サイバーレジリエンスチェックリスト
セキュリティの基本対策を忠実に履行する
多要素認証、脆弱性の検知、パッチ適用、そして、すべてのエンドポイント、ネットワーク、クラウドリソースに対する脅威の監視と検知などの基本的なセキュリティ対策を実施することで、リスクを軽減してください。
リスク許容度に合わせて投資を最適化する
ビジネスへの影響の可能性を含め、関連するリスクを正しく評価してください。組織のニーズや脅威プロファイルに合ったコントロールフレームワークを活用しましょう。
サイロ化したセキュリティ対策を避ける
すべての高度なセキュリティソリューションを統合し、連携させるために設計された XDR のようなソリューションの導入を検討してください。これにより、組織は大規模かつ効果的に脅威を検知して対応することが可能になります。
人材戦略を最適化し、外部パートナーとの協働でリソースギャップを解消する
組織全体の人材リソースを丁寧に評価し、エンタープライズリスクを包括的に見直しましょう。MDR サービスを提供するベンダーと連携すれば、ハイブリッドまたはフルマネージド SOC の構築を検討して、自社チームの補完および強化を図ることができます。
正式なインシデント対応計画を策定し訓練する
インシデント発生時の対応方針を明確にし、包括的な対応計画を構築してください。また、机上演習を通じて計画の有効性を検証し、実際にインシデントが発生した時に迅速に対応できる準備を整えておくことが重要です。
サイバー保険会社との連携を図る
自社のセキュリティ戦略が保険要件を満たしていることを確認し、希望するインシデント対応ベンダーを保険契約に明記しておきましょう。これにより、インシデント発生時に適切な補償を受けるための体制が整います。
ソフォスが 60 万社以上の組織の業務をどのように保護しているかについて詳しくは、sophos.com をご覧ください。
サイバーレジリエンスを向上し、リスクを軽減する。
すべての経営幹部が知っておくべき、サイバーセキュリティに関する重要な事実、動向、予測を正しく把握し、組織をサイバーリスクから適切に守るための戦略に役立ててください。
データ侵害のコスト
Cybersecurity Ventures によると、2025 年末までにサイバー犯罪による世界的な被害額は 1.2兆 ドルに達すると予測されています。1また、IBM の調査によれば、2024 年のデータ侵害 1 件にかかる世界の平均コストは 4.8 百万米ドルに達しており、今後さらに増加すると見込まれています。2
ランサムウェア
ランサムウェアは、依然として企業が直面する主要なサイバー脅威です。2024 年の「ソフォスアクティブアドバーサリーレポート」によると、ランサムウェア攻撃における滞留時間の中央値は 48 時間未満であり、これは年々に短縮している傾向にあります。3 サイバー犯罪者は、必要なものだけをすばやく盗み取り、見つかる前にすぐに撤退するショーウィンドウ破りのような手口へと移行しています。
ビジネスメール詐欺 (BEC)
ビジネスメール詐欺 (BEC) の被害件数は 2025 年も引き続き増加すると予想されており、2013 年 10 月以降の累計被害額は 550 億米ドルに達すると見込まれています。4 BEC の攻撃者は、セキュリティ対策を回避して、ユーザーを欺くための手口を進化させ続けており、QR コードを使ったフィッシングや音声を利用したフィッシング (「ビッシング」) などの新たな手法の活用が今後増えることも予想されています。
サイバーセキュリティ開示規制
2023 年 12 月、米国証券取引委員会 (SEC) は新たなサイバーセキュリティ開示規則を施行し、「重大な影響」を及ぼすサイバーインシデントが発生した場合、4 営業日以内に開示することを上場企業に対して義務付けました。この規則は米国上場企業に適用されますが、サイバーインシデントに関する規制強化と開示義務の拡大という、世界的な動向を反映しています。世界中の組織は、自国における開示要件の変化を常に把握し、インシデント対応計画に組み込む必要があります。また、ランサムウェアグループなどのサイバー攻撃者が、こうした規制を悪用して恐喝に利用する恐れがある点にも注意を払うべきです。
地政学的リスク
2024 年は、世界人口のほぼ半数が投票を行った歴史的な選挙の年となりましたが、2025 年後半にかけても地政学的緊張が世界的に続いており、サイバー脅威環境にも影響を与え続けています。国家の支援を受けているサイバー攻撃グループの活動の影響は依然として活発であり、警戒を怠らないことが極めて重要となっています。組織は、タイムリーかつ豊富なコンテキストを備えた脅威インテリジェンスを活用し、絶えず変化するリスク環境を正確に把握するとともに、適切な対策を講じる必要があります。
AI (人工知能)
AI は、組織のセキュリティ対策を大幅に強化する可能性を秘めていますが、サイバー攻撃者が悪用するときには大きなリスクにもなります。組織は、AIによって生成されるディープフェイクの拡散に対応できるようチームを教育するとともに、サイバー犯罪者が大規模言語モデル (LLM) を活用してフィッシング手口や詐欺の手口を巧妙化させている実態を把握し、これらの知見を社内外のフォーラムなどで共有することが重要です。
1) Cyber Defense Magazine: The True Cost of Cybercrime: Why Global Damages Could Reach $1.2-$1.5 Trillion by End of Year 2025�2) IBM: Cost of a Data Breach Report 2024�3) Sophos Active Adversary Report 2025�4) FBI Public Service Announcement (September, 2024)
Get the security
basics right
Reduce risk by implementing foundational security controls such as multi-factor authentication, vulnerability detection, and patching, along with threat monitoring and detection for all endpoints, network, and cloud resources.
Get the security
basics right
Reduce risk by implementing foundational security controls such as multi-factor authentication, vulnerability detection, and patching, along with threat monitoring and detection for all endpoints, network, and cloud resources.
Get the security
basics right
Reduce risk by implementing foundational security controls such as multi-factor authentication, vulnerability detection, and patching, along with threat monitoring and detection for all endpoints, network, and cloud resources.
Get the security
basics right
Reduce risk by implementing foundational security controls such as multi-factor authentication, vulnerability detection, and patching, along with threat monitoring and detection for all endpoints, network, and cloud resources.
Get the security
basics right
Reduce risk by implementing foundational security controls such as multi-factor authentication, vulnerability detection, and patching, along with threat monitoring and detection for all endpoints, network, and cloud resources.