セキュリティー対策の課題と対策サプライチェーン全体を狙う攻撃に
経営者はいかに立ち向かえるのか？

一社だけでなくサプライチェーン全体をターゲットにした脅威が急増している。対策に割けるリソース、予算の少ない中堅・中小企業が狙われている。喫緊の課題を前に、経営者は何をすべきか。

調査コストに「1000万円以上」が半数の実態

講演では前半、キヤノンITソリューションズの岡庭素之氏がサイバーセキュリティーのトレンドについて解説を始めた。IPAが公開した「情報セキュリティ10大脅威2025」では、ランサムウエア攻撃による被害が5年連続で1位。サプライチェーンや委託先を狙った攻撃が2位となった。

警察庁が発表しているランサムウエアの被害報告件数も年々増加。2024年の報告件数は過去最多となっている。組織の規模や業種を問わずランサムウエアの被害に遭っており、中小企業がターゲットになるケースも非常に多い。

ランサムウエアだけでなく、データの暗号化を行わずに、窃取した機密情報の公開やばらまきを止める条件として身代金を請求する「ノーウエアランサム攻撃」という手法が出てきているのも最近の特徴だ。また委託先などを介してターゲットを攻撃する「ビジネスサプライチェーン攻撃」に加え、不正なコードを埋め込んだソフトウエアを使ったターゲットを攻撃する「ソフトウエアサプライチェーン攻撃」も出てきている。

ランサムウエアの被害に遭うと、待っているのは膨大な復旧期間と調査コストだ。岡庭氏は警察庁の資料「サイバー空間をめぐる脅威の情勢等」を紐解いた。「被害組織の49％が復旧に1か月以上の時間を、50％が1000万円以上のコストを費やしていると分かりました」（岡庭氏）

さらにIPAが2025年5月に公開した「2024年度 中小企業における情報セキュリティ対策に関する実態調査」では、OSやウイルス対策ソフトを最新の状態にするなどの基本的な対策は中小企業もできている。しかしインシデント発生時の組織的な体制やルール作りなどは遅れている――こうした現状が浮き彫りにされている。

同調査では他方、セキュリティー体制を整備している企業の約6割が、その結果新たな取引につながったと回答しているデータもみられる。対策が十分にできれば、その効果は大きい。

「技術、組織、人」……多層での対策が重要

キヤノンマーケティングジャパン（CMJ）も2024年12月に「中小企業におけるセキュリティ対策に関する実態調査」を行っている。この調査では「最も脅威に感じているもの」としてランサムウエア攻撃が42.5％で最多となっている。

「投資しているセキュリティー対策」は、アンチウイルスソフトの導入が74.3％で最多だった一方、計画的な従業員向けセキュリティー教育やインシデント対応手順の文書化など、組織的な取り組みに投資している企業が少ないという結果も出ている。

セキュリティー対策の課題は何か。「社内に専門知識を持った人材がいない」「専任のセキュリティー人材を確保できていない」といった回答が上位となった。日々の運用など、体制面の課題もあがってきている。取引先から求められているセキュリティー要件は、「サイバー攻撃を速やかに検知、遮断する対策の実施」が41.9％で一番多く、定期的なセキュリティー監査の実施、定期的なセキュリティー教育の実施などが続いている。

セキュリティー対策のポイントに話を移した岡庭氏は、総務省の「国民のためのサイバーセキュリティサイト」を紹介する。そこには初心者向けの三原則「ソフトウエアを最新に保とう」「強固なパスワードの設定と多要素認証を活用しよう」「不用意に開かない・インストールしない」が提示されている。人（従業員）が徹底すべき対策のポイントは、まさにこの3つだ。

組織の観点で、いかに対策を進めるべきか。企業が守る必要がある重要なデータが「どこにあるか」。そして、データを守るために「どのような対策が必要か」。ポイントはこの2つだ。

すなわちサイバーセキュリティー対策は、技術（システム）を導入するだけでは完了しない。技術を正しく運用・維持する組織や人も等しく重要だ。「技術、組織、人」の多層で対策を行う必要があると岡庭氏は強調する。

「24時間365日」の監視を実現せよ

後半はイーセットジャパンの曽根禎行氏にバトンタッチ。まずはCMJの調査を再び示した。そこでは取引先から求められるセキュリティー要件の1位が「サイバー攻撃を速やかに検知、遮断する対策の実施」となっている。「それを実現させるには、侵入を検知して遮断するXDRが最適なソリューションです」と曽根氏は続ける。

しかし同調査では、XDRに投資したと回答した中小企業は10.9％と、かなり低い数値に。なぜか。「EDR/XDR導入・運用における課題や懸念」に関する設問では、「アラート分析や対応に必要な高度なノウハウがない」「システム導入後も継続的な運用が必要になる」「セキュリティ人材の確保・育成の必要がある」といった課題が上位に入っている。

XDRの運用には様々な業務が必要だ。そのために必要なスキルセットも多岐にわたる。これらをカバーできる人材を社内に整備し、XDRが出すアラートを理解して対処し、24時間365日監視する体制を維持することは非常に難易度が高い。中堅・中小企業がXDRを導入する上で、ここが高い壁となっていた。

そこでイーセットが提供するXDRのマネージドサービスが「ESET PROTECT MDR」だ。ESET PROTECT MDRは、イーセットのEPPやXDRに運用サービスがセットになった製品だ。セキュリティーエンジニアが24時間365日の監視や脅威ハンティングを行い、緊急度に沿って柔軟に対応。発生事象と対応内容をクライアントに連絡する。前述のようなXDRにおける運用課題から、中堅・中小企業を解放する。

最後に曽根氏は「『ESET MDR セミナー』で検索すれば、セミナーのアーカイブ動画が見られます。ESET PROTECT MDRで結局、何ができるのか？ ぜひ確認してみてください」と話し、講演を終えた。