IT用語集 2021/08/08

企業が警戒すべきセキュリティ脅威について徹底解説

コラム

2023年11月28日 www.soliton.co.jp より移設

企業や組織が直面するセキュリティ脅威は、ここ数十年で「なくならないもの」になりました。攻撃手法は年々変化し、外部からのサイバー攻撃だけでなく、内部不正やヒューマンエラーといった内部起因のリスクも見逃せません。

本記事では、企業が直面する脅威の全体像を整理したうえで、代表的な脅威の「起き方（入口・横展開・目的）」と、実務として回すために押さえるべき対策の考え方（設計・運用・教育・体制）を解説します。読み終えたときに、「自社は何を優先して整えるべきか」「どこに抜け道が生まれやすいか」を判断できる状態を目指します。

企業におけるセキュリティ脅威の現状とは

企業におけるセキュリティ脅威は、大きく「外部からの脅威」と「内部における脅威」の2つに分けられます。現実には両者が絡み合って被害が拡大することも多く、どちらか一方だけを対策しても十分とは言えません。

外部からの脅威

外部からの脅威として代表的なのが、ネットワークを介して企業のサーバーやPCなどに不正にアクセスし、重要情報の窃取・改ざん、業務妨害、破壊活動などを行うサイバー攻撃です。攻撃に使われる手口やマルウェアは多様化しており、単純なウイルス対策だけでは防ぎきれないケースも増えています。

外部脅威は「入口」だけで終わらない

侵入が成立した後、攻撃者はネットワーク内を探索し、認証情報の窃取、権限昇格、横展開を経て「狙った資産（機密情報・金銭・業務停止）」に到達しようとします。実務では「入口対策を厚くする」だけでなく、「侵入後に広げない」「検知して止める」「止めた後に戻す」まで含めて設計することが重要です。

内部における脅威

内部における脅威には、内部不正（内部者による意図的な持ち出し・悪用）と、ヒューマンエラー（意図しない誤操作・誤送信・紛失など）があります。内部不正は表面化しにくいことがあり、実態がつかみにくい点も課題です。さらに、内部不正とヒューマンエラーは「アクセス権限」「運用ルール」「教育の徹底」といった要素に強く依存します。

内部脅威は「人の問題」で終わらせない

内部起因のインシデントは、個人のモラルや注意力だけで片づけると再発しがちです。「誰が・どのデータに・どの経路で触れられるか」を可視化し、権限の最小化、持ち出し経路の制御、ログでの検知、例外運用の抑制といった仕組みで事故の起点を減らす発想が必要になります。

リモートワーク普及がもたらした影響

2020年以降、リモートワークが急速に広がったことで、端末管理やソフトウェア利用の統制（ガバナンス）が効きづらい状況が生まれました。社外から社内システムへアクセスする手段が増え、外部攻撃の入口が増えただけでなく、データを扱う場所が分散することで内部起因リスクも増えやすくなっています。

「境界が曖昧」になるほど、IDと運用が効く

社内ネットワーク中心の時代は、境界（オフィス・VPN・社内端末）に寄せて対策を設計しやすい面がありました。クラウド利用とリモートワークが進むほど、境界に依存した対策は限界が出やすくなります。結果として、IDと認証、端末の状態、権限、ログ監視などを組み合わせて「どのアクセスを通すか」を判断する設計が重要になります。

企業は「情報セキュリティ10大脅威（組織編）」に目を通しておこう

独立行政法人情報処理推進機構（IPA）が毎年公表している「情報セキュリティ10大脅威（組織編）」は、企業が脅威の全体像をつかむうえで有用な資料です。その年の状況を踏まえて注目すべき脅威が整理されているため、脅威の優先順位付けや社内教育の題材としても活用しやすい特徴があります。

「10大脅威」は“年次で更新される前提”で使う

脅威の順位や注目点は、攻撃者の流行、被害の拡大、社会情勢によって変わります。したがって、古い年のランキングを固定の正解として扱うのではなく、「最新版で全体像をつかみ、自社の業務と照らして優先順位を決める」資料として使うのが実務的です。

参考：情報セキュリティ10大脅威（2025年・組織編）

以下は、IPAが公表している「情報セキュリティ10大脅威 2025（組織編）」の順位です。脅威の種類が「金銭」「情報窃取」「供給網」「業務停止」「内部不正」などにまたがっている点が、現代の企業リスクの特徴といえます。

ランサムウェアによる被害
サプライチェーンや委託先を狙った攻撃
システムの脆弱性を突いた攻撃
内部不正による情報漏えい等
標的型攻撃による機密情報の窃取
修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
不注意による情報漏えい等
ビジネスメール詐欺による金銭被害
テレワーク等の働き方を狙った攻撃
地政学的リスクに起因するサイバー攻撃

ここからは、この整理も踏まえつつ、企業が警戒すべき代表的なセキュリティ脅威を外部・内部に分けて解説します。

外部からのセキュリティ脅威

外部からの脅威は種類が多いものの、実務の観点では「入口」「横展開」「目的（情報窃取・金銭・妨害）」の3点で整理すると理解しやすくなります。ここでは代表的な3つを取り上げます。

脆弱性を突いた攻撃

OSやアプリケーションの脆弱性（プログラムの不具合や設計上の弱点）を突く攻撃は、古くから存在する代表的な手口です。脆弱性は発見され次第、修正パッチが提供されますが、すべての端末・システムに迅速に適用できるとは限りません。

また、脆弱性の公表やパッチ提供の前後を狙って攻撃が行われることもあります。特に、修正プログラムが用意される前の弱点を突く「ゼロデイ攻撃」は、更新だけでは防ぎにくい典型例です。

リモートワークの普及以降は、ビデオ会議ツールやグループチャット、社外から社内へアクセスするためのVPNなど、業務に欠かせない仕組みが攻撃対象になりやすい点にも注意が必要です。

実務での判断材料：どこから手を付けるか

脆弱性対策は「更新を徹底する」で終わりません。現実には停止できないシステム、検証が必要な業務アプリ、運用者が限られる拠点などがあり、更新の優先順位が必ず発生します。資産台帳（何がどこで動いているか）を整備し、外部公開面（公開サーバ、VPN装置、メール、クラウド管理画面）を優先しつつ、更新が遅れるものには代替策（アクセス制限、WAF、仮想パッチ、監視強化、設定の見直し）を組み合わせて穴を埋める設計が重要です。

標的型攻撃

特定の企業や組織を狙う標的型攻撃は、攻撃の準備が周到で、手口も巧妙化しています。目的は機密情報の窃取や事業活動の妨害などで、単発の感染で終わらず、侵入後に企業内ネットワークを探索して重要情報へ到達しようとする点が特徴です。

標的型攻撃では、開封しそうなメール、よく使うクラウドサービス、Webサーバ、業務上のやり取りを模したファイルなどが入口として悪用されます。端末への侵入が起点となり、権限昇格や横展開を経て被害が拡大するため、「入口対策」だけでなく「侵入後に広げない設計」も重要になります。

「侵入後」を止める観点：横展開されない条件を作る

標的型攻撃は、侵入を100%防ぐことが難しい前提で考える必要があります。重要なのは、侵入された場合でも、攻撃者が管理者権限や重要データに到達しにくい構造を作ることです。具体的には、特権アカウントの多要素認証、権限の最小化、管理端末の分離、ネットワークの分割、ログ監視と早期検知、端末のEDRによる封じ込めなどを組み合わせ、「侵入したら終わり」にならない条件を整えます。

ビジネスメール詐欺

ビジネスメール詐欺は、役員や取引先になりすまして偽装メールを送り、経理・財務担当者に振込を促して金銭をだまし取る手口です。攻撃者は事前に関係者の情報やメールの文面の癖を調べ、もっともらしい指示に見せかけることがあります。

古典的な詐欺に見える一方で、実務では「急ぎ」「例外対応」「口外禁止」といった心理的な圧力がかかり、組織的な承認・確認プロセスが崩れることが被害につながります。技術対策と同様に、送金フローや確認手順の整備が欠かせません。

「メール対策」だけでは足りない理由

攻撃者はメールの巧妙化に加え、取引先のドメインに似せた偽ドメインや、乗っ取った正規アカウントを用いることがあります。したがって、迷惑メールフィルタや認証技術（SPF/DKIM/DMARCなど）だけに依存せず、「送金前に必ず別経路で確認する」「例外対応を禁止する」「承認者を分離する」「振込先変更は所定手続が終わるまで反映しない」といった業務プロセス側の制御をセットにすることが実務で効きます。

内部におけるセキュリティ脅威

内部起因の脅威は、外部攻撃と比べて「検知の難しさ」と「組織運用の弱点が直撃する」点が特徴です。ここでは内部不正とヒューマンエラーを整理します。

内部不正

内部不正は、従業員や元従業員、委託先関係者などが機密情報を持ち出したり悪用したりする行為です。動機は私怨や金銭目的などさまざまですが、共通するのは「持ち出せてしまう状態」が存在していることです。

内部不正は個人の故意に見えやすい一方で、実務では「権限が過剰」「監視がない」「退職・異動時の権限剥奪が遅い」「データが散在し、どれが重要か分からない」といった運用の弱点が土台になることが少なくありません。

リモートワークでは、端末やデータを自宅で扱う機会が増えるため、持ち出しやすさ・発覚しにくさの両面でリスクが高まりやすい点にも注意が必要です。

実務で効く観点：持ち出し経路を減らし、痕跡を残す

内部不正対策は、監視を強めるだけでなく「そもそも持ち出しにくい」状態を作ることが重要です。たとえば、機密データの保管場所を集約し、アクセス権を最小化し、ダウンロードや外部共有を制限し、操作ログを残すといった基本が効きます。加えて、退職・異動・委託先変更などのイベントをトリガーに権限棚卸しを行い、「権限が残り続けない」運用に落とし込むことが実務では重要です。

ヒューマンエラー

ヒューマンエラーは故意ではないものの、結果として情報漏えいや業務停止につながるリスクです。メールの誤送信、誤設定、端末の紛失、クラウドストレージの公開範囲ミスなど、日常業務の延長で起きやすい点が厄介です。

また、ヒューマンエラーは「個人の注意不足」だけで片づけると再発しがちです。確認手順が複雑すぎる、例外対応が常態化している、教育が属人的、といった組織側の設計問題が背景にあることも多いため、仕組みとして減らす発想が重要になります。

再発防止は「注意喚起」ではなく「設計」で行う

実務では、誤送信や誤設定をゼロにするより、起きても重大事故にならない設計に寄せることが現実的です。たとえば、外部共有を既定で禁止し例外だけ申請制にする、宛先チェックをシステム側で促す、誤公開しやすい設定箇所をテンプレート化する、重要操作に二重承認を入れるなど、「ミスが起きやすいポイント」を先回りして潰します。

企業に必要なセキュリティ脅威への対策は？

企業にまず求められるのは、基本対策を「やっているつもり」にせず、継続運用として徹底することです。OSやアプリケーションのアップデート、セキュリティ対策の継続運用、重要情報の暗号化、不審メールへの対応手順の徹底など、実効性の高い対策を確実に積み上げる必要があります。加えて、従業員への教育や研修を定期的に実施し、判断のブレを減らすことも重要です。

基本対策を「運用として回す」ためのチェック観点

基本対策は、導入そのものよりも「例外が増えたときに崩れる」ことが課題になりがちです。次の観点で、ルールと現場運用が一致しているかを点検しましょう。

資産把握：端末・サーバ・クラウド・アカウントが把握できているか
脆弱性管理：更新の優先順位と例外時の代替策が決まっているか
認証と権限：多要素認証の対象、特権権限の範囲、棚卸し頻度が決まっているか
監視とログ：何を検知し、誰が見て、どこへエスカレーションするかが決まっているか
復旧：バックアップが攻撃される前提で守られ、復旧テストが定期的に行われているか

「侵入を前提にした設計」も視野に入れる

クラウド利用が進む現在は、「社内だから安全」「一度認証したら信頼できる」といった前提が崩れやすくなっています。そのため、すべてのアクセスを無条件に信頼しないという考え方（ゼロトラスト）を踏まえ、IDと認証を中心に統制する発想が重要になります。

ゼロトラストは“製品名”ではなく“統制の考え方”

ゼロトラストは単一製品で実現できるものではなく、IDと認証、端末の状態、アクセス制御、ログ監視、運用体制などを組み合わせて「信頼を都度判断する」枠組みです。どの要素から整えるかは、利用しているクラウドサービス、働き方、守るべき情報資産、運用体制によって変わります。

ソリトンの次世代認証サービス「Soliton OneGate」は、クラウドと社内にまたがる業務システムのIDと認証を統合し、クラウドシフトにおける運用とセキュリティ課題の解決を支援するサービスです。IDと認証の統制を強化したい場合の選択肢の一つとして検討できます。

詳しくはこちらをご覧ください
ゼロトラストを実現する次世代認証サービス | Soliton OneGate

人材・運用体制まで含めて整える

対策や教育は、専門知識とスキルを持つ担当者の主導で計画的に進めることが望ましい一方、担当者に依存しすぎると属人化します。ルール、手順、ログの見方、インシデント発生時の連絡体制などを文書化し、継続運用できる状態に整えることが重要です。

「平時に決めるべきこと」を明文化する

インシデントが起きてから決めようとすると、判断が遅れたり、責任範囲が曖昧になったりしがちです。たとえば、検知後の初動（封じ込めの判断、影響範囲の切り分け、関係者への連絡）、外部通報や顧客連絡の判断、復旧の優先順位、バックアップから戻す条件などは、平時に合意し、訓練を通じて更新していく必要があります。

重要情報を狙う攻撃は、大企業だけでなく中小企業にも向けられています。企業がどのようなセキュリティ脅威にさらされているのかを正しく認識し、自社の実態に合わせて優先順位をつけ、対策を継続的に見直していきましょう。