今こそ、中堅企業に伝えたい
セキュリティ対策の根本的課題

近年、情報漏えいや企業へのサイバー攻撃といったニュースを耳にする機会が増えている。こうした事故やインシデントは、大企業のみならず中堅企業にとっても大きなリスクになり得る。中堅企業のセキュリティ課題や取り組むべき対策について、豊富な実績を持つNTT東日本に聞いた。

01

狙われるのは大企業だけではない
中堅企業が直面するリスク

写真:小川茂樹 氏

NTT東日本
ビジネス開発本部
サイバーセキュリティビジネス部長

小川茂樹

ネットワークセキュリティ対策は、リスクが現実になったときの被害規模が大きい大企業だけが備えるべきと考えられがちだが、実は中堅企業にとってもリスクが高まっている。そう語るのは、NTT東日本 ビジネス開発本部 サイバーセキュリティビジネス部で部長を務める小川茂樹氏。その根拠として小川氏は、2025年9月に警察庁サイバー警察局が発表した報告書「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」を挙げる。

「この調査によると、国内の情報セキュリティの脅威で最も多いと言われるランサムウェアの被害報告件数は令和4年下半期と並び最多の116件です。注目すべきは、このうち中小企業が77件で約3分の2を占めていること。中小企業の数字なので正確に中堅企業を指すものではありませんが、セキュリティリスクが大企業に限ったものではないことは明確に表れていると見ています」(小川氏)

さらに、攻撃側の手法が高度化したことも、中堅企業を含めたセキュリティリスクの高まりに拍車をかけていると小川氏は言う。

「これまでは、日本語の特殊性が国内企業への攻撃を防ぐハードルになっていた面はありましたが、AIが進化したことで日本語の壁はなくなりつつあります。また、サプライチェーン全体の中で脆弱性があるところが狙われる傾向も出てきており、中堅企業から漏えいしたメールアドレスを使ったなりすましメールなど、人の心理の隙を突く攻撃も目立ってきました」(小川氏)

加えて、攻撃する側の“ビジネス”の進化も、中堅企業のリスクが高まっている一因になっていると小川氏は指摘する。

「ECサイトの顧客リストや病院の電子カルテといった個人情報はダークウェブに流れて対価を生みますし、身代金のような形で金銭を奪えなくても、情報の二次活用などによる収益化も可能です。攻撃者にとって様々な金銭的メリットがあるので、大企業か中堅企業かにはこだわらず、脆弱なところを狙うようになっているのです」(小川氏)

令和7年上半期におけるランサムウェアの被害報告件数
図:被害企業・団体等の規模別報告件数 ランサムウェア被害件数 116件(大企業 35件、中小企業 77件、団体等 4件) 業種別報告件数 ランサムウェア被害件数 116件(製造業 52件、卸売・小売業 16件、建設業 12件、情報通信業 11件、サービス業 8件、運輸・郵便業 7件、その他 10件)
出典:警察庁サイバー警察局「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」
02

中堅企業のセキュリティ対策の
ハードルとなっている課題とは

サプライチェーンも含めたセキュリティ対策の重要性が増していることを受けて、国も対策の進捗を可視化するための取り組みを進めている。経済産業省が26年度の開始を目指している「サプライチェーン強化に向けたセキュリティ対策評価制度」もその一つだ。サプライチェーン内の各企業のセキュリティ対策の達成度を評価するこの制度の意義について、小川氏はこう語る。

「メインターゲットはサプライチェーンを構成する企業等であり、中小企業・中堅企業も対象に含まれます。ポイントは、サプライチェーン内の発注側も受注側も同じフォーマットを利用するため、対策状況の説明や適切なセキュリティ対策の決定を共通の物差しで判断できることです」(小川氏)

これは、セキュリティ対策の可視化という点では意義が大きいが、対応できない企業はサプライチェーンの中での信頼が得られず、ビジネスチャンスを失いかねないリスクもあるということだ。この評価制度を単なるレ点チェックで終わらせないために、実際にどうすれば効果を伴う対策ができるのかが問われるのは言うまでもないが、小川氏はこれまでの中堅企業のセキュリティ対策が必ずしも順調に進んできたわけではなかったと振り返る。

「なぜなら、これまでのセキュリティ対策はITの一環としてしか捉えられていなかったため、経営層の経営リスクとしての危機意識が薄かったからです。セキュリティに特化した部署が設置されていなかったり、専門人材を配置する余裕がなかったりといった問題があったのもそのせいです。その結果、どこから手を付けるべきか、どの程度の強化を行うべきかといった検討が進まないという課題がありました」(小川氏)

中堅企業における情報セキュリティ対策の課題
図:01 どのような情報セキュリティ対策が必要かわからない 図:02 どこまで情報セキュリティ対策をすべきかわからない 図:03 情報セキュリティ対策について相談できる相手がいない 図:04 社内のステークホルダーが納得できる対策を実施したい

ただ、近年のサプライチェーンにおけるセキュリティ意識の高まりを受けて、経営層の認識も変わりつつあるというのが小川氏の感触だ。実際にセキュリティ対策についての企業からの相談も増える中、アタックサーフェスの可視化から始めることを提唱していると小川氏は言う。

「アタックサーフェスとは、外部からの攻撃にさらされる可能性があるIT資産やその経路を指す言葉です。これを可視化するには、自社がどのような情報資産を保有しているか、その中で優先的に守るべき資産は何か、どこにリスクが存在するか、推奨される対策レベルはどの程度かといったことを明らかにすることが必要です。こうしたベーシックな点が明確になれば、自社の脆弱性の可視化や優先的に取るべき対策といった手掛かりが見えてきます」(小川氏)

03

根本的な課題解決へ
ロードマップ作成から伴走支援

セキュリティ対策にまつわるニーズに応えるため、NTT東日本グループは中堅企業に向けた支援を強化しているという。

「NTT=大企業向けというイメージを持たれがちですが、8年ほど前から中小企業向けのセキュリティサービスを提供しています。また、当社グループ自体も攻撃を受けるリスクがあり、グループ内子会社のセキュリティ対策を実行している部署もあります。こうした知見を中堅企業様にも還元できればと考えたのがきっかけです」(小川氏)

自社で専門部隊を抱えることが難しい中堅企業は、結果的にシステムやツール管理が分断されることが多く、一元的なサポート体制が必要であると小川氏は分析する。NTT東日本グループは、社会の重要インフラであるネットワーク運用を長年担ってきた実績があり、そのノウハウは課題の可視化から導入、運用、インシデント対応までを一貫して支援できる強みに直結している。この強みを生かすべく、25年5月に始めたのが、中堅企業向けの3日間の無料ワークショップ「SmoothRoadmap」だ。

「応募のあった中堅企業様に対して事前ヒアリングを行い、これを基に3日間で課題の深掘りや優先順位の検討、解決策の提示、対策ロードマップの策定までを協働で行うものです。参加企業様からは、経営戦略の検討材料になり、セキュリティ対策を単なるコストではなく、ビジネスをドライブさせる有効な投資と捉えられるようになったとの声を頂いています」(小川氏)

着実に中堅企業に対する支援体制を強化していることがうかがえる取り組みだが、今後はどのような支援を視野に入れているのだろうか。

「中堅企業様に対して何が価値になるのか、精度を高める見直しを図っています。その一環として、例えばヒアリングの場にエンジニアを同席させるようにしました。表面的なシステムの機能だけではなく、個々の運用シーンも含めた話ができると好評を頂いています」(小川氏)

また、継続的な伴走支援の取り組みについても小川氏は言及する。

「セキュリティ対策は1日では整いませんし、攻撃者の手法が日に日に巧妙化していることを考えれば、一度だけの対策で安心できるものでもありません。結局は基本的な対策をコツコツ積み重ねていくことが最短ルートです。これはまさに、日本のインフラを守ってきたNTT東日本の得意とするところなので、お気軽にご相談いただければと思います」(小川氏)

無料ワークショップ「SmoothRoadmap」は、今後も展開していくとのことなので、セキュリティ対策に向けたアクションを模索している中堅企業は、最初のステップとして参加を検討してみるのも一考だ。

お問い合わせ


ロゴ:NTT EAST

https://www.ntt-east.co.jp/