「ウイルス対策ソフトも入れているし、バックアップも取っている。
それでも、なぜ不正アクセスの被害はなくならないのか?」
警察庁サイバー警察局が令和6年12月に公表した
「不正アクセス行為対策等の実態調査」および
「アクセス制御機能に関する技術の研究開発の状況等に関する調査」は、
日本の組織が直面している“セキュリティ対策の限界”と“構造的な課題”を、
極めて生々しく浮き彫りにしています。
本記事では、調査結果を単に要約するだけでなく、
- なぜ被害が報告されないのか
- なぜ投資が進まないのか
- なぜ技術はあるのに守りきれないのか
という点を、実務目線・攻撃者目線の両方から考察します。
引用元:https://www.npa.go.jp/bureau/cyber/pdf/R6countermeasures.pdf
本blogに登場する図や表は、すべて警察庁サイバー局が公表した「不正アクセス行為対策等の実態調査アクセス制御機能に関する技術の研究開発の状況等に関する調査調査報告書を引用・分析した記事となります。
記事は、①~⑦まで同様の引用・分析の記事となります。
調査概要|この調査は「何のため」に行われたのか
調査の目的(要約)
本調査は、不正アクセス禁止法に基づき、
- 企業や行政機関などが
不正アクセスから電子計算機をどう守っているのか - その防御に使われている
アクセス制御技術(認証・制限・防御技術など)がどこまで普及しているのか
を明らかにし、
国民・組織向けのセキュリティ啓発と知識普及につなげることを目的として実施されました。
調査対象
調査対象は、市販のデータベース(四季報)に掲載された企業、教育機関(国公立、私立の大学等)、医療機関、地方公共団体(県・市区町村等)、独立行政法人(教育機関及び医療機関に掲げるものを除く。)、特殊法人から特定の業種、地域に偏りのないよう2,951件を無作為に抽出
送付、回収状況
調査票の送付総数は2,951件、回収総数は634件であった。回収率は21.5%
第1章|約2割が被害を経験──これは「多い」のか?
結論:被害は氷山の一角
18.0%という数字は、決して低くありません。むしろ“表に出た氷山の一角”です。
理由と根拠
調査では、過去1年間に不正アクセス攻撃・被害を受けた団体が18.0%とされています。
一見すると「思ったより少ない」と感じるかもしれません。
しかし、同時に以下の事実があります。
- 被害に遭っても31.6%が届け出ていない
- 届け出なかった理由の86.1%が「実質的な被害がなかった」
考察(ここが重要)
これは裏を返すと、
「侵入されたかもしれないが、
被害が“見えなかった”ので問題にしなかった」
というケースが相当数存在することを意味します。
攻撃者視点で見ると、不正アクセスの目的は必ずしも即時の金銭被害ではありません。
- 社内ネットワーク構成の把握
- ID・パスワードの収集
- 後日のランサムウェア展開の足がかり
“何も起きなかった”は、
「何もされなかった」ではないのです。
第2章|被害の中心は「メール」と「ランサムウェア」
結論:狙われるのはシステム
最も狙われているのは、人と業務の中心にあるシステムです。
調査結果のポイント
被害内容の上位は以下の通りです。
| 被害内容 | 割合 |
|---|---|
| 電子メールの不正中継(不正送信) | 17.5% |
| ランサムウェアによる業務影響 | 17.5% |
| ウイルス以外の情報漏えい | 16.7% |
分析
メールは、
- 社外と必ず通信する
- 添付ファイル・URLを扱う
- 経理・人事・経営判断に直結する
という点で、攻撃者にとって最も費用対効果が高い侵入口です。
また、ランサムウェア被害が依然として高い割合を占めていることは、
「侵入を防ぐ」より
「侵入後にどうなるか」が問題になっている
ことを示しています。
第3章|対策はしている。でも“効いていない”理由
実施率が高い対策
- ウイルス対策ソフト(クライアント):90.9%
- データのバックアップ:84.1%
それでも被害が出る理由(考察)
ここに、日本のセキュリティ対策の構造的な弱点があります。
①「点の対策」で止まっている
多くの対策は、
- ウイルス対策
- バックアップ
といった単体(点)の防御です。
しかし実際の攻撃は、
メール → 認証情報窃取 → 横展開 → 権限昇格 → 暗号化
という連続したプロセス(線・面)で行われます。
② 人的対策が追いついていない
調査では、教育を実施しない理由として、
- 「指導できる者が社内にいない」(51.6%)
が最大となっています。
技術があっても、それを正しく設定・運用・判断できる人がいなければ意味がない
という現実が、数字として表れています。
第4章|研究開発は進んでいるが、現場に届くのはまだ先
結論:日本のセキュリティ技術は低い
日本のセキュリティ技術は“研究段階”で足踏みしているものが多い
調査から見える実態
- 研究開発費:1,000万円未満(65.6%)
- 研究人数:1〜10人未満(68.8%)
- 商用化は「3年より先」:51.7%
分析
多要素認証や生体認証など、有望な技術は確かに存在します。
しかし、
- 導入コスト
- 運用の難しさ
- 中小企業への適用
といった壁により、“知っているが使えていない技術”になりがちです。
これは「技術不足」ではなく、
社会実装までのギャップの問題だと言えます。
まとめ|この調査から私たちが取るべき行動
調査が示した3つの本質的課題
- 被害は想定より多く、見えていないだけ
- 対策はしているが、全体設計になっていない
- 人と運用が最大のボトルネック
明日からできる現実的アクション
- 多要素認証(MFA)をメール・VPN・クラウドに必ず適用
- 「被害が出たらどうするか」の初動対応マニュアルを用意
- 外部サービス・支援を含め、“人を補う設計”を前提にする
②【令和6年版・警察庁調査の徹底考察】セキュリティ対策費用確保と経営層の理解不足について | やさしいサイバーセキュリティ
③【令和6年版・警察庁調査の徹底考察】なぜ組織のセキュリティ対策は進まないのか?―「コスト・人材・終わりの見えない不安」を断ち切る現実的アプローチ | やさしいサイバーセキュリティ
④【令和6年版・警察庁調査の徹底考察】「メール対策は“やっているつもり”が一番危ない|最新調査で見えた不正中継・なりすまし被害の盲点」 | やさしいサイバーセキュリティ
⑤【令和6年版・警察庁調査の徹底考察】なぜ「ログは取っているのに守れない」のか?調査データが暴く、日本企業のログ管理“5つの盲点”と現実的な改善策 | やさしいサイバーセキュリティ
⑥【令和6年版・警察庁調査の徹底考察】テレワーク×個人端末は本当に危険?警察庁データが示す「見過ごされがちな落とし穴」と現実的な対策 | やさしいサイバーセキュリティ
⑦【令和6年版・警察庁調査の徹底考察】①~⑥調査結果を分析して判明したことをまとめてみた。 | やさしいサイバーセキュリティ
も併せて読んでみてください。
コメント