インターネットは社会生活や企業の経済活動に浸透し、社会インフラとして不可欠な存在となりました。
こうした中、基幹システムを破壊し機能を麻痺させるサイバー攻撃や、さまざまな情報を盗み出す目的で通信網に侵入する不正アクセスは年々増加しています。国立研究開発法人情報通信研究機構（NICT）の調査によると、2024年のサイバー攻撃関連通信数（約6,862億パケット）は2015年（約632億バケット）と比較して約10倍に増加。サイバー攻撃は、もはや誰もが対象となり得る社会的な脅威と言えます。今回は企業活動を取り巻くサイバー攻撃の傾向と対策を紹介します。


◆手口はさまざま　サイバー攻撃の種類

ひと口に「サイバー攻撃」といっても、その種類や目的はさまざまです。

おもなサイバー攻撃
（1）不正アクセス
　　　アクセスする権限がないシステムやサーバに不正に侵入する行為です。データベースを操作する言語を攻撃対象のデータベー
　　　スに注入し情報を取得する、パスワードに使用されやすい単語を組み合わせてログインする、他サイトで盗んだ・パスワード
　　　を適用しログインするなどの手口が報告されています。

（2）ランサムウェア
　　　感染したパソコンやサーバのデータを攻撃者しか読めないように暗号化し、暗号解除のための身代金を要求する犯罪です。
　　　従来は、不特定多数の利用者を狙ってメールを送信するといった手口が一般的でしたが、最近では、企業等のネットワーク機
　　　器のインフラのぜい弱性を狙って侵入する手口が多くみられます。

（3）フィッシング
　　　送信者を詐称したメールを送信したり、偽のホームページに接続させたりするなどの方法でクレジットカード番号・パスワー
　　　ドなどの重要な情報を盗み出す犯罪です。個人を対象としたサイバー攻撃として多くみられるものの一つです。 

（4）標的型攻撃
　　　正当な連絡を装い、不正プログラム（ウイルス）を添付したメールを送信して、受信者のコンピューターを感染させる行為で
　　　す。業務等に関係する内容を装って複数回にわたりメールのやり取りを行い、標的を信用させた後に不正プログラムを添付し
　　　たメールを送信する「やり取り型」の攻撃も増加しています。

（5）DDoS攻撃
　　　多数のコンピューターやデバイスなどから攻撃目標に一斉に大量の問い合わせなどを行い、サーバに負荷をかけて利用できな
　　　い状況にする攻撃です。


◆組織化やターゲットの多様化が顕著に

サイバー攻撃の傾向も、インターネット技術の進歩や時代の変化とともに変わってきています。最近では組織的なサイバー攻撃が多くみられ、攻撃方法も高度化しています。対策をかいくぐるように些細な脆弱箇所を攻撃し、気がついたときにはプログラムに侵入されているという事例も少なくありません。
 
フィッシングなどクレジットカード番号・ID・パスワードなどの情報を盗み出し電子商取引を不正利用するものに加え、ランサムウェアを使用しシステムを機能不全に陥れ、元に戻すための巨額な身代金を要求するという大掛かりなものも増えています。
 
またコロナ禍によるテレワークの普及により、利用するデバイスの多様化、デバイスの社外への持ち出し、クラウドサービスの利用など、社内ネットワークへのアクセス方法が多様化しました。それにより、企業ネットワークのファイアウォールよりも脆弱な箇所を狙った攻撃も増加しています。
 
さらには、セキュリティ対策が整った大企業への攻撃を果たすために、それよりハードルの低いグループ企業、支社、海外拠点、取引先の中小企業などを攻撃し、そこから本社のシステムへの侵入を目論む「サプライチェーン攻撃」が増加していることも特徴的です。
 
これらの傾向からもわかるように、サイバー攻撃の対象は従業員個人や中小企業にも及んでおり、そのための対策のアップデートは、すべてのインターネット利用者に求められています。


◆組織がとるべきサイバー攻撃対策

サイバー犯罪の組織化、高度化に対処するためには、企業としてどのような対策をすればよいのでしょうか。
まずは基本的な情報の機密性や安全性、可用性を維持していくための行動指針である「情報セキュリティポリシー」をまとめ、社内に徹底することが大切です。具体的には、以下のような項目を含めることが推奨されます。

▪ 安全なパスワード管理
    パスワードを作成し、他人の目に触れないよう適切な方法で保管することです。また、一つのパスワードを複数のサービスで使い
    まわさないこと、パスワードを記したメモなどは厳重に保管をすることなども徹底しましょう。なお、以前はパスワードの定期的
    な変更が推奨されていましたが、内閣サイバーセキュリティセンター（NISC）が発行する『インターネットの安全・あんしんハ
    ンドブックVer5.1（2025年3月）』には、パスワードを定期変更する必要がないとの見解が示されています。これには定期的な
    変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをすることを防ぐという意図がありま
    す。

▪ メールセキュリティ強化
    PCの電源を切らずにLANケーブルを抜く、無線LANのスイッチを切るなどの方法で、社内ネットワークから感染したデバイスを
    切り離すルールを周知しましょう。またCCやBCCの使用ミスによる大量メールの誤送信を防ぐために、多くの宛先に対して同時
    にメールを送信したいときには、通信事業者が提供する同報メールサービスを利用することも検討しましょう。

▪ 外部ストレージ接続ルールの規定
    USBメモリーなど、外部記憶媒体に記録した情報は、外に持ち出したり、机の上に放置したりすることを避けなければなりませ
    ん。鍵のかかる場所に保管するなど、適切な保管方法をとるようにしましょう。

▪ ウイルス対策ソフトの導入
    最近のウイルスは、メールをプレビューしたり、ホームページを閲覧したりするだけで感染するなど、巧妙化しています。まずは
    OSやソフトウェアを更新して最新の状態に保つこと、ウイルス対策ソフトをインストールし常に最新のものに更新しておくこと
    が大切です。
    これらに加え、攻撃型メールへの対応力を身につける目的で、標的型攻撃を模擬した訓練メールを従業員に送信する訓練を定期的
    に行うことも有効です。添付ファイルまたはメールにあるURLをクリックすると訓練であることを示すメッセージが表示され、訓
    練結果が自動的にレポートとしてまとめられる機能を提供する企業もあります。


◆サイバー攻撃による被害に備える「サイバー保険」

サイバー攻撃による被害は、直接的な金銭的被害（取引先や顧客など第三者に対する賠償責任／原因調査費用／関係者対応などでかかる事故対応費用）に加えて、顧客の喪失（社会的評価の低下／競合への流出／今後の取引停止）、事業継続の阻害（システム停止による納期遅れ、営業機会損失／士気低下による人材流失／従業員からの訴訟）など、さまざまな領域に及びます。

これらすべてのリスクに対し、システムでの対策や対応組織の整備等を行うにはコストを要します。企業規模によってはそこまで潤沢に費用をかけられない事情もあると思います。

サイバー攻撃のリスクに備え企業を存続させるための方法の一つに「サイバー保険」があります。サイバー事故により生じた第三者に対する「損害賠償責任」のほか、事故時に必要となる「費用」や自社の「喪失利益」を包括的に補償する保険です。展開している保険会社によって異なりますが、一般的な補償内容には次のようなものがあります。

▪ 損害賠償責任
　 サイバー攻撃の発生などに起因して他人に損害を与えた場合の法律上の損害賠償金などを補償します。

▪ 事故発生時の各種対応費用
　 原因究明に必要となる費用、記者会見を行う際の費用、被害者に対する見舞金の支払い費用、法律相談費用、コールセンターの設
　 置や再発防止策の策定に関する費用などを補償します。

▪ 逸失利益・営業継続費用
　 サイバー攻撃などにより自社システムが中断・停止し、業務が中断したことにより発生する、 自社の喪失利益や利益の減少を抑
    えるための費用、営業を継続するための費用を補償します。

また、これら補償のほか、事故時の解決サポートサービス等を提供している保険会社もあります。
どんな規模、業種の企業であっても、サイバー攻撃のリスクがあります。完全に防ぐことは難しいからこそ、発生時に備えてサイバー保険への加入を検討されてみてはいかがでしょうか。サイバー攻撃への備えに関しては、大和ライフネクスト株式会社インシュアランスエスコート部までお気軽にご相談ください。




【出典】
警察庁「サイバー空間をめぐる脅威の情勢等」
https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
 
総務省「令和4年版　我が国におけるサイバーセキュリティの現状」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html
 
総務省「安心してインターネットを使うために　国民のためのサイバーセキュリティサイト」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html
 
国立研究開発法人情報通信研究機構「NICTER 観測レポート2024」
https://www.nict.go.jp/press/2025/02/13-1.html
 
一般社団法人 日本損害保険協会『今注目の「サイバー保険」』
https://www.sonpo.or.jp/cyber-hoken/
 

※このコラムは､補償の概要を説明したものです｡個別の詳しい補償内容については、取扱代理店までお問合わせください｡
※2025年9月1日時点の内容のため、内容が変更になっている場合があります。


【取扱代理店】
大和ライフネクスト株式会社　インシュアランスエスコート部
107-0052 東京都港区赤坂五丁目1番33号
TEL：0120-75-0032（受付時間　平日：午前10 時から午後5 時まで）