情報セキュリティ

近年のサイバー攻撃の脅威

サイバー攻撃の脅威は急速に増大し、あらゆる企業・団体が突然の攻撃により組織運営の安定を脅かされるリスクに直面しています。攻撃者は次々と標的を変え、日本企業の約3分の1が被害を経験しており、特に大企業での被害割合が高い状況です。こうした現状を踏まえ、すべての企業・団体は攻撃を受ける前提で平時からサイバーセキュリティ対策を講じる必要があります。

特に近年は、サプライチェーンや委託先を狙った攻撃が増加し、中小企業の約7割がセキュリティ体制未整備であることから、被害が取引先へ波及する「サイバードミノリスク」も深刻化しています。現在、経済産業省はサプライチェーン強化に向けたセキュリティ対策（SCS）評価制度を整備中で、各企業に対策の実施が求められています。

参考：経済産業省　「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）の概要」（https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html）

【図1】近年のサイバー攻撃の脅威

ISMSに沿ったセキュリティ対策

平時のセキュリティ対策としては、情報セキュリティマネジメントシステム（ISMS）に基づく網羅的な対策の展開が望まれます。対策は「組織的」、「人的」、「技術的」、「物理的」の4つに分類され、それぞれ以下のポイントが重要です。

組織的対策では、セキュリティポリシーを頂点とした社内ルールの設計・更新や役割分担の明確化を行います。
人的対策は、セキュリティ教育の徹底や業務プロセス・権限の整備（取引先も含む）を指します。
技術的対策では、情報資産の分類・管理やEDRなどのセキュリティツール導入と統一設定が必要です。
物理的対策は、拠点ごとの鍵管理や機器管理をレイアウトに合わせて実施します。

【図2】ISMSに沿ったセキュリティ対策

サイバー攻撃を受けた際の緊急対応

攻撃を受けた際は、組織内外の緊密な情報連携と事前に定めた基準に基づく迅速な経営判断が不可欠です。検知から初動対応、原因究明・影響範囲調査、収束・復旧対応までの各段階で、事業継続と社会的信頼の維持を目的とした判断が求められます。

検知から初動対応の段階では、情報収集体制や判断基準、社内外への周知・報告先・報告内容の整備が重要です。原因究明・影響調査の段階では、外部人員も含めた情報連携、経営判断・広報対応に有用な情報連携、事業継続のための代替策の準備が必要です。

収束・復旧対応では、影響範囲に応じた復旧手順や判断基準、システムの緊急再構築体制が明確であることが求められます。

【図3】サイバー攻撃を受けた際の緊急対応

レイヤーズがご支援できること

必要なセキュリティ対策は、組織の現状や環境により優先度や内容が異なります。レイヤーズ・コンサルティングでは、ISO/JIS Q 27002などのガイドラインに基づく評価項目を用いた包括的なクイック診断を実施可能です。

診断結果を踏まえ、優先度の高い対策から実行し、組織のサイバーレジリエンス向上を支援します。ルール・プロセス、人・組織、技術・ツール、情報資産の各面から、お客様の状況に合わせた最適な対策をご提案します。また、緊急対応に備えた訓練や研修も、お客様のシステム構成や業務に合わせたオーダーメイドで提供可能です。