- share :
サイバー攻撃の脅威は、もはや一部の大企業やIT企業だけの問題ではありません。2024年から2025年にかけ、航空会社や金融機関といった重要インフラへの攻撃が相次ぎ、社会活動に多大な影響を与えました。
こうした状況下、金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン」を策定し、金融機関とそのサプライチェーンに含まれるあらゆる企業に対し、管理態勢の抜本的な強化を迫っています。
多くの経営者が「うちの(ような小さな)会社は狙われない」と考える傾向にありますが、攻撃者は防御の堅い大企業を直接攻めるのではなく、セキュリティの甘い中小企業を踏み台にする「サプライチェーン攻撃」を常套手段としています。
本記事では、金融庁が警鐘を鳴らす最新の脅威動向を整理し、2025年中に中小企業が実装すべき具体的な対策と、有事の際に企業の命運を分ける初動対応の実務について解説します。
金融庁ガイドラインが示す2025年の脅威環境
金融庁が2024年10月に適用を開始した新ガイドライン(金融分野におけるサイバーセキュリティに関するガイドライン)は、地方銀行や信用金庫を含むすべての金融機関に対し、サイバーセキュリティを「経営課題」として捉えるよう強く求めています。この動きは、金融システム全体を揺るがすリスクの所在が変化していることを示唆しています。
金融システム全体への波及リスクと「Weakest Link」
サイバーセキュリティの世界には「Weakest Link(最も脆弱な環)」という概念が存在します。これは、どれほど強固な城壁を築いても、一箇所でも綻びがあれば、そこから侵入を許してしまうという意味です。現在の金融システムにおいて、この「脆弱な環」として懸念されているのが、金融機関と接続を持つ中小企業や業務委託先です。
攻撃者は、直接攻略が困難なメガバンクや大手企業を狙わず、それらと取引のある中小企業のシステムに侵入し、そこを経由して本丸へ攻撃を仕掛けます。金融庁がガイドラインでサプライチェーン全体のリスク管理を強調するのは、中小企業のセキュリティ不備が、金融システム全体の安定性を損なう直接的な要因となり得るからです。
経営課題としてのサイバーセキュリティ
かつてセキュリティ対策は、IT部門が担当する「技術的な問題」と見なされていました。しかし、ランサムウェアによる業務停止や顧客情報の漏洩は、企業の信頼を瞬時に失墜させ、損害賠償や取引停止といった経営危機に直結します。
ガイドラインでは、経営陣がリーダーシップを発揮し、サイバーセキュリティ確保に必要なリソース(予算・人材)を配分することを明確に求めています。2025年において、セキュリティ対策はコストではなく、事業継続(BCP)と競争力維持のための「必須投資」であると認識を改める必要があります。
中小企業が警戒すべき具体的なサイバー脅威(IPA 2025)
独立行政法人情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威 2025」等のデータを分析すると、中小企業が直面するリスクはより狡猾かつ深刻化しています。
| 順位 | 脅威の名称 | 概要と2025年中の動向 |
| 1位 | ランサム攻撃による被害 | 10年連続で主要脅威の1位。単なるデータ暗号化に留まらず、データの窃取と身代金要求を組み合わせた二重・三重脅迫へと進化しており、事業継続を揺るがす深刻な脅威である。 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 委託業者がランサムウェア攻撃を受け、自治体や金融機関の顧客情報が漏洩する事例が発生している。中小企業は、大企業のセキュリティ対策を迂回する「弱点」として標的とされやすいため、特に注意が必要。 |
| 3位 | システムの脆弱性を突いた攻撃 | ソフトウェアの脆弱性が発見されると、攻撃者はその情報を悪用した攻撃プログラムを迅速に作成する。VPN機器の脆弱性を狙った攻撃により、JAXA等で不正アクセスが発生した事例も報告されている。 |
| その他 | DDoS攻撃の高度化 | 2024年末から2025年初頭にかけて日本企業を標的とした大規模なDDoS攻撃が相次いだ。2025年以降、DDoS攻撃はさらに高度化し、AIを悪用した複雑な手法が主流になると予測される。 |
| 将来的な脅威 | 量子技術による暗号崩壊 | 金融庁は2025年に入り、既存の暗号技術を無力化する可能性のある「量子脅威」を前提とした耐量子計算機暗号(PQC)への移行の方向性について、2025年内を目途に検討するとしている |
進化するランサムウェアと二重脅迫
ランサムウェア攻撃は、依然として最大級の脅威です。しかし、その手口は単にデータを暗号化して身代金を要求する従来型から、より悪質な「二重脅迫(ダブルエクストーション)」へと進化しています。
- 企業の機密データを暗号化し、業務を停止させる
- 暗号化解除の身代金を要求する
- 同時に「盗み出したデータを公開されたくなければ金を払え」と脅迫する
バックアップからデータを復旧できたとしても、情報漏洩のリスクが残るため、企業は極めて困難な判断を迫られます。中小企業であっても、保有する顧客リストや技術情報は十分に攻撃者の収益源となり得ます。
サプライチェーンを標的とした迂回攻撃
前述の通り、大企業のセキュリティ対策が進む一方で、その委託先である中小企業を狙う攻撃が急増しています。例えば、システム保守を委託しているIT企業や、製品の部品を納入している製造業者がマルウェアに感染し、そこから発注元の大企業へ感染が拡大するようなケースです。
この場合、被害を受けた中小企業は、自社の復旧費用だけでなく、取引先からの損害賠償請求や取引打ち切りという二重の苦境に立たされることになります。
脆弱性を突く攻撃と将来的な量子脅威
VPN機器やリモートデスクトップ機能の脆弱(ぜいじゃく)性を放置することも、致命的なリスクとなります。攻撃者は新たに発見された脆弱性情報を即座に悪用し、修正プログラム(パッチ)を適用していない企業を無差別に攻撃します。
また、金融庁をはじめとする政府機関では、現在の暗号技術を無力化する「量子コンピュータ技術」への対策(耐量子計算機暗号:PQCへの移行)に関する議論を加速させています。今すぐの脅威ではありませんが、将来的には暗号移行が不可欠になるという視点は、長期的なIT戦略において保持しておくべきです。
経営者が主導すべき管理態勢とリスクベース・アプローチ
中小企業には、大企業のような潤沢な予算や専任のセキュリティ人材が存在しないケースが大半です。そのため、限られたリソースを有効活用する戦略的なアプローチが求められます。
リスクベース・アプローチの採用
金融庁は、すべての企業に一律で最高レベルの対策を求めているわけではありません。推奨されているのは「リスクベース・アプローチ」です。これは、自社が保有する情報の価値や、事業におけるIT依存度、想定されるリスクの大きさを評価し、それに見合った対策を優先順位をつけて実施する手法です。
守るべき資産が何であるかを特定し、「これだけは絶対に守る」というコア領域にリソースを集中させることが、現実的かつ効果的な対策の第一歩となります。
「組織的記憶喪失」を防ぐ人材リスク管理
セキュリティ対策というと、システムやツールに目が向きがちですが、「運用する人」のリスク管理も経営者の責務です。
昨今発生した大規模なシステム障害を巡り、一部の専門家やメディアからは「ベテラン人材の流出が、復旧の遅れや信頼性低下に寄与したのではないか」という指摘がなされています。もちろん、サービス提供企業が公式にそれを主因と認めたわけではありません。しかし、外部からそうした「組織的記憶喪失」のリスクを懸念されること自体が、システム運用における「人」の欠かせない役割を物語っています。
中小企業においても、「何かあった時、彼(彼女)しか直し方を知らない」という属人化は、有事の際に復旧時間を大幅に遅らせる致命的なリスクとなります。
- 手順書のドキュメント化:特定の個人の頭の中にしかない対応手順を、誰でも参照できる文書として残す
- 複数人体制の構築:兼務でも構わないため、緊急対応を一人に任せきりにしない(副担当を決めておく)
これらの「属人化の排除」は、サイバー攻撃を受けた際のレジリエンス(回復力)を担保する上で、ツール導入と同等以上に不可欠な要素です。
サプライチェーンリスク管理の具体策
外部委託先やクラウドサービスの利用に際しても、管理を徹底する必要があります。
- 契約前の評価(デューデリジェンス):委託先が十分なセキュリティ対策を講じているか確認する
- 契約書への明記:インシデント発生時の報告義務や責任範囲を契約書に盛り込む
- アクセス権限の棚卸し:退職者や契約終了した業者のアカウントが放置されていないか、定期的に確認し削除する
執筆者
DXportal®運営チーム
DXportal®編集部
DXportal®の企画・運営を担当。デジタルトランスフォーメーション(DX)について企業経営者・DX推進担当の方々が読みたくなるような記事を日々更新中です。掲載希望の方は遠慮なくお問い合わせください。掲載希望・その他お問い合わせも随時受付中。