【事例で学ぶ】情報セキュリティリスクとは？実態とリスクの洗い出し方

企業が保有している情報資産は常に様々な情報セキュリティリスクに晒されています。
そのため情報セキュリティリスクへの対応は事業継続を行う上で必須です。
なぜなら、情報セキュリティリスクが顕在化すると情報漏洩やシステム停止を引き起こすだけではなく、金銭的な損失、顧客からの信頼低下、さらには事業継続そのものが危うくなる可能性があるからです。
例えば、サイバー攻撃によるデータの流出、メールの誤送信による情報流出などが挙げられます。
これらのリスクは情報資産の脅威と組織の脆弱性が組み合わさって引き起こされ甚大な被害を引き起こします。
したがって、情報セキュリティリスクに適切に対応するためには、まず自社の情報資産を正確に把握し、それがどのような脅威や脆弱性に晒されているのかを理解することが重要です。
本記事では、情報セキュリティリスクの概要から、実際に発生した具体的な事例、そしてリスクを効率的に洗い出すための「情報資産管理台帳」について詳しく解説していきます。

1.情報セキュリティリスクとは情報資産の脅威と脆弱性で生まれるリスク

情報セキュリティリスクとは、「脅威」と「脆弱性」が組み合わさることで顕在化します。
組織内部の脆弱な部分に脅威が侵入し様々な被害をもたらします。

⑴「脅威」とは情報資産へのリスクの要因となること

脅威とは、情報資産に被害を与える可能性がある要因を指します。
悪意の有無に関わらず、ヒューマンエラーなども脅威に該当します。
情報資産の脅威は以下の3つに分類されます。

• 意図的脅威：悪意のある第三者によって引き起こされるものです。
  例：サイバー攻撃、不正アクセス、マルウェア、内部不正など
• 偶発的脅威：ヒューマンエラーやうっかりミス
  例：メールの誤送信、情報資産が保有されている機器の紛失、セキュリティの設定ミスなど
• 環境的脅威：災害や異常気象によるもの
  例：自然災害（地震、津波、洪水、火災など）、停電やサーバーが管理されている場所の倒壊など

⑵「脆弱性」とはサイバーセキュリティ上の弱点のこと

「情報資産の脆弱性」とはサイバーセキュリティ上の弱点や欠陥を指します。
これらは脅威の「入口」となる可能性があります。
情報資産の脆弱性は主に以下の3つに分類されます。

• ソフトウェア、ハードウェアの脆弱性
  ソフトウェアアップデートの未実施、バグなど。
  不正アクセスやシステム障害等を引き起こす可能性（リスク）があります。
• 管理体制の不備
  不十分なアクセス管理、従業員の教育不足、情報セキュリティポリシーの欠如など組織内部の運用や管理における弱点を指します。
  ヒューマンエラーや内部の不正にも繋がる可能性（リスク）があります。
• 立地の脆弱性
  情報資産を管理する物理的な場所が、自然災害や社会的な情勢に弱い状態を指します。
  例えば、津波のリスクが高い沿岸部や、十分な耐震性が備わっていない建物にサーバーが設置されているような場合がこれに該当します。

また治安状態も立地の脆弱性に該当します。
例えば暴動、盗難や破壊などです。

2.情報セキュリティリスクの例

情報セキュリティリスクは脅威と脆弱性の組み合わせによって引き起こされます。
以下の表は脅威と脆弱性が組み合わさって引き起こされるリスクの例です。

	意図的脅威	偶発的脅威	環境的脅威
ソフトウェア・ハードウェアの脆弱性	・サイバー攻撃 ・内部不正　など	・システムのバグ ・操作ミスによる機密情報の漏洩など	・落雷（過電流）によるサーバーの物理的破損とシステム停止など
管理体制の不備	・内部不正による重要情報持ち出し ・退職者アカウントの放置による不正アクセス　など	・誤操作による顧客データ消失 ・メール誤送信による情報漏洩 など	・データバックアップをしていないため、災害時にデータ復旧ができない など
立地の脆弱性	・防犯設備等の不備により、悪意ある第三者がサーバー機器などを盗難・破壊する など	・カフェなどでのパソコン置き忘れによる情報漏洩	・地震、津波、火災などによる物理的な破損

それぞれの脅威と脆弱性の組み合わせによって引き起こされるリスクとその具体例を以下に解説します。

⑴意図的脅威×ソフトウェア・ハードウェアの脆弱性

• 意図的脅威：サイバー攻撃
• 脆弱性：ソフトウェア・ハードウェアの脆弱性
  例：システムのソフトウェアのアップデートが未実施のため、脆弱性が放置されており、そこを悪意のあるサイバー攻撃者が突き、不正アクセスに成功して重要データが流出した。

⑵偶発的脅威×管理体制の不備

• 偶発的脅威：メールの誤送信
• 脆弱性：管理体制の不備
  例：機密情報を記載したメールの確認を複数人で行わなかったため、宛先のミスが発覚し情報が漏洩した。

⑶環境的脅威×立地の脆弱性

• 環境的脅威：地震、津波
• 脆弱性： 津波のリスクが高い沿岸部に位置している、老朽化した建物にサーバーが設置されている
  例：地震が発生しその後の津波のよって、サーバーが物理的に損傷しシステムがダウンした

3.情報セキュリティリスクの実態

情報セキュリティリスクは、年々その脅威と脆弱性は増加しています。
この章では、公表されているデータに基づき、情報セキュリティリスクがどのように推移しているのかを具体的に解説します。

⑴脅威の推移

警察庁サイバー警察局が令和7年3月に発表した 「令和6年におけるサイバー空間をめぐる脅威の情勢等について 」によると、ランサムウェアなどのサイバー攻撃被害、サイバー犯罪の検挙件数が突出しているということが明らかになりました。

• ランサムウェア被害
  令和6年におけるランサムウェア（身代金要求型ウイルス）の被害報告件数は222件に上り、これは非常に高い水準で推移し続けています。令和3年の被害数は146件で約66%も増加しています。
  よって、多くの組織が、ランサムウェアの被害に対応しきれていないといえます。
  また高度化するサイバー攻撃のスピードに対策が追いつかないことで、年々被害数は増加していくでしょう。
• サイバー犯罪の検挙件数が過去最多に
  令和6年におけるサイバー犯罪の検挙件数は13,164件となり、これは過去10年間で最も多い数字を記録しました。このデータは、インターネット上での不正行為が日々増加し、その被害が拡大している状況がこの数字からも見て取れます。

⑵脆弱性の推移

株式会社アシュアードが運営する、脆弱性管理クラウド「yamory（ヤモリー）」が2024年12月に発表した「2024年脆弱性セキュリティレポート」によると、脆弱性の件数も同様に年々増加傾向にあります。

• 脆弱性件数の急増
  米国国立標準技術研究所（NIST）が運営する脆弱性データベースで公開されている脆弱性数は、2024年11月末時点で33,845件に達し、前年比で17％も増加しています。
• 深刻度の高い脆弱性の割合が約半数を占めている
  これらの脆弱性のうち、全体の48%が深刻度の高い脆弱性であると分類されています。
  これらの重大な脆弱性への対応は、組織にとって膨大な工数と専門知識が必要なため、企業にとっては大きな負担といえるでしょう。

⑶情報セキュリティリスクは年々高まっている

サイバー攻撃などの外部からの脅威が年々増加し、その入口となる脆弱性も増加していることから、情報セキュリティリスクは年々高まっているといえます。

深刻度の高い脆弱性が半数近くを占める現状では、高度化・巧妙化するサイバー攻撃などの脅威の格好の餌食となりやすくなり、攻撃を受けた場合の影響は極めて大きいです。
単にセキュリティソフトを導入するだけでは不十分で、管理体制の不備などの人的要因による脆弱性も大きなリスクとなり得ます。

情報セキュリティリスクは身近に潜むものとして、情報資産の管理を徹底しましょう。

情報セキュリティリスクの対策について、詳しくはこちらの記事で解説しています。

4.情報セキュリティリスクの被害事例

株式会社サイバーセキュリティクラウドが発表した「企業のセキュリティインシデントに関する調査レポート2024」によると、2024年には企業や団体で約3日に1回の割合でセキュリティインシデントが発生しているという結果になりました。
同レポートによれば、最もセキュリティインシデントが多かった業種は「製造業」で、全体の約4分の1を占めています。また、年間の個人情報漏洩件数約2,164万件の中で、最も個人情報漏洩が多かった業種は「卸・小売業」、次いで「製造業」でした。

この章では具体的な事例を交えながら解説します。

⑴積水ハウス株式会社

■被害内容
同社の住宅オーナー向け会員制サイト「積水ハウスNetオーナーズクラブ」において、過去のページのセキュリティ設定の不備を突かれ、サイバー攻撃により情報漏洩が発生したことを発表しました。

調査の結果、2008年〜2011年に使用されていたフォトギャラリーの運用停止ページに脆弱性があり、データベース操作言語を用いた攻撃により、以下の情報が漏洩したとのことです。お客様情報
108,331人分のメールアドレス、ログインID、パスワード（漏洩可能性を否定できない人数は464,053人）

従業員等情報
183,590人分の積水ハウスグループ従業員、協力会社スタッフのメールアドレスとパスワード（漏洩可能性を否定できない人数は72,194人）
参考：積水ハウス株式会社様

■対策
今回の事故は過去の運用停止ページに脆弱性があり、セキュリティ設定の不備を突かれたことが原因です。
サイトの運用停止をして終わりではなく、利用停止後もソフトウェアなどのアップデートを継続するか、完全に削除・閉鎖することが重要です。

⑵株式会社レゾナック・ホールディングス の事例

■被害内容
2025年5月20日未明に、当社および当社グループの一部サーバーに対する外部からの攻撃が確認され、その後、ランサムウェアの感染が確認されました。
これにより、当社および当社グループ内のシステムが一部使用できなくなり、業務にも停止等の影響が生じました。
当社グループや、お取引先様等関係先の個人情報の流出は確認されていないとのことです。

■対策
インシデント発覚後、外部専門家の協力を得て直ちに調査を開始し、緊急対策本部を立ち上げたという迅速な対応は、被害の拡大を食い止める上で重要な役割を果たしたといえます。
この迅速な対応のおかげで、5月23日公表時点での個人情報流出を防ぎ、事業活動の早期復旧へと繋がったと考えられます。
参考：株式会社レゾナック・ホールディングス様

⑶シャープ株式会社の事例

■被害内容
シャープ株式会社が運営する公式オンラインストア「COCORO STORE」および食材宅配サービス「ヘルシオデリ」において、不正アクセスが発生しました。

この攻撃は、2024年7月22日に「COCORO STORE」への改ざんが検知されたことで発覚し、サービス、カード決済が停止されました。
外部専門機関による詳細な調査により、以下の被害が判明しています。

クレジットカード情報を含む個人情報の流出可能性
2024年7月19日4時19分～2024年7月22日10時50分の期間に「COCORO STORE」でクレジットカード情報やその他の個人情報を入力し、かつ注文を確定した4,257人のお客様の情報が、第三者によって窃取されたプログラムが埋め込まれていたことにより、外部へ不正に転送された可能性があります。（カード名義人名、クレジットカード番号、有効期限、セキュリティコード、住所、氏名、電話番号、メールアドレス、パスワード）

個人情報（クレジットカード情報除く）の流出可能性
同期間に「COCORO STORE」で個人情報（クレジットカード情報を除く）を入力し、注文を確定した1,376人のお客様の情報が流出した可能性があります。（住所、氏名、電話番号、メールアドレス、パスワード）

一部注文情報の流出
2024年6月23日～6月30日の期間に「COCORO STORE」や「ヘルシオデリ」で注文したお客様の一部203人の注文情報（氏名、郵便番号、住所、電話番号、メールアドレス等）も流出が確認されています。

合計で5,836人のお客様の情報が流出した可能性があるとのことです。

参考：シャープ株式会社様

5.情報セキュリティリスクは「情報資産管理台帳」で洗い出す

情報セキュリティリスクを予測するためには、自社の情報資産が何か、情報資産がどこにあり、その情報資産の保管方法、重要度などを把握することが重要です。

情報資産管理台帳については以下から無料でダウンロードすることができます。
無料ダウンロードはこちら

⑴ 情報資産管理台帳とは自社の情報資産を一覧化したもの

情報資産管理台帳とは、情報資産を管理するための台帳であり、自社の情報資産を一覧化したものです。主にISMS（情報セキュリティマネジメントシステム）を運用する中で取り扱う全ての情報資産を洗い出し、一元管理するために利用されます。
これにより、組織は保有する情報資産の全体像を把握し、管理を効率化することができます。

⑵想定される脅威と脆弱性を洗い出す

情報資産管理台帳は、単に情報資産をリストアップするだけでなく、それに紐づく具体的な「脅威」「脆弱性」、そしてそれらが組み合わさることで発生する「リスク」を想定する上で重要なツールとなります。

情報資産の所在や重要度が明確になることで、「どのような情報が」「どこに」「どの程度の重要性で存在し」「誰がアクセスできるのか」などを具体的に把握できます。これにより、それぞれの情報資産がどのような脅威（例：サイバー攻撃、内部不正、災害）に晒されやすいか、そしてどのような脆弱性（例：ソフトウェアの古さ、管理体制の不備、立地の弱さ）を抱えているかを予測しやすくなります。

情報資産管理台帳について詳しくはこちらの記事で解説しています。

また効率的な情報セキュリティ管理についてはこちらの記事で解説しています。

まとめ

本記事では情報セキュリティリスクの基本的な概念から、具体的な脅威と脆弱性の組み合わせ、そして実際に発生したインシデント事例を通じて、その深刻な影響と対策の重要性について解説しました。

情報セキュリティリスクとは、組織の情報資産に対する「脅威」と、その情報資産が持つ「脆弱性」が組み合わさることで顕在化します。

「情報資産の脅威」は、情報資産に損害を与える可能性のある要因で、以下の3つに分けられます。

• 意図的脅威：サイバー攻撃や内部不正など、悪意を持った第三者によって引き起こされるものです。
• 偶発的脅威：メール誤送信や機器の紛失といった、ヒューマンエラーやうっかりミスによるものです。
• 環境的脅威：地震や津波、火災などの災害、あるいは異常気象といった、自然現象が原因となるものです。

一方、「情報資産の脆弱性」とは、サイバーセキュリティ上の弱点や欠陥を指し、これらが脅威の「入口」となってしまいます。主に以下の3つが挙げられます。

• ソフトウェア・ハードウェアの脆弱性：アップデートの未実施やプログラムのバグなど、
• システムそのものの弱点です。
  管理体制の不備：セキュリティポリシーの欠如、従業員への教育不足、アクセス権限の甘さなど、組織の運用面における弱点です。
• 立地の脆弱性：サーバーなどが災害リスクの高い場所にある、または暴動や盗難といった物理的なリスクが高い場所に設置されていることなどを指します。

これらの情報セキュリティリスクは、積水ハウス様、レゾナック様、シャープ様の事例のように、運用停止した過去のシステムであっても、脆弱性が残っていれば攻撃の標的となるなど、思わぬところからリスクは侵入します。

警察庁の報告によると、ランサムウェア被害は高水準で推移し、2024年のサイバー犯罪検挙件数は過去10年で最多の13,164件を記録しました。これは、企業のセキュリティ対策が高度化する攻撃に追いついていないと考えられます。

脆弱性も同様に増加傾向にあります。株式会社アシュアードが運営する、脆弱性管理クラウド「yamory（ヤモリー）」が公開した「2024年脆弱性セキュリティレポート」によれば、脆弱性数は昨年から17%増加し、33,845件に上ります。全体の48%が深刻度の高いものであり、企業にとって対応は大きな負担となることが懸念されています。

これらのデータから、「脅威」と「脆弱性」が、共に増加傾向にあることがわかります。
脆弱性が増えれば攻撃者にとっての「入口」が増え、それがさらなる脅威の拡大につながります。

このような状況の中で、まず自社の情報資産がどのようなリスクに晒されているのかを把握することが重要です。そのために役立つのが「情報資産管理台帳」です。

これを活用することで、自社の情報資産とそれに対しての脅威、脆弱性、リスクを想定し、適切な対策を実施する上で役立つツールとなるでしょう。

今一度自社の自社の情報資産がどのようなリスクに晒されているか把握しましょう。