2025年7月より、NTTコミュニケーションズは
NTTドコモビジネスに社名を変更しました
NTTドコモビジネス
NTT docomo Business Watch

DXの課題を解決するヒントをお届け

NTT docomo Business WatchはNTTドコモビジネスが運営しています。

  • NTT docomo Business Watch
  • システムの弱点を“棚卸し”できていますか?定期診断と可視化が強固なセキュリティの第一歩

システムの弱点を“棚卸し”できていますか?
定期診断と可視化が強固なセキュリティの第一歩

システムの弱点を“棚卸し”できていますか?定期診断と可視化が強固なセキュリティの第一歩

2025.09.04

セキュリティセキュリティ対策強化製造運輸/流通建設/不動産経営(経営企画含む)総務情報システム情報漏えい個人情報保護情報セキュリティサイバー攻撃中小企業

OSやソフトウェアにおける、プログラムの不具合や設計ミスを起因とするセキュリティ上の欠陥を「脆弱性」といいます。現在、この脆弱性を突いた攻撃が増加しており、特に中小企業が標的となるケースが急増しています。情報処理推進機構(IPA)の調査によると、不正アクセスの約5割が脆弱性を突かれ、約7割の企業で組織的なセキュリティ体制が未整備という現状があります。企業が攻撃を受けると取引先にも被害が拡大することがあり、セキュリティ事故は他人事ではありません。組織的なセキュリティ体制を築くには、まず社内のリスクを正しく把握することが重要です。ここでは脆弱性の棚卸しと可視化によるセキュリティ体質強化の方法を紹介します。

目次

自社のシステムに存在する
「思わぬ侵入のすき間」が見えていますか?

現在では、サイバー攻撃によるシステム停止や情報漏えいが相次いでいます。

警察庁が2025年3月に発表した資料「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば「サイバー攻撃の前兆ともなる脆弱性探索行為等の不審なアクセス件数及びランサムウェアの被害報告件数が前年から増加した」と報告されており、「フィッシングの報告件数も前年比で約52万件(44%)と増加」しています。さらに犯罪実行者募集情報が氾濫するなど「極めて深刻な情勢が継続」しています。

フィッシング報告件数及び不正送金被害額の推移
フィッシング攻撃の件数はここ数年で急増している
(出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」)

中小企業がサイバー攻撃のターゲットになるケースも増えています。

IPA(情報処理推進機構)が2025年5月に発表した「2024年度中小企業等実態調査結果」によれば「不正アクセスされた企業の約5割が脆弱性を突かれ、他社経由での侵入も約2割」あり、「サイバーインシデントにより取引先に影響があった企業は約7割」に達しています。また「約7割の企業が組織的なセキュリティ体制が整備されていない」と回答しています。

企業自身がサイバー攻撃を受けることで、それが取引先にも広がり、攻撃の被害がより拡大している状況です。中小企業にとっては決して対岸の火事ではありません。システムの脆弱性を中心として、社内の"セキュリティのすき間"を突かれないようにするために、組織的なセキュリティ体制を築くことが急務です。

まず知っておきたい社内に潜む「見えづらいリスク」

組織的なセキュリティ体制を築く上で特に重要な点が、社内に潜むリスクを正しく把握することです。

IPAが公表している「中小企業の情報セキュリティ対策ガイドライン」では、セキュリティ対策を実践するためのステップを大きく4つに分けています。ステップ1は、OSのアップデートなど「できることから始める」ことです。ステップ2として提唱されているのが、基本方針策定や「セキュリティ自社診断」などによって「現状を知り改善する」ことです。

自社の現状を正しく知らなければ、改善もできません。例えば、社内に潜む「見えづらいリスク」としては、社員のPCやサーバー、クラウドサービスに誤った設定や更新漏れが残っていることが挙げられます。実は、このような「放置された設定ミス」が、知らないうちに攻撃者が侵入する入り口になってしまうことが多くあるのです。

IPAの上記ガイドラインでは「より強固にするための方策」の1つとして「詳細リスク分析の実施方法」を解説しています。それによれば、「情報資産の洗い出し」「リスク値の算定」「情報セキュリティ対策の決定」という3つの手順でリスク分析を行います。

全体を見直し、「今の状態」を知ることが第一歩です。自社のIT資産に関して、「目に見えない、数も多い、どこにあるか分からない」というケースに対しても、リスク分析の手順に沿って対策していくことが有効な対策となります。

リスク値は「重要度」と「被害発生可能性」から算出してまとめる(出典:IPA「中小企業の情報セキュリティ対策ガイドライン」)
リスク値は「重要度」と「被害発生可能性」から算出してまとめる
(出典:IPA「中小企業の情報セキュリティ対策ガイドライン」)

セキュリティに強い企業の秘訣は可視化と棚卸し

実際、セキュリティ対策で効果を上げている企業では、以下の3つの要素がセットで回っていることが特徴です。

1.情報:ネットワークやクラウドの状態を一覧化して管理

点在するIT環境の状態を定期的に自動で収集し、一覧で整理することで、担当者の勘や経験に加え、データに基づく判断ができるようになります。

2.優先度:リスクの大小を見える形で提示し、対処を効率化

「どこが一番危ないか」「すぐに直すべきはどこか」が可視化されることで、IT担当者がリソースを集中すべき場所を判断しやすくなります。

3.経営判断:経営層にも「今の状態」が一目で伝わる

可視化することで経営層にもわかりやすくセキュリティに関する要点が伝わり、リスクの全体像や改善の進捗を理解しやすく、意思決定がスピーディになります。

こうした「情報の正しい把握」や「リスクに対する優先度の設定」「それに基づく経営判断」は、上記ガイドラインにおける3つの手順と同じものです。この3つは、組織的なセキュリティ体制を築くための基本であり、最大のキモであるということができるでしょう。

セキュリティ体質の強化には
「定期的な見直し」がカギ

では、どうすれば、上述したような3つの手順に沿った取り組みを推進していくことができるのでしょうか。重要なことは、手に負えないような取り組みを目指すのではなく、まずは「できることから始める」ということです。

セキュリティ対策と聞くと、難しくて高額な仕組みを想像しがちです。まずは、手軽に始められる診断サービスを使えば、自社の状況がどうなっているか、数日でチェックすることもできます。

例えば、NTTドコモビジネスが提供する「セキュリティ診断パック」もそのひとつです。特別なソフトや設備は不要で、必要な情報を提供するだけでスタートできます。

サイバー攻撃対策と聞くと、高度なものを想像しがちですが、実はこのような被害は、誰でもできるわずかな設定ミスの修正やシステムのアップデートによって未然に防げるものが非常に多くあります。

だからこそ、セキュリティ診断は継続して定期的に行い、見直し続けることが重要です。それを能動的に実施することは社内のセキュリティ意識向上にもつながります。手軽にセキュリティ診断できるサービスを活用しながら、まずはコストや負荷を抑えつつスモールスタートで取り組みを開始してみてください。

関連サービス

NTTドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

メルマガ登録

NTTドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

相談・購入はこちらから

今すぐ購入したい方はこちら

オンラインショップ

オンラインで相談・購入したい方はこちら

オンライン相談

店舗で相談・購入したい方はこちら

ドコモショップ
中小企業のビジネスをサポート 最適なサービスを探したい方はこちら
中小企業のビジネスをサポート 最適なサービスを探したい方はこちら

関連記事

もっと見る
検索