2025年、日本国内の企業を標的にしたサイバー攻撃が相次ぎ、企業のサイバーセキュリティをめぐる課題が浮き彫りになった。2026年以降も、大企業だけでなく中小企業にも求められる対策などについて、専門家に聞いた。（経済部 後閑 駿一）

■アサヒ、アスクル…相次ぐサイバー攻撃でセキュリティ対策が

喫緊の課題に2025年、国内の大手企業を標的としたサイバー攻撃が相次いだ。

ビール大手のアサヒグループホールディングスでは9月下旬、企業のサーバなどに侵入して機密データを暗号化し、それを復元する見返りに金銭などを要求する「ランサムウェア」によるサイバー攻撃が確認され、受注や出荷などを含むシステムが停止、ビールなど一部製品の供給に大きな影響が出た。

約190万件規模の個人情報流出の恐れがあると公表されたが、アサヒ側はハッカー集団との接触はなく、また身代金の支払いもないとし、外部専門家を交えた原因究明と段階的な復旧を進めていて、復旧の見通しについては、2026年2月までに物流全体の正常化を目指すとしている。

一方、ネット通販大手のアスクルでは10月にランサムウェアによる攻撃が発覚したが、システムへの侵入自体は数か月前とみられ、長期間の潜伏後に攻撃が開始され、業務・物流システムが停止した。

注文や出荷が一時中断し、顧客情報を含むデータ流出も確認されている。アスクルは被害を受けたシステムを復旧させるのではなく、セキュリティ対策を施したシステムを新たに構築し、監視体制の強化など再発防止策を進めている。この2つの事案は、日本企業にとって、サイバーセキュリティ対策が喫緊の経営課題であることを突き付けた形だ。

■金融業界などもサイバーセキュリティ対策に乗り出す

日本企業もこのような形でサイバー攻撃の標的にされる事態に手をこまねいている訳ではない。

一例として、三井住友フィナンシャルグループなど4社は、2025年2月に中堅・中小企業向けのサイバー対策支援会社「SMBCサイバーフロント」を設立し、専門家によるコンサルティングや継続的支援を提供する体制を整えた。

また、GMOインターネットグループはサイバーセキュリティ事業を強化し、グループ各社で総合的なサービス提供を進めるほか、金融業界などと共同で2026年1月に新たな合弁会社を立ち上げ、企業向けのセキュリティ支援を開始する予定だ。こうした動きは国内で増加するサイバー攻撃への備えを強化する企業側の危機感の高まりを反映していると言える。

■専門家は「中小企業こそ対策が必要」と指摘

巧妙化するサイバー攻撃に対して、日本の企業は、どんな対策を講じるべきなのか。

サイバーセキュリティやサイバー犯罪対策の専門家である神戸大学の森井昌克名誉教授は、「中小企業では『自分たちは狙われないだろう』というサイバーセキュリティへの意識の低さが課題だ」と指摘した上で、日本企業のサイバーセキュリティ対策について「中小企業こそ重要だ」と警鐘を鳴らす。

その背景には、攻撃者は特定の企業を狙い撃ちするのではなく、ぜい弱な組織を広く探し出し、侵入可能なところから次々と攻撃していくケースが多いのだという。

森井名誉教授は、「中小企業であっても被害に遭う可能性があると認識し、当事者意識を持つことが不可欠である」と話す。

特に「中小企業の場合、身代金目的ではなく、気付かれない形で情報を窃取するケースが多い」とした上で、「被害は自社だけにとどまらず、取引先などサプライチェーン全体へ波及する恐れがある」と指摘。実際に、アスクルの事例でも業務委託先に対して付与されていたアカウントのIDやパスワードが漏えいして不正利用されたことが確認されていて、個別の企業のみが対策をしてもサイバー攻撃を防げないという事態になっている。

また、攻撃によっては、侵入から発覚まで長時間気づかれずに潜伏するケースもあり、アスクルの事案でも発覚まで数か月を要していて、森井名誉教授によると、気づかれないまま1年以上潜伏する例も珍しくないという。

■専門家「サイバー攻撃対策の訓練でも意識改革が必要」

そんな中で、企業に求められる対策はどんなものなのだろうか。

森井名誉教授は、「対策で大事なのは特別なことではなく、基本の徹底が重要だ」として、「適切に実施すれば99.9％の攻撃は防げる」と話す。具体的には、「ウイルス対策ソフトも導入するだけでなく、期限切れや警告の見落としがないよう運用を確認すべきだ」と強調。

また、大手企業で行われているメールなどによるサイバー攻撃に関する訓練についても「『怪しいメールを開かない』という形ではなく、『誰かが必ずメールを開いてしまう』という前提で、その場合でも被害拡大を防ぐための訓練が本来必要だ」として、企業側のサイバー攻撃に対する訓練に向けた意識改革の必要性も強調した。2026年もサイバー攻撃が相次ぐ可能性が指摘されていて、各企業は、対策に向けた意識改革とともに、より実践的な訓練などが求められそうだ。