• リスク・課題

年々存在感を増すサイバー攻撃の脅威。なかでもランサムウェア攻撃による企業の被害が深刻化しています。
警視庁によると、その被害報告件数は2025年上半期だけで116件と過去最多ベースで推移。
標的となるのは大企業とは限らず、被害企業の3分の2を中小企業が占めるという調査結果が報告されています^＊1。
サイバー攻撃は、もはやすべての企業にとって、対岸の火事では済まされない状況といえるでしょう。
しかし、そうした危機的状況にあってなお「予算の捻出が困難」「うちが狙われるはずがない」と、対策を先送りにしている企業が少なくないのも事実です^＊2。
今回の記事では、巧妙さを増すサイバー攻撃への対策の難しさを紐解きながら、企業が取るべき対応の方向性を解き明かします。

＊1　出典：警視庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」
＊2　出典：独立行政法人情報処理推進機構「2024年度 中小企業における情報セキュリティ対策に関する実態調査」

水面下で静かに迫る、サイバー攻撃の恐怖

かつてのサイバー攻撃は、ウイルス感染やDoS攻撃によるサーバーダウンなど、「目立ちやすく、破壊そのものが目的」というものが中心でした。しかし時代は変わり2026年現在、最大の脅威となっているのは、データを暗号化した上で巨額の身代金を要求する「ランサムウェア攻撃」です。この悪質な攻撃は「ラテラルムーブメント（水平展開）」と呼ばれる巧妙な手口により、長い潜伏期間を経て進められます。

平穏なまま支配されていく「ラテラルムーブメント」とは

攻撃者はまず、セキュリティの脆弱なVPNルーターなどから、1台のPCやサーバーに侵入します。しかし、彼らの目的は、そこにあるデータではありません。彼らはサーバーからサーバーへと「水平移動」を開始。組織のネットワーク内部を静かに探索していくのです。彼らの最初の狙いは、破壊ではなく「権限」の奪取です。一般社員のアカウントから始まり、管理者のアカウントを窃取。やがて組織全体の認証基盤である「ADサーバー」へたどり着きます。ここを掌握されてしまうと、攻撃者が社内のあらゆるサーバー、データにアクセスできる状態となってしまいます。

あなたがいつもどおり業務を行っているその裏で、攻撃者は平然と機密情報をコピーし、バックアップデータさえも無効化してしまいます。そして、いつでも全データを暗号化できる状態を完成させた後、ようやくランサムウェア（身代金の要求）を実行します。こうして異常が発覚したときには、すでに手の施しようがない状態に陥っている。これがランサムウェア攻撃の恐ろしさです。

必要なのは、サプライチェーン一体での防衛

このようにサイバー攻撃が巧妙化する昨今。もはや、自社のセキュリティ“だけ”をいかに堅牢なものとしようとも、攻撃を回避することはできません。

攻撃者は本当の標的である大企業だけでなく、同じグループの子会社や取引先の中小企業を狙います。そのほうが、セキュリティが手薄である可能性が高いからです。そして、ひとたび侵入に成功すれば、ネットワークを伝って本丸に攻め込みます。「サプライチェーンの弱点」から攻撃を展開するのが、常套手段の1つとなっています。

「子会社」のたった1人の従業員から

ある国内大手企業グループで起きた事例は、まさにその典型です。はじまりは、子会社に勤務する従業員がアカウントを盗用されたことでした。しかし攻撃者は、これを起点に「ラテラルムーブメント」を展開。わずか数日の間にグループ全体の認証基盤である「ADサーバー」が制御下に置かれてしまったのです。

異常が検知されたときには、すでに複数サーバーの暗号化が進んでいたため、同社は緊急措置としてサーバーをシャットダウンしました。しかしここで攻撃者は、サーバーのリモート起動という驚くべき攻撃を仕掛けてきます。同社は担当者をデータセンターへ急行させ、最終手段として電源ケーブル・通信ケーブルの物理的抜線に踏み切りました。

対応が評価される一方で大きな痛手

発覚から数時間での全サーバー完全停止は、英断といえる対応でした。攻撃を鎮圧し、被害の拡大を食い止めることができましたが、結果的には、事業の停滞や個人情報の流出など、数十億円規模の損失が生じました。

このように、自社のみならずサプライチェーンの隅々まで防衛網を張り巡らせなければ、いつ攻撃されてもおかしくない時代です。また、逆に自社セキュリティの脆弱性が原因となり、他社に損害を与えてしまう恐れまであるのです。

発覚するときは、すでに手遅れ。早期発見と初動対応が命綱

どんなに堅牢なセキュリティ体制を築いても、穴を見つけ遂行されるサイバー攻撃。もし自社が標的にされたとき、取るべき対応はなんでしょうか？

ランサムウェア攻撃は、身代金を要求する「脅迫状」により発覚するケースがほとんどです。しかし、これまで見てきたとおりそれは、攻撃者がすべてを手中にした後の最後の仕上げに過ぎません。重要機密は既に流出し、バックアップデータさえ失っているこの段階でいくら対策会議を重ねても、残された選択肢はもうありません。

サイバー攻撃を封じ込める唯一の手段は、攻撃者が侵入し、ネットワーク内の探索を進めようとしている段階で異常を早期に発見し、的確な初動対応を取ることです。

「不自然な時間帯に管理者アカウントによるログインがある」、「特定の端末から異常なデータ量の外部送信がある」といった、攻撃者が残したわずかな痕跡を検知した瞬間に、サイバーセキュリティのプロフェッショナルによる対応を開始できるかどうか。その初動の対応スピードこそが、企業の命運を分けるのです。

経営判断の落とし穴。確実性の担保が被害を倍増させる

しかし実際は、残念なことに多くの企業が初動で遅れをとってしまいます。なぜでしょうか。その背景には、企業組織特有の「意思決定の壁」があります。

現場のIT部門から「不審なログイン」「異常なデータ通信」といった攻撃の予兆が報告されたとしても、経営層は「それは本当にサイバー攻撃なのか？」「確固たる証拠はあるのか？」という反応を示してしまいがちです。さらに、外部の専門調査チームを入れるためにかかる費用を見て「攻撃かどうかも分からないものに、そんな大金を払えない」と、支出を躊躇してしまうのです。

しかし、組織がこうして「確実性」を求めている間にも、攻撃者の仕込んだプログラムは休むことなく作動し、被害が膨れ上がっていくのです。

「空振りを恐れて動けない」という企業心理さえ見越して犯行を企てる狡猾な攻撃者たち。彼らに立ち向かうためには、確証を待つことなく「疑わしきは即座に調査する」という経営の決断が求められます。それが、数億円の損失を回避できるかどうかの分岐点なのです。

公助なきサイバー空間。24時間365日自己防衛できますか？

成熟した社会においては、市民が安心して暮らせるよう、さまざまな「公助」インフラが完備されています。火事があれば消防隊が駆けつけ、事件が起きれば警察が駆けつけてくれます。しかしサイバー空間では、インシデントが発生しても誰も来てくれません。「消火」から「救出」「復旧」まですべてを「自助」で行うよりほかないのです。

被害を最小限に食い止めるための緊急対応も、証拠保全のための「フォレンジック調査（サイバー攻撃の痕跡をたどり解析する鑑識調査）」も、被害範囲の特定、システムの復旧、さらには顧客やメディアへの広報対応に至るまで、すべてを自力かつ自費で解決することになります。

自衛には限界があるサイバー防衛

では、こうした専門性の高いタスクをこなせる人材・組織をどのように確保すべきでしょうか？ 24時間365日の体制を自社で持つことができれば理想的ですが、多くの企業にとって現実的ではありません。サイバーセキュリティの専門家を自社で雇用・育成するとなれば、年間数千万円から億単位のコストがかかることでしょう。そしてそれだけの投資をしても、日々進化し続けるサイバー攻撃の最新技術に追従できる保証はありません。

“有事”体制を合理的に整える方法

やはり、餅は餅屋。サイバー空間におけるプロフェッショナルな防衛体制を、総合的に補完できる手段として活用されているのが「サイバー保険」です。“公助なきサイバー空間”という特異な環境を背景に、サイバー保険は、金銭的補償という保険の枠組みを超えて、有事対応そのものをサポートする、独自の進化を遂げてきました。

有事の際に電話一本で調査・広報・法務対応まで専門機関に頼れる体制を「保険料」という固定費で確保できる──。自前で構築するコストと比較すれば「賢いアウトソーシング」といえるでしょう。不確実性を増すサイバー空間において、合理的で実効性のある選択といえます。

サイバーセキュリティは「企業の信頼」そのものへ

2026年現在、経済産業省の主導により「サプライチェーン対策評価制度」の導入が検討されています。企業のセキュリティレベルは、もはや自己防衛のためだけのものではありません。信頼に値するビジネスパートナーであることを証明するための基準となるのです。

自社はもちろんのこと、海外拠点や委託先も含めたガバナンスが求められます。サプライチェーン全体での対策レベルが取引継続の条件となり、対策の遅れが直接的なビジネスチャンスの喪失に直結する。そんな時代が始まろうとしています。

損保ジャパンは、企業のこうした現状と課題に最適化すべく、2026年2月、サイバー保険を大幅アップデート。企業のレジリエンスを支えるソリューションとして進化させました。その全容については、こちらの記事をご覧ください。