ランサムウェアによる業務停止、取引先を経由したサプライチェーン攻撃、内部不正によるデータ漏洩——こうしたサイバーインシデントは、もはや大企業だけの問題ではありません。セキュリティ専任担当者が1〜3名という中堅企業こそ、攻撃者に狙われやすい現実があります。しかし「何から手をつければいいのか」「どのレベルまで対応すれば十分なのか」が分からず、対策が後手に回っているケースは少なくありません。

この記事では、サイバーセキュリティの基本的な定義から情報セキュリティとの違い、最新の攻撃動向、中堅企業が優先すべき対策フレームワーク、関連法規制まで、情シス担当者が押さえておくべき内容を体系的に解説します。

1. サイバーセキュリティとは何か（定義と重要性）

サイバーセキュリティの定義

サイバーセキュリティとは、コンピューターシステム・ネットワーク・データをサイバー空間における脅威から守るための技術・手段・対策の総体です。日本では「サイバーセキュリティ基本法」（2015年施行）において次のように定義されています。

電子的方式、磁気的方式その他人の知覚によっては認識することができない方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置、並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていること。

— サイバーセキュリティ基本法 第2条

なぜ今、サイバーセキュリティが重要なのか

デジタル化の加速により、企業の業務はクラウド・SaaS・リモートアクセスに依存する構造になっています。それに伴い、攻撃対象領域（アタックサーフェス）が急拡大しています。

サイバーインシデントが企業に与えるダメージ

サイバー攻撃を受けた場合、直接的な被害だけでなく、間接的なコストも大きくなります。

• 直接被害: データ損失・システム復旧コスト・身代金
• 業務停止損失: 販売機会の喪失・顧客対応不能
• 信頼毀損: 顧客・取引先への情報漏洩による風評被害
• 法的責任: 個人情報保護法違反による行政処分・損害賠償

参考: サイバーセキュリティ基本法（e-Gov法令検索）

参考: 内閣サイバーセキュリティセンター（NISC）

参考: IPA 情報セキュリティ

2. 情報セキュリティとの違い

情報セキュリティとサイバーセキュリティの関係

「情報セキュリティ」と「サイバーセキュリティ」は混同されがちですが、カバーする範囲が異なります。

CIA トライアドとは

情報セキュリティの基本原則は「CIAトライアド」と呼ばれる3要素です。

• Confidentiality（機密性）: 権限を持つ者だけが情報にアクセスできる状態
• Integrity（完全性）: 情報が正確で改ざんされていない状態
• Availability（可用性）: 必要なときに情報・システムが利用できる状態

情シス担当者が意識すべき違い

実務上のポイントは、「情報セキュリティ」は制度・ルール整備を含む広い概念、「サイバーセキュリティ」は技術偏重の対策に重点を置くと理解することです。ISMSの認証取得は情報セキュリティ管理、EDRの導入やSIEM構築はサイバーセキュリティ対策と位置づけられます。両者は互いに補完する関係であり、片方だけでは体制として不完全です。

参考: IPA「情報セキュリティマネジメント」

参考: JIPDEC ISMSとは

3. 企業を狙うサイバー攻撃の最新動向（2025年版）

IPA「情報セキュリティ10大脅威 2025」

IPAが毎年発表する「情報セキュリティ10大脅威」の2025年版では、組織向けの脅威として以下が上位にランクインしました。

ランサムウェア：依然として最大の脅威

ランサムウェアは、ファイルを暗号化して身代金を要求するマルウェアです。2025年時点で、攻撃手口はさらに高度化しています。

• 二重脅迫型: データを暗号化するだけでなく、窃取したデータを公開すると脅す
• RaaS（Ransomware as a Service）: 攻撃ツールのサービス化により、技術力が低い攻撃者でも実行可能に
• VPN機器の脆弱性悪用: リモートアクセス環境を侵入口として利用

サプライチェーン攻撃：中堅企業が最も注意すべき脅威

大企業のセキュリティが強固になるにつれ、攻撃者はその取引先・委託先を経由して侵入しようとします。セキュリティ体制が手薄になりがちな中堅・中小企業が「踏み台」にされるケースが急増しています。

重要: 「中堅企業だから狙われない」という考え方はすでに通用しません。攻撃者は大企業へのルートとして、あえてセキュリティが手薄な取引先を標的にします。

フィッシング・ビジネスメール詐欺（BEC）

AIを活用した文章生成により、フィッシングメールの精度が大幅に向上しています。日本語の文法ミスが少なくなり、担当者が見分けることが難しくなっています。ビジネスメール詐欺では、経営者や取引先になりすまし、振込先の変更を依頼するケースが増加しています。

参考: IPA「情報セキュリティ10大脅威 2025」

参考: 警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」

参考: JPCERT/CC インシデント報告対応レポート

4. サイバーセキュリティ対策の全体フレームワーク

NIST Cybersecurity Framework（CSF）の5機能

米国国立標準技術研究所（NIST）が策定した「Cybersecurity Framework」は、世界標準として広く参照されているフレームワークです。セキュリティ対策を「特定→防御→検知→対応→復旧」の5機能で体系化しています。

多層防御（Defense in Depth）の考え方

単一のセキュリティ製品に頼るのではなく、複数の防御層を重ねることで、一層が突破されても被害を最小化する考え方です。

[外部境界層] ファイアウォール・WAF・DDoS対策
    ↓
[ネットワーク層] セグメンテーション・IDS/IPS
    ↓
[エンドポイント層] EDR・アンチウイルス・デバイス管理
    ↓
[アイデンティティ層] MFA・SSO・特権アクセス管理
    ↓
[データ層] 暗号化・DLP・バックアップ


ゼロトラストセキュリティへのシフト

「社内ネットワーク内は安全」という前提を捨て、すべてのアクセスを検証するゼロトラストアーキテクチャへの移行が進んでいます。SaaSやリモートワークが中心になった現在、境界型防御だけでは不十分です。

参考: NIST Cybersecurity Framework

参考: IPA「NIST CSFの解説」

5. 中堅企業が優先すべきサイバーセキュリティ施策

情シス1〜3名体制の現実的な優先順位

リソースが限られる中堅企業では、「すべてを完璧に」は現実的ではありません。リスクの高い領域から順番に対策を積み上げることが重要です。

フェーズ1：最低限やるべき「基礎固め」

フェーズ2：体制強化「可視化と管理」

• SaaS・アカウントの棚卸し: 利用中のSaaSを種類ごとに把握し、退職者・異動者のアカウントを即時削除できる体制を整える
• 特権アクセス管理（PAM）: 管理者権限の付与状況を定期的に見直す
• インシデント対応手順の整備: 「誰が・何を・いつ」報告するかを文書化する
• ログの保全と監視: 重要システムのアクセスログを一定期間保存する

フェーズ3：継続改善「PDCAサイクル」

セキュリティは「導入したら終わり」ではありません。年1回以上のリスクアセスメント、四半期ごとのアカウント棚卸し、定期的なペネトレーションテストやセキュリティ診断を組み込むことが重要です。

• 年1回：セキュリティポリシーの見直しとリスクアセスメント
• 四半期：アカウント権限の棚卸し・不要アカウントの削除
• 月次：パッチ適用状況の確認・ログレビュー

「Shadow IT」「Shadow AI」への対応

従業員が業務上の利便性から、IT部門の承認なしにSaaSやAIツールを使い始めるケースが増えています。これらは管理されていないため、データ漏洩や契約違反のリスクがあります。利用状況を把握し、ルールを明文化することが先決です。

参考URL

• IPA「中小企業の情報セキュリティ対策ガイドライン」: https://www.ipa.go.jp/security/guide/sme/
• 総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」: https://www.soumu.go.jp/main_content/000839151.pdf

6. サイバーセキュリティ関連の法規制・ガイドライン

サイバーセキュリティ基本法（2015年施行）

2015年に施行されたサイバーセキュリティ基本法は、日本のサイバーセキュリティ施策の基盤となる法律です。国・地方公共団体・重要インフラ事業者・その他の事業者の責務を規定し、内閣サイバーセキュリティセンター（NISC）の設置根拠ともなっています。企業には「サイバーセキュリティの確保に必要な施策を実施するよう努める」努力義務が課されています。

能動的サイバー防御法（2025年成立）

2025年に成立した「能動的サイバー防御法」（正式名称：重要経済安保情報の保護及び活用に関する法律等の一部改正法）は、国が脅威となるサイバー攻撃に対して事前・予防的に対処できる権限を付与するものです。直接的に一般企業の義務を定めるものではありませんが、国家レベルのサイバー防衛体制が強化される流れを示しており、企業にも社会インフラの一部としての意識が求められます。

企業が直接対応すべき主要な法規制・ガイドライン

取引先・発注元から求められるセキュリティ要件

大企業や官公庁との取引において、セキュリティ審査や質問票（セキュリティチェックシート）の提出を求められるケースが増えています。ISMSの認証取得や、IPAの「情報セキュリティ5か条」への適合は、取引継続の条件になり得ます。

参考: 経済産業省「サイバーセキュリティ経営ガイドラインVer3.0」

参考: 個人情報保護委員会「個人情報保護法について」

参考: NISC「能動的サイバー防御について」

7. SaaS管理でサイバーセキュリティを強化するジョーシスの役割

中堅企業情シスが抱える「見えないリスク」

情シス担当者が1〜3名の中堅企業では、次のような課題が慢性化しがちです。

• 社内で利用されているSaaSの種類を正確に把握できていない
• 退職者のアカウントが残ったままになっている
• 入社時の初期設定・アカウント付与が属人的でミスが発生しやすい
• 誰がどのSaaSにアクセスできるかの権限台帳が存在しない

こうした「見えないアカウント」「管理されない権限」こそ、不正アクセスや内部不正の温床になります。

ジョーシスが提供する機能

Josysは、SaaS管理・アカウント管理・入退社自動化を一元化するSaaSプラットフォームです。サイバーセキュリティの観点から、以下のような価値を提供します。

機能セキュリティ上の効果SaaS利用状況の一元可視化利用中のSaaSを種類ごとに把握し、Shadow ITを発見アカウント棚卸しの自動化未使用・不要アカウントを定期的に検出・整理入退社フローの自動化退職日に合わせてアカウント即時停止。権限の残存を防止権限管理の標準化役職・部署に応じた権限テンプレートで過剰付与を防ぐ監査ログの保全誰がいつどのSaaSにアクセスしたかの記録を保持

「アイデンティティ管理」がセキュリティの要

NIST CSFの「防御」機能において、アクセス制御とアイデンティティ管理は最も重要な要素の一つです。Josysを使うことで、情シス担当者が手動管理していたアカウントのライフサイクル（付与→変更→削除）を自動化・可視化し、人的ミスによるセキュリティホールを大幅に削減できます。

リソースが限られる中堅企業ほど、自動化によって「やるべきことが確実にできる体制」を整えることがセキュリティ強化の近道です。

参考: Josys 公式サイト

参考: Josys SaaS管理機能の詳細

参考: Josys セキュリティへの取り組み

まとめ

• サイバーセキュリティとは、デジタル・ネットワーク上の脅威から情報・システムを守る技術と対策の総体であり、情報セキュリティよりも技術的対策に重点を置く概念です
• 最大の脅威はランサムウェアとサプライチェーン攻撃であり、中堅企業こそ「踏み台」として狙われやすいリスクを認識する必要があります
• NIST CSFの「特定→防御→検知→対応→復旧」という5機能フレームワークが、対策の全体設計に有効です
• 中堅企業の優先課題は、MFAの導入・バックアップ・EDRといった基礎固めと、SaaS・アカウントの棚卸しによる可視化です
• JosysのようなSaaS管理プラットフォームを活用することで、退職者アカウントの残存防止・権限の標準化・Shadow ITの発見など、限られた情シスリソースでも確実なセキュリティ対策が実現できます