⑦【令和6年版・警察庁調査の徹底考察】①～⑥調査結果を分析して判明したことをまとめてみた。

---

攻撃の現状：どこまで危険なのか

主な攻撃手段と被害内容

調査によると、組織の47.4％が部外からの不正アクセス、31.6％が不正メール（フィッシング含む）を経験しています。被害の中身では、「電子メールの不正中継」と「ランサムウェアによる業務影響」がいずれも17.5％、さらに16.7％はウイルス以外の情報漏えいが報告されており、単なる技術的被害だけでなく情報搾取のリスクも高まっています。

サプライチェーンへの影響

さらに、18.5％の組織が取引先やサプライチェーン経由で被害を受け、直接的な業務影響を経験しています。サプライチェーン経由の攻撃は自社だけで防ぎきれないため、取引先とのセキュリティ連携が不可欠です。

被害後の対応とログ管理の現状

実施される主な対策

被害を受けた組織は、再発防止策として以下を実施しています。

• パスワード再設定：47.4％
• セキュリティ教育の実施・強化：43.0％
• 最新パッチ適用：36.0％

これらは基本的な防御策ですが、再発防止に向けた組織全体の仕組み作りが不十分な場合が多いのが課題です。

ログ管理の傾向

ログ取得は「ファイアウォール・IDS/IPS（53.1％）」や「メールサーバ（51.4％）」が中心で、保管期間は1年以上が主流。保管場所も自社内が大半です。ただし、31.6％は被害の届出をしておらず、その理由の86.1％が「実質的被害なし」と自己判断している点は、法的・規制上リスクになる可能性があります。

---

テレワーク・BYODの盲点

テレワーク導入組織の64.5％で、個人端末（BYOD）が業務に使用されています。問題は、43.0％の組織でセキュリティ対策を義務化していないことです。個人端末経由の攻撃は、最初の侵入経路になりやすく、組織全体の防御力を低下させます。

経営層の理解不足と予算の壁

セキュリティ対策が進まない最大の理由は、経営層の理解不足とコスト感覚です。

• 「コストがかかりすぎる：59.1％」
• 「費用対効果が見えない：49.7％」

現場からは「上層部が自分事として捉えない」「直接利益に結びつかないため予算が取りづらい」といった声も多く、単なる技術導入だけでは防御の実効性は上がりません。

②【令和6年版・警察庁調査の徹底考察】セキュリティ対策費用確保と経営層の理解不足について | やさしいサイバーセキュリティ

---

教育体制と人材不足の課題

ITリテラシー教育は68.3％、ポリシー周知は62.5％で進んでいるものの、教育を実施できない理由の51.6％が指導者不在。さらに担当者は他業務と兼務（68.9％）せざるを得ず、十分な対策検討時間を確保できない悪循環が発生しています。

---

今後の課題と取るべきアクション

総括すると、組織の多くはセキュリティポリシーを策定しているものの、**「どこまで行えば十分かの基準が不明（37.5％）」**という不安が残ります。今後、実効性のある防御を固めるためには、次の取り組みが急務です。

1. 経営層の理解と予算確保
   • セキュリティ対策をコストではなく投資として捉える
   • ROIや事例を示して具体的な予算配分を確保
2. 事案発生時の対応マニュアル整備
   • 現在策定済は51.4％に留まるため、全組織で統一化
   • 「誰が」「どの手順で」対応するかを明文化
3. BYODやテレワーク端末の管理強化
   • 個人端末にも最低限のセキュリティ義務化
   • 定期的なセキュリティチェックの実施
4. 人材育成と教育プログラムの体系化
   • 指導者を社内で育成、兼務による負担を軽減
   • 教育の効果測定と改善サイクルの導入

---

まとめ

組織の防御力は「ツールの導入」だけでは不十分です。経営層の理解、明確な行動基準、教育・マニュアル整備の三位一体で初めて、サイバー攻撃に対して持続可能なレジリエンスを構築できます。今後は、組織全体で「攻撃されても業務が止まらない体制」を目指すことが、最優先課題です。