバー攻撃を受け、1カ月以上にわたって受注・出荷業務の停止を余儀なくされました。個人情報流出の可能性も判明し、サプライチェーン全体に深刻な影響が及びました。BBC News

同年10月には、通販大手アスクルもランサムウェア攻撃を受け、LOHACOを含む全サービスで受注・出荷が停止。配送委託先の無印良品など、関連企業にも被害が拡大しています。TBS NEWS DIG

警察庁の報告によれば、2025年上半期だけでランサムウェア被害は100件以上が報告されており、3期連続で高水準が続いています。もはや「サイバー攻撃を受けない」ことは非現実的であり、「受けた時にどう対応するか」が企業存続を左右する時代になっています。トレンドマイクロ

本記事では、大企業から零細企業まで、企業規模に応じた現実的なインシデント対応準備について解説します。

企業規模によって異なる脅威と対応力

経済産業省の調査では、過去3年間にサイバー攻撃の被害に遭った中小企業のうち約7割が取引先にも影響を及ぼしたことが明らかになっています。さらに、約7割の中小企業において組織的なセキュリティ体制が整備されていないという深刻な実態も浮き彫りになりました。経済産業省

帝国データバンクの2025年調査によれば、BCP(事業継続計画)の策定率は大企業が38.7%に対し、中小企業は17.1%にとどまり、規模間格差が拡大しています。また、ランサムウェア被害を受けた組織のうち、調査・復旧に「1,000万円以上」かつ「1か月以上」を要した組織のうち、BCPを策定済みである組織はわずか11.8%でした。帝国データバンク

このデータが示すのは、被害を受けた後の復旧能力が企業規模や事前準備によって大きく異なるという現実です。

【大企業編】高度な脅威に対抗する総合的体制の構築

必要な準備体制

1. CSIRT(Computer Security Incident Response Team)の設置

従業員規模10,000人以上の大企業では約8割がCSIRTを導入済みです。NRIセキュア CSIRTは単なる技術チームではなく、法務、広報、経営層を巻き込んだ横断的組織として機能させることが重要です。

  • 専任担当者の配置:最低でも3〜5名の専任メンバー
  • 24時間365日の監視体制:SOC(Security Operation Center)との連携
  • インシデント対応マニュアルの整備:初動から事後対応まで明文化
  • 定期的な訓練:年2回以上のインシデント対応訓練実施

2. 多層防御とゼロトラストの実装

  • エンドポイント検知・応答(EDR)の導入
  • ネットワークのセグメンテーション
  • 特権アクセス管理(PAM)の実装
  • SIEM(Security Information and Event Management)による統合監視

3. データバックアップとDR(災害復旧)計画

  • 3-2-1ルールの徹底:3つのコピー、2種類のメディア、1つはオフサイト
  • イミュータブル(改変不可能な)バックアップの採用
  • RTO(目標復旧時間)とRPO(目標復旧時点)の明確化
  • 定期的な復旧テスト(最低でも四半期に1回)

4. サイバー保険とインシデント対応サービスの契約

身代金支払いを含む被害総額は数億円規模になる可能性があり、サイバー保険の加入は必須です。また、専門のインシデント対応ベンダーと平時から契約し、有事の際の支援体制を確保しておくことが重要です。

5. サプライチェーンリスク管理

取引先のセキュリティ体制を定期的に監査し、「サプライチェーン強化に向けたセキュリティ対策評価制度」(経済産業省が2026年度開始予定)への対応準備を進めましょう。

予算の目安

IT予算の15〜20%をセキュリティに配分することが望ましいとされています。具体的には年間数千万円〜数億円規模の投資が必要です。

【中堅企業編】限られたリソースでの効果的な対応体制

従業員数100〜1,000名規模の中堅企業は、大企業ほどのリソースはないものの、攻撃者から見れば十分に魅力的なターゲットです。

必要な準備体制

1. 兼任型CSIRTの構築

専任ではなく、IT部門、総務、法務から兼任メンバーを集めた「バーチャルCSIRT」を構築します。JPCERT/CC

  • 最低3名の体制:リーダー1名、技術担当1〜2名、事務局1名
  • 役割の明確化:平時と有事での責任範囲を明文化
  • エスカレーションフローの整備:いつ経営層に報告するかを明確化

2. マネージドセキュリティサービスの活用

自社だけで24時間監視は困難なため、外部のマネージドセキュリティサービス(MSSP)を活用します。

  • EDRやファイアウォールのログを外部SOCで監視
  • 月額数十万円〜でプロフェッショナルな監視を実現
  • アラート時の初動対応支援を含むサービスを選択

3. 最低限のバックアップ体制

  • 重要データの識別:すべてではなく、事業継続に必須のデータを特定
  • 毎日のバックアップ:自動化されたバックアップシステムの導入
  • オフラインバックアップの確保:週1回はネットワークから隔離されたメディアへ
  • 復旧手順書の整備:誰でも復旧作業ができるマニュアル作成

4. インシデント対応計画(IRP)の策定

  • 検知から72時間以内の対応フロー:誰が何をするかを時系列で明記
  • 連絡体制の整備:緊急連絡先リスト、外部専門家の連絡先
  • コミュニケーション計画:顧客、取引先、メディアへの情報開示基準

5. 従業員教育の徹底

GSXの調査によれば、中堅企業の45%がセキュリティインシデントを経験しています。その多くは従業員の不注意が起点です。GSX

  • 年2回以上のセキュリティ教育実施
  • フィッシングメール訓練(四半期に1回)
  • インシデント報告の奨励(減点主義ではなく報告文化の醸成)

予算の目安

IT予算の10〜15%、年間500万円〜3,000万円程度が目安です。マネージドサービスを活用することで、人件費を抑えながら高度な対策が可能になります。

【中小企業編】最小限のコストで最大限の防御を実現

従業員数100名以下の中小企業は、予算も人材も限られています。しかし、IPAの調査によれば、OSやウイルス対策ソフトの最新化を実施している企業は約7割で、対策実施によりサイバーインシデント被害が低減することが確認されています。IPA

必要な準備体制

1. セキュリティ責任者の明確化

  • 1名でも良いので責任者を決定:兼任で構いません
  • IPAの「中小企業の情報セキュリティ対策ガイドライン」を参照IPA
  • SECURITY ACTIONの宣言:取引先への信頼性向上にもつながります

2. 基本的な技術対策の徹底

  • ウイルス対策ソフトの導入と自動更新:無料版ではなく、サポートがある製品を選択
  • OSとソフトウェアの自動更新:脆弱性を放置しない
  • 強固なパスワード管理:パスワードマネージャーの導入(月額数百円〜)
  • 多要素認証(MFA)の導入:クラウドサービス利用時は必須

3. クラウドバックアップの活用

  • Google Workspace、Microsoft 365のバックアップ機能
  • 外部クラウドストレージへの定期バックアップ:月額数千円から利用可能
  • 重要データは週1回、外付けHDDにも保存:物理的に隔離されたバックアップ

4. インシデント対応の最低限の準備

東京都が提供する「中小企業サイバーセキュリティインシデント対応強化事業」など、無料で利用できる支援サービスを活用しましょう。東京都

  • 緊急連絡先の整備:IPA、警察(サイバー犯罪相談窓口)、取引先の連絡先
  • シンプルな対応フロー:A4用紙1枚にまとめた初動対応マニュアル
  • 重要システムの停止手順:被害拡大を防ぐための緊急停止方法を把握

5. 従業員への基本教育

  • 不審なメールを開かない、リンクをクリックしない
  • USBメモリの取り扱いルール
  • 異常を感じたらすぐ報告:報告者を責めない文化づくり

予算の目安

年間50万円〜200万円程度。セキュリティ対策費用をIT投資の10%未満に抑えている企業が多いですが、最低でも基本対策には投資すべきです。Zero Dark Web

【零細企業・小規模事業者編】まず守るべき最優先事項

従業員数20名以下の零細企業・小規模事業者にとって、高度なセキュリティ体制は現実的ではありません。しかし、最低限の対策を怠ると、事業継続そのものが危うくなります。

必要な準備体制

1. 「3つの基本」の徹底

  • パスワード管理の徹底:使い回しをしない、12文字以上
  • ウイルス対策ソフトの導入:最低でも無料版でも導入
  • データのバックアップ:週1回は必ず外部に保存

2. クラウドサービスの活用

オンプレミスのサーバーは維持管理が困難です。クラウドサービスを活用することで、セキュリティの専門知識がなくても一定レベルの保護が実現できます。

  • Google Workspace / Microsoft 365:自動バックアップと高いセキュリティ
  • 会計ソフトもクラウド型:データ消失リスクの軽減
  • ファイル共有はDropbox / Box等:ローカルPCにのみ保存しない

3. 最低限のインシデント対応準備

  • IPAのセキュリティ相談窓口の連絡先を掲示:03-5978-7509
  • 警察のサイバー犯罪相談窓口:#9110
  • 取引先への連絡手順:誰がどのタイミングで連絡するか決めておく

4. 顧問契約による専門家の確保

ITに詳しい人材がいない場合、月額数万円でIT顧問やセキュリティ顧問と契約することを検討しましょう。有事の際の相談先があるだけで、対応速度が大きく変わります。

5. 「サイバーセキュリティお助け隊サービス」の利用

経済産業省が推進する中小企業向けセキュリティサービスで、比較的低コストで専門家の支援が受けられます。

予算の目安

年間10万円〜50万円程度。クラウドサービスの利用料と最低限のウイルス対策ソフト、外部専門家への相談費用を含みます。

すべての企業に共通する「インシデント対応4ステップ」

企業規模に関わらず、インシデント発生時の基本的な対応フローは同じです。CODEBOOK

ステップ1:検知・分析(Detection & Analysis)

  • 異常の早期発見:ログ監視、従業員からの報告
  • 影響範囲の特定:どのシステム、データが影響を受けているか
  • インシデントレベルの判定:経営層への即時報告が必要か判断

ステップ2:初動対応・封じ込め(Containment)

  • 感染拡大の防止:ネットワークからの隔離、アカウント停止
  • 証拠の保全:ログの保存、フォレンジック調査の準備
  • 外部専門家への連絡:自社だけで対応困難な場合は即座に依頼

ステップ3:根絶・復旧(Eradication & Recovery)

  • マルウェアの完全除去:再感染防止
  • システムの復旧:バックアップからの復元
  • 段階的な業務再開:すべてを一度に戻さず、重要業務から優先

ステップ4:事後対応(Post-Incident Activity)

  • インシデント報告書の作成:何が起こったか、なぜ起こったかを記録
  • 再発防止策の実施:脆弱性の修正、対策の強化
  • 関係者への報告:顧客、取引先、監督官庁への適切な情報開示
  • 訓練への反映:今回の経験を次の訓練に活かす

まとめ:「備えている企業」と「備えていない企業」の決定的な差

アサヒグループやアスクルの事例が示すように、大企業であっても完全にサイバー攻撃を防ぐことは不可能です。しかし、事前に準備をしている企業とそうでない企業では、復旧までの時間と被害規模に天と地ほどの差が生まれます。

警察庁の調査では、復旧に1カ月以上かかった企業のうち、BCPを策定していた企業はわずか11.8%でした。逆に言えば、適切な準備をしていれば、被害を最小限に抑え、早期復旧できる可能性が大幅に高まるということです。

大企業は総合的なCSIRT体制とゼロトラスト実装を、中堅企業はマネージドサービスを活用した効率的な体制を、中小企業は基本対策の徹底とクラウド活用を、零細企業は最低限の3つの基本(パスワード、ウイルス対策、バックアップ)を今すぐ始めましょう。

サイバー攻撃は「もし起こったら」ではなく、「いつ起こるか」の問題です。今日から、自社の規模に応じたインシデント対応準備を始めることが、明日の事業継続を守ることにつながります。

参考情報

  • IPA「中小企業の情報セキュリティ対策ガイドライン」
  • JPCERT/CC「CSIRTガイド」
  • 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
  • 東京都「中小企業サイバーセキュリティインシデント対応強化事業」

以上、企業規模別のサイバー攻撃インシデント対応準備について、約5,000字の記事をまとめました。最新の被害事例と調査データに基づき、各企業規模が現実的に実施できる対策を具体的に解説しています。

NO IMAGE
最新情報をチェックしよう!