ブログ|NRIセキュア

関西企業が直面するリスクと、今取り組むべきサイバーセキュリティ施策

作成者: 告野 信輔|2025/12/05

関西を拠点に多くの企業のセキュリティ対策のご支援しており、日々の活動の中で、「関西の企業は実際にどのような考えを持ち、どんな対策を進めているのか」といったご質問をいただく機会が数多くあります。

 

本記事では、先日NRIセキュアが開催したセミナー「Kansai Security Update 2025」の内容を基に、関西地域の企業が直面する特有のリスクと、それに対して実践されている効果的なセキュリティ施策を解説します。皆様の今後のセキュリティ戦略を考える上での一助となれば幸いです。

データで見るサイバー脅威の現状:もはや対岸の火事ではない経営リスク

サイバーセキュリティの経営課題化

もはや言うまでもありませんが、サイバー攻撃は事業継続を脅かす重大な経営リスクとして完全に定着しています。この点は、関西でも首都圏でも変わりありません。

 

経済産業省が策定した「サイバーセキュリティ経営ガイドライン」においても、経営層が主体的に取り組むべき課題として、以下の「3原則」が示されています。

  • 原則1:経営層のリスク認識とリーダーシップ 経営者自らがサイバーセキュリティリスクを認識し、リーダーシップを発揮して対策を推進することが求められます。
  • 原則2:サプライチェーンや委託先を含めた対策 自社だけでなく、グループ会社や取引先、ITシステムの管理委託先など、サプライチェーン全体を視野に入れた対策が必要です。
  • 原則3:平時/緊急時の適切なコミュニケーション 平時からセキュリティに関する情報開示を行い、インシデント発生時には関係者と適切にコミュニケーションを取ることが重要です。

被害額の甚大化

特にランサムウェアによる被害は深刻化しています。データによると、被害に遭った企業の半数が、調査や復旧に1,000万円以上の費用を要しています。これに加えて、事業停止による機会損失を含めると、その被害額は計り知れないものとなります。

 

さらに、ある調査では約6割の企業が直近1年で何らかのインシデントを経験しているというデータもあり、サイバー攻撃は、もはや単なるITの問題ではなく、企業の存続を左右する経営リスクそのものなのです。

関西の企業が直面する特有のリスク

関西圏の企業が直面するリスクは、単に首都圏と同じではありません。この地域特有の産業構造が、サイバー攻撃による「被害の規模」と「インシデントの顕在化率」を増大させる要因となっています。

サプライチェーンのハブ機能

関西圏には、大手製造業を頂点とするサプライチェーンが密集しています。これは地域の強みである一方、セキュリティ上の弱点にもなり得ます。IPAが発表する「情報セキュリティ10大脅威」でも常に上位にランクインする「サプライチェーンの弱点を悪用した攻撃」の格好の標的となりやすく、対策が手薄になりがちな取引先企業が攻撃の起点として狙われるケースが後を絶ちません。

OT環境リスク

工場の生産ラインを制御するOT(Operational Technology)システムや、長年稼働しているレガシーシステムも大きなリスク要因です。これらのシステムは長期稼働を前提に設計されているため、脆弱性が放置されがちです。IT環境との接続点を経由して侵入された場合、生産ラインの停止という事業に直結する深刻な事態を引き起こす可能性があります。

リソースの偏在

多くの関西圏の企業が「IT人材不足」や「セキュリティ投資予算の確保難」を課題として挙げています。この悩みは首都圏でも耳にしますが、「関西では東京以上の声を聞いています」というのが私の率直な実感です。こうした状況は、攻撃者側から見れば「対策の優先順位が低く、攻めやすいターゲット」と映ってしまい、攻撃を誘引する一因となっています。

関西の企業が実践する5つのセキュリティ対策アプローチ

こうしたリスクに対し、関西の企業はどのような考え方で対策を進めているのでしょうか。

対策の基本的な考え方

関西企業のアプローチは、大きく二つの傾向に分けられます。

  • 重要インフラ企業:「止められない」ため、出来る限りの防御対策を実施。 社会的な影響が極めて大きい企業では、インシデントを未然に防ぐための徹底した防御策に注力しています。
  • 製造業など:リスクベースでの「等身大」のアプローチを実施。 一方で多くの製造業などでは、すべてのリスクに完璧に対応するのではなく、自社の状況に合わせてリスクを評価し、現実的で効果の高い対策から着手する「等身大」のアプローチを取っています。

この「等身大」のアプローチの中で、特に多くの企業が取り組んでいる具体的な5つの施策をご紹介します。

①セキュリティ中期計画の策定:場当たり的対策からの脱却

場当たり的な対策から脱却し、戦略的にセキュリティレベルを向上させるため、「セキュリティ中期計画」を策定する企業が増えています。これは、自社の「リスクの可視化と現状把握」から始め、対策の優先順位を明確にすることで、限られたリソースを最も効果的な施策に集中させ、投資対効果を最大化することが目的です。

 

加えて、万が一インシデントが発生した際に「外部から『きちんとセキュリティ対策をしていたのですか?』と問われた時に、計画に基づき実行していた」と説明責任を果たす上でも、この中期計画は不可欠なものとなりつつあります。

 

検討は、以下のようなステップで進められることが一般的です。

  • Step 1: 現状把握と方向性整理 現状の対策状況や外部からの要求事項を確認し、自社のセキュリティレベルを客観的に分析します。
  • Step 2: 要求水準検討 分析結果に基づき、自社およびグループ会社が目指すべきセキュリティレベル(要求水準)を定めます。
  • Step 3: セキュリティ中計素案作成 要求水準を達成するための具体的な施策を整理し、3〜5年のロードマップとして中期計画の素案を作成します。
【検討の進め方(一例)】

②必須対策の徹底と推奨対策の導入:現実的で効果の高い防御

最近のインシデント傾向を踏まえ、多くの攻撃を防ぐ効果が実証されている基本的な対策を、グループ会社も含めて徹底することが極めて重要です。

 

特に優先して実施すべき「必須対策」として、以下の3点が挙げられます。

  • 多要素認証(MFA)の導入 ID/パスワードの侵害に起因する攻撃の99.9%を阻止する効果があると報告されており、VPNやクラウドサービスへの導入が急務です。
  • 脆弱性管理(パッチ適用)の徹底 「すべての脆弱性にパッチを当てろ」という指示だけでは、現場は動きません。そもそもの脆弱性の危険度に加えて、システムの構成情報(インターネットからのアクセス可否)や攻撃の有用性、業務への影響度といった観点で分析を行い、対応の要否や優先度を明確に判断できる洗練されたプロセスを確立することが重要です。これにより、リソースを真に危険な脆弱性に集中させることができます。
  • バックアップの徹底 ランサムウェア攻撃に対する最後の砦です。特に、攻撃者による改ざんや削除が不可能な「イミュータブルバックアップ」の導入が有効です。

 

 

これらの基本的な対策が完了した企業では、次のステップとして「内部不正(情報持ち出し)への対策」や、自社の公開資産の攻撃対象領域を管理する「ASM(Attack Surface Management)」への関心が高まっています。

③サイバーBCP策定と訓練:事業継続のための回復力強化

「100%の防御」は非現実的です。今や「侵入されること」を前提とし、被害を最小限に抑え、迅速に事業を復旧させる「サイバーレジリエンス(回復力)」の向上が不可欠です。

 

多くの企業では既に自然災害等を対象としたBCP(事業継続計画)を策定済みですが、サイバー攻撃への対応はCSIRTが中心となり、既存のBCPとは分断されがちです。重要なのは、この両者を「連結させること」「システムの復旧見込み」という情報が、経営層が事業継続戦略(代替生産の開始、サプライヤーへの連絡等)を決定するための重要なインプットとなる、という情報連携の仕組みを平時から定義し、訓練しておくことが肝要です。

④継続的改善のためのセキュリティ点検:自己点検の限界を超える

特にガバナンスの徹底が難しい海外拠点などに対し、自己点検やヒアリング調査だけでは実態を正確に把握できないという課題認識が広がっています。そのため、「実機の設定値を直接評価する点検」へと舵を切る企業が増えています。

 

このアプローチは、現地訪問が難しい場合でも、例えば本社が用意したマニュアルに基づき現地担当者に設定ファイル(コンフィグ)をエクスポートしてもらい、それを専門家がリモートで分析するといった、現実的かつ効果的な手法で実施可能です。

このアプローチには、以下のような特徴があります。
  • 現場実態の把握: 設定値の直接確認により、客観的で正確な評価が可能です。
  • ガバナンス強化: 本社が意図したポリシーが、拠点レベルまで浸透しているかを検証できます。
  • インシデント予防: 境界防御など、基本的な対策が有効に機能しているかを確認できます。

⑤サプライチェーンセキュリティの強化:2026年に向けた準備

2026年下期には、経済産業省による「サプライチェーン強化に向けたセキュリティ対策評価制度」の一部運用が開始予定です。これは、取引条件として参照される可能性があり、今から準備を進める必要があります。

  • 発注者として取り組むべきこと 自社の委託先をリスクに応じて分類し、それぞれにどのレベルのセキュリティ対策を求めるかを検討する必要があります。
  • 受注者として取り組むべきこと 自社の事業特性を踏まえ、どの評価段階を目指すべきかを見極め、そこに至るまでのギャップを埋めるための対策を計画的に進める必要があります。

まとめ:戦略的・計画的なセキュリティ投資へ

本記事の要点を改めて整理します。

  • サイバーリスクは、事業継続に直結する経営課題です。
  • 短期的には、MFA導入などの必須対策をグループ全体で着実に実行することが不可欠です。
  • 一定の対策が完了している企業は、サイバーレジリエンス強化サプライチェーンセキュリティといった、より高度なテーマに着手すべき段階にあります。
  • そして何よりも、場当たり的な対応を脱し、今後を見据えた「セキュリティ中期計画」を策定し、戦略的・計画的に投資する視点が不可欠です。

皆様の事業戦略と連動した計画的なセキュリティ対応は、もはや避けては通れない経営のアジェンダです。私たちNRIセキュアは、関西に根差す皆様のビジネスパートナーとして、こうした取り組みを力強く伴走支援いたします。

 

些細なことでも構いませんので、何かお困りのことがございましたらご連絡いただければ幸いです。個別テーマのご相談でも、ぜひお気軽にお声がけください。

 

 
完全な記事を表示