年末年始のセキュリティ被害、大手企業の半数以上が経験。取引先起因の被害にも要注意
Visional
~7割が休暇中のセキュリティ体制に不安、取引先との緊急連絡体制強化は2割のみ(Assured独自調査)~
株式会社アシュアード(本社:東京都渋谷区、代表取締役社長:大森厚志)が運営するセキュリティの信用評価プラットフォーム「Assured」は、従業員数1,000名以上の大手企業に所属する情報システム・セキュリティ部門の方500名を対象に年末年始休暇期間のセキュリティ対策実態を調査しました。
その結果、過去3年間で55.4%の企業が年末年始にセキュリティインシデントを経験しており、約7割が休暇中の自社のセキュリティ体制に不安を感じていることが明らかになりました。年末を控えた今、企業は長期休暇特有のリスクを適切に把握し、対処していくことが求められています。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
《調査結果サマリー》
● 55.4%の企業が年末年始にセキュリティ被害を経験
・自社への直接被害は51.4%、取引先起因の被害は46.8%
・自社、取引先いずれに対しても、ランサムウェア、標的型攻撃、DDoS攻撃が上位
・取引先経由のインシデント起点、48.7%はクラウドサービス事業者
● 70.2%が休暇中のセキュリティ体制に不安を感じている
● 取引先との緊急連絡体制を通常時と比較して強化しているのはわずか19.2%。サプライチェーンリスクが高まる恐れも
年末年始の長期休暇期間は、監視体制の手薄さや初動対応の遅れを狙ったサイバー攻撃が集中します。過去には主要インフラや金融機関への大規模DDoS攻撃、ランサムウェアによる業務停止など、重大インシデントが国内外で繰り返し発生しています。
特に休暇中は取引先との連携も困難になるため、サプライチェーン全体のリスク管理が重要です。そこでAssuredは、従業員数1,000名以上の企業の情報システム・セキュリティ担当者500名を対象に、年末年始のセキュリティ対策実態を調査しました。
1. 半数以上が年末年始にインシデント発生--ランサムウェアが最多
本調査で、半数以上の55.4%が、過去3年間の年末年始休暇期間にサイバー攻撃などによる情報漏洩や業務停止といった何らかのセキュリティ被害を経験していることが明らかになりました。
自社への直接的なサイバー攻撃やセキュリティインシデントについては、51.4%が経験していることが分かりました。具体的には、「マルウェア(ランサムウェア含む)感染による業務遅延・停止や情報漏洩」が30.4%と約3社に1社が経験しています。次いで、「標的型攻撃などによる不正アクセス(情報窃取・システム改ざん)」(23%)、「DDoS攻撃によるWebサービスやシステムの一時的な停止」(21.2%)と続きます。
[画像1:
https://prcdn.freetls.fastly.net/release_image/34075/757/34075-757-12851c63e9adf0fcfe02e3ba4c8621d7-3900x2194.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
さらに、取引先に起因したインシデントについては、46.8%が年末年始休暇期間中にセキュリティ被害を経験しています。最も多かったのは「取引先がマルウェア被害を受けたことによる自社の業務遅延・停止」で24.6%であり、自社だけでなく取引先も大きなリスク源となっていることが示唆されます。
また、インシデントの起点となった取引先は、「クラウドサービス事業者」が48.7%で最多でした。次いで「システム開発・運用・保守委託先」(45.3%)、「データセンター事業者」(35.5%)が続きます。DXの進展でクラウド利用が拡大する一方、利用するサービスの増加に比例してリスクも増大している実態が浮き彫りになりました。
[画像2:
https://prcdn.freetls.fastly.net/release_image/34075/757/34075-757-bf0b986a5ba3655a098cb84b70c175f9-3900x2194.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
2. 7割が「休暇中のセキュリティ体制に不安」--監視体制、取引先のセキュリティリスク把握、緊急時の連絡体制に懸念
70.2%が年末年始の自社セキュリティ体制に不安を感じており、長期休暇がサイバー攻撃の標的となるという認識が広まっています。
また、年末年始のセキュリティ対策における懸念点・課題としては、「監視体制の人員不足(長期休暇中のシフト体制、専門知識を持つ要員の確保など)」(35.0%)、「取引先・委託先のセキュリティレベルが不明であり、リスクを把握できない」(31.8%)、「緊急時の社内連絡・対応体制が複雑化・機能不全に陥る可能性」(31.8%)が上位に挙がりました。自社内のリソース不足に加え、サプライチェーン全体のセキュリティ状況を把握できていないことが、企業の大きな不安要因となっていることが分かります。
[画像3:
https://prcdn.freetls.fastly.net/release_image/34075/757/34075-757-7e90becd5128c428c6fc5adc62307157-3900x2194.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
3. サプライチェーンリスクへの対策が課題--取引先連絡体制の強化は2割のみ
年末年始に向けて通常時より強化している対策としては、「従業員への注意喚起」(50%)が最も多く、次いで「社内ネットワークへの機器接続ルールの確認と遵守」(44.8%)、「監視体制の強化」(44.2%)が続きます。
しかし、サプライチェーンリスクへの備えとなる「取引先への緊急連絡体制の確認」を強化している企業は19.2%にとどまり、サプライチェーン全体を意識したリスク対応がまだ不十分であることが示唆されます。
[画像4:
https://prcdn.freetls.fastly.net/release_image/34075/757/34075-757-cf87b2cffd0912e3ec4043880cdfdba6-3900x2194.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
4. 休暇明けも要警戒--約4割がPC再起動とメール確認に注意
対策が必要なのは休暇期間だけではありません。長期休暇明けを狙う攻撃リスクにも注意が必要です。休暇明けの対策として最も注意している・懸念している点として、「PCやサーバーなど、停止していた機器の再起動・パッチ適用状況の確認」(42.2%)、「長期休暇中に受信した大量のメール(標的型攻撃メール含む)の確認」(39.6%)が上位に挙げられ、業務再開時の潜在的なリスクにも高い警戒が必要であることが分かりました。
[画像5:
https://prcdn.freetls.fastly.net/release_image/34075/757/34075-757-7b29c0885582fbc0b47f53202c6ab872-3900x2194.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
[画像6:
https://prcdn.freetls.fastly.net/release_image/34075/757/34075-757-33394a275deb45e079347d615ad46e24-1600x1600.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
<専門家コメント>
株式会社アシュアード Assured事業部 セキュリティエキスパート
公認情報システム監査人(CISA) システム監査技術者 真藤 直観年末年始は、人手が薄くなる状況を狙ったサイバー攻撃の「集中期間」です。特にランサムウェア攻撃やフィッシング詐欺が長期休暇を狙って増加・巧妙化するリスクが今回の調査で明確になりました。
年末年始の対策として以下の対策を講じることが重要です。
・従業員への注意喚起の徹底(特にフィッシングメール対策)
・監視体制の確保
・取引先との緊急連絡体制の事前確認
・休暇明けの機器再起動・パッチ適用の計画策定
また、自社だけでなく、取引先を含めたサプライチェーン全体のセキュリティ体制や有事の際のインパクトを想定・確認することが、年末年始のリスクを最小化する鍵となります。
財務面での「信用評価」と同様に、セキュリティにおいても取引先の「信用評価」を行うことが重要です。セキュリティの信用評価プラットフォーム「Assured」は、今後も社会全体のセキュリティ強化に貢献できるよう、引き続きサービス向上に努めてまいります。
《調査概要》
年末年始の長期休暇期間におけるセキュリティ対策の実態に関する調査
● 調査主体: セキュリティの信用評価プラットフォーム「Assured」
● 調査対象: 全国、従業員数1,000名以上の企業に勤める情報システム・セキュリティ担当者
● 有効回答数: 500名
● 調査時期: 2025年11月
● 調査手法: インターネットリサーチ(調査協力:株式会社クロス・マーケティング)
※構成比は小数点第二位を四捨五入しているため、合計が100%にならない場合があります
【セキュリティの信用評価プラットフォーム「Assured(アシュアード)」について】
「Assured」は、セキュリティの信用評価を行い、その評価情報を共有管理するプラットフォームです。企業セキュリティの新たな評価方式を確立することで、すべての企業を調査作業から解放し、業界全体の透明化を目指します。また、客観的な評価指標により、企業の信頼保証としての活用や、評価に基づく自律的な改善が促されるなど、社会全体のセキュリティ強化に貢献します。
URL:
https://assured.jp/
X:
https://twitter.com/AssuredJP
【株式会社アシュアードについて】
「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory(ヤモリー)」、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。
URL:
https://assured.inc
【株式会社アシュアード 採用情報】
「信頼で、未知を拓く。」
デジタル化が進む社会において、「信頼」を巡る課題を解決するアシュアード。
ともに未来をつくる仲間を募集しています。
[Assured採用情報]
https://assured.inc/careers/assured
[yamory採用情報]
https://assured.inc/careers/yamory
[動画:
https://www.youtube.com/watch?v=qCijGjsXgsk ]
プレスリリース提供:PR TIMES
記事提供:PRTimes
