日本企業は他社が被害に遭わない限り、セキュリティ対策を放置し続ける？

サイバー攻撃の被害に遭遇している企業の数は、増加傾向にあります。
しかし、調査によると日本企業の多くはセキュリティ対策に消極的で、
他社がサイバー攻撃を受けてようやく対策を講じる企業が多いようです。
本記事では日本企業のセキュリティ対策の現状と傾向を分析します。

---

サイバー攻撃によって、あの企業のビジネスがストップしている

　サイバー攻撃の被害に遭遇している企業の数は、増加傾向にあるようです。

　デジタルアーツ株式会社が2025年9月に発表した調査データによると、2025年上半期（1～6月）に発生した国内企業のセキュリティインシデント発生件数は1,027件でした。これは前年同期比で約1.8倍も多い結果で、同社が集計を始めて以来、過去最高の数値といいます。原因の1位は不正アクセス、2位はマルウェア（悪意のあるソフトウェア）感染でした。

　実際にこの期間に発生した不正アクセスの例としては、ある大手生命保険会社のケースがあります。この会社は2025年4月に、社内のシステムが第三者により不正アクセスされたことを確認。調査の結果、名前や住所、保険番号といった顧客情報が漏えいした可能性があると、6月に発表しました。一部報道では、漏えいの恐れがあるデータは、最大でおよそ1,750万件にのぼると報じられています。

　マルウェア感染の被害例としては、ある大手物流会社のケースがあります。この会社では2025年4月にサーバー障害が発生し、調査の結果、原因がランサムウェアによる不正アクセスであることが判明。報道によれば、本件によって情報漏えいは確認されなかったものの、システム障害により同社が取り扱う貨物の輸送がストップしたといいます。

　さらにこの10月には、ある大手酒造・飲料メーカーがサイバー攻撃を受け、ビールやジュースの生産がストップする事態に追い込まれています。

中小企業の6割が、セキュリティ対策に投資していない

　こうしたサイバー攻撃によるセキュリティインシデントが発生すると、社内システムが利用できなくなり、日常の業務がストップするなど、ビジネスに大きな損害が発生する原因となります。しかしながら、サイバー攻撃を防ぐため、セキュリティ対策を積極的に実施している企業は、そこまで多くないようです。

　IPA（独立行政法人 情報処理推進機構）が2025年2月に発表した「2024年度 中小企業における情報セキュリティ対策に関する実態調査」という資料によると、調査対象となった中小企業4,191社のうち、「新たな脅威や攻撃の手口を知り、対策を社内共有する仕組みができている」と回答したのは、過半数を下回る37.9%でした。

　このほか「情報セキュリティ対策をルール化し、従業員に明示している」（39.2%）、「セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしている」（39.8%）といった事前の準備に対する回答も、過半数を下回りました。

　さらに、直近3期の情報セキュリティ対策の投資額に関する問いでは、62.6%の企業が「投資をしていない」と回答。投資を行わなかった理由としては「必要性を感じていない」（44.3%）が最も多く、以下「費用対効果が見えない」（24.2%）、「コストがかかりすぎる」(21.7%)と続きました。

日本企業は他社がサイバー攻撃を受けない限り、セキュリティ対策を放置する？

　日本企業のセキュリティ対策への消極的な姿勢は、別の調査でも見られます。

　レバテック株式会社が2025年7月に発表した、情報システム部門の担当者と経営層の516名に対するセキュリティ対策の意識調査では、「（セキュリティ対策が）十分に実施できている」と回答した経営層の割合は20.5%と、わずか2割程度でした。

　セキュリティ対策に着手したきっかけに関する問いでは、「他社がサイバー攻撃を受けたことを知り、自社のセキュリティ対策を強化したいと考えた」が63.8%でトップでした。2位は38.4%で「従業員からセキュリティに関する提案や問題提起があった」、3位は28.5%で「外部機関から脆弱性を指摘された」と続きます。

　1位の数値が2～3位と比べてもかなり高いことを考慮すると、日本企業は他社が被害に遭わない限りは、セキュリティ対策を放置し続けるという、セキュリティ対策に対し“日和見主義”的な姿勢を取る企業が非常に多いことがうかがえます。

セキュリティ対策がゼロの企業と取引したがる企業は稀

　もちろん自社がサイバー攻撃を受けることなく、ずっとやり過ごすことができれば、セキュリティ対策に掛けるコストも労力も不要です。しかし冒頭で触れたように、サイバー攻撃の被害に遭う企業は増加傾向にあるため、無策であり続けることはリスクを放置し続けることとイコールと言っても過言ではないでしょう。

　セキュリティ対策を実施することは、自社の信用度の向上にもつながります。先に挙げたIPAの調査によれば、セキュリティ体制を整備している企業の約6割が、取引に繋がったと回答しています。さらに、ISMS（情報セキュリティマネジメントシステム）による認証を取得した企業の場合、その割合は7割まで高まりました。

　サイバー攻撃の中には、ターゲットとなる企業に直接攻撃せず、セキュリティ対策が緩い取引企業を狙って攻撃を仕掛ける「サプライチェーン攻撃」も存在します。セキュリティ対策を講じている企業と取引をすれば、同攻撃を受ける可能性が低減できますが、無策の企業と取引をした場合、被害は広範囲に渡る恐れがあります。わざわざサプライチェーン攻撃に無策な企業と積極的に取引をしたがる企業は稀でしょう。

　サイバー攻撃が増えている今、セキュリティ対策は自社だけのものではありません。他社と協力関係を結び、ビジネスを円滑に進めるために欠かせない要素のひとつです。同業他社のサイバー攻撃の被害に右往左往するのではなく、「ウチは対策済み」と自信を持って立ち向かうことこそ、サイバー攻撃が日常的に発生する現代における、ビジネスの理想的な姿勢といえるかもしれません。