MS＆ADサイバーリスクファインダーの診断結果から見えてきた、地域別・従業員規模別のリスク傾向

公開日:2025年4月25日

サイバーリスク

ニュースでサイバー攻撃の被害が報じられるたびに、「自分の会社は大丈夫だろうか？」と不安に感じながらも、「狙われるのは都心の大企業だけだろう」と見て見ぬふりをしていませんか？

ハッカーの攻撃対象は、世界中の誰もが知っている大企業や著名な団体に限られているわけではありません。実際には、セキュリティ対策が不十分で攻撃しやすいシステムを持つ組織が狙われる傾向があります。ハッカーはターゲットを選定する際に、特定の地域や企業規模を調べることなく、専用のツールを使って自動的に選別を行います。そのため、「自社は田舎の中小企業で、外国人には知られていないからサイバー攻撃の対象にはならないだろう」といった安易な考え方は非常に危険です。

ハッカーにとって重要なのは、企業の知名度や地理的な情報ではなく、セキュリティ対策がどれだけ甘く、システムがどれほど脆弱であるかという点です。彼らは攻撃の成功率を高めるために脆弱性を持つシステムを探し出しその弱点を突く形で攻撃を仕掛けてくるため、企業規模や業種にかかわらず、セキュリティ対策を怠ることは重大なリスクを伴います。

現代のデジタル社会において、どの企業もサイバー攻撃の潜在的なターゲットであることを認識し、適切なセキュリティ対策を講じることが不可欠です。
とはいえ、「本当に規模や所在地は関係ないのか？」と疑問を抱いている方も多いのではないでしょうか。

本ニュースでは、三井住友海上のASM（Attack Surface Management）ツール、MS&ADサイバーリスクファインダーによる約2,000件の診断実績から得られたデータをもとに、これらの疑問に答えるために分析を行いましたので概要について解説します。

地域別にみる！サイバーリスクの実態とハッカーの標的選び

はじめに、診断を受けた事業者を地域別に8つに分類し、地域ごとの傾向を分析しました。

「図1：各地域のリスクスコア分布」からは、北海道、関東、九州が他の地域と比較して高リスクの事業者割合が多いことがわかります。北海道と九州では、都心に比べて企業や求人数が少ないため、ITやセキュリティの専門性を持つ人材の就職先が限られており、その結果、専門人材が集まりにくくなっていることが原因ではないかと考えられます。

一方、関東では、北海道や九州とは異なり、専門人材の数自体は豊富ですが、事業者の数も非常に多いため、専門人材の雇用が追いついていない可能性があると考えられます。

MS&ADサイバーリスクファインダーの診断実績からリスクの高い地域を可視化することができましたが、北海道、関東、九州以外の地域が安全というわけではありません。相対的なリスクは低いものの国際的なイベント等があればハッカーに狙われる可能性があります。

過去にはオリンピックや国際会議にあわせて大規模なサイバー攻撃が確認されており、2025年4月には大阪・関西万博が始まったことから、大阪を中心にスポンサー企業・団体等が狙われるかもしれません。

図1：各地域のリスクスコア分布（※四国は診断事業者数が少ないため参考値。）

ASMの概要や必要性、脆弱性診断との違いや活用メリット等について解説しています。

企業規模とサイバーリスク：大企業と中小企業が抱える異なる脅威

次に、大企業と中小企業が直面している脅威の違いについて考察します。

「図2：従業員規模別リスク区分の割合」では、従業員規模別にリスクスコアの傾向を分析しました。従業員数が1,000名を超える大企業では、高リスクである「High」の割合が高くなっています。これは、企業が大きくなるほど保有するシステム数が増えるため、高リスクと判定される企業が多くなる傾向があるからです。

しかし、従業員規模が10,000名以上の企業では、逆に高リスクと判定される企業の割合が下がります。これは、規模が大きくなるほど割り当てられる予算や要員が増加し、セキュリティ対策が強化されるためだと考えられます。

一方、規模が小さくなるほど保有するシステムが少なくなるため、高リスクと判定される企業は少なくなる傾向があります。しかし、従業員規模が301～500名の中小企業では、高リスクと判定される割合が比較的多いことがわかります。

これは、さまざまなシステムを活用してビジネスを行っている一方で、予算や人材が限られており、十分なセキュリティ対策ができていない企業が多いことを示唆しています。このような企業はハッカーにとって狙いやすいターゲットであり、特に注意が必要です。

図2：従業員規模別リスク区分の割合

【分析元データ】
MS&ADサイバーリスクファインダー自社診断サービスにて2023年4月～2024年12月に診断した約2,000件の診断結果を匿名加工

【関連記事】

サイバー攻撃の種類25選！被害事例と対策を詳しく解説

サイバー攻撃の主な種類と対策について詳しく解説しています。

まとめ

今回の考察結果から、地方の中小企業であっても決して安全ではないという現実が浮き彫りになりました。これまでの多くの事例からも、サイバー攻撃は特定の地域や規模の企業だけを狙うものではなく、あらゆる企業が潜在的なターゲットとなり得ることが明らかです。特に、中小企業は大企業に比べてセキュリティ対策が手薄な場合が多く、狙われやすいという指摘もあります。

サイバーセキュリティは専門的な領域であり、技術的な知識が求められるため、「何をすれば良いのか分からない」「どこまで費用をかけるべきか分からない」といったイメージを持つ方も少なくないでしょう。

しかし、まずは基本的なセキュリティ対策を講じることから始めることが重要です。例えば、従業員に対するセキュリティ意識の向上を図るためのトレーニングを実施したり、基本的なファイアウォールやウイルス対策ソフトの導入といった初歩的な対策でも、リスクを軽減することが可能です。

また、中小企業にとっては、限られた予算の中で最大限の効果を発揮するセキュリティ戦略を立てることが求められます。コストを抑えるために、自社の業種や業態に合ったセキュリティ製品やサービスを選ぶことも重要です。さらに、地域の商工会議所や業界団体等が提供するセミナーやワークショップに参加し、最新のサイバーセキュリティ情報を得ることも有効です。

最終的には、サイバーセキュリティを単なるコストと捉えるのではなく、事業継続を支える重要な投資と認識することが大切です。この意識の転換が、企業の安全を守る第一歩となります。サイバー攻撃の脅威が増す現代において、すべての企業が適切な対策を講じることが、健全なビジネス環境を維持するための鍵となるはずです。