【ITニュース解説】2025年上半期のセキュリティインシデントは過去最多の1027件──デジタルアーツが調査

デジタルアーツが2025年上半期（1月から6月）の国内組織におけるセキュリティインシデントに関する調査結果を発表した。この調査によると、この期間に確認されたセキュリティインシデントは1027件に達し、過去最多を記録したという。システムエンジニアを目指す皆さんにとって、この数字は単なる統計以上の意味を持つ。ITシステムが社会のあらゆる分野に深く浸透している現代において、情報システムを構築し、運用するエンジニアにとって、セキュリティ対策は最優先で考慮すべき事項の一つとなっている。今回の調査結果は、その重要性を改めて浮き彫りにするものと言えるだろう。

まず、「セキュリティインシデント」とは何かを理解する必要がある。これは、コンピュータシステムやネットワーク、データに対して、意図しない、または悪意のある出来事が起こり、情報漏洩、システム停止、データの改ざんや破壊など、セキュリティ上の問題が発生することの総称だ。例えば、企業が保有する顧客の個人情報が、不正アクセスによって外部に流出したり、システムの重要なファイルがウイルスに感染し、正常な業務が停止してしまったり、あるいは、悪質なランサムウェア攻撃によって企業の全データが暗号化され、復旧のために莫大な身代金を要求されるといった事態が、典型的なセキュリティインシデントに該当する。これらの出来事は、被害を受けた組織の事業継続を脅かし、経済的な損失はもちろん、社会的な信用失墜という深刻な打撃を与える可能性がある。

今回の調査は、デジタルアーツが独自に集計したものだ。対象としたのは、国内の組織が公開した報告書や、マスメディアが報じたニュース記事で確認された情報である。つまり、実際に公になった情報だけを集計したものであり、公表されていないインシデントを含めれば、実際の件数はさらに多い可能性も十分に考えられる。被害を受けた企業は、情報漏洩などのインシデントが発生した場合、多くの場合、個人情報保護法などの法令に基づいて公表義務を負うか、社会的な責任として公表せざるを得ない状況に追い込まれる。その結果が1027件という数字として表れたわけであり、この数値が過去最多を更新したという事実は、日本の組織を取り巻くサイバーセキュリティの現状の厳しさを物語っている。

では、なぜこれほどまでにセキュリティインシデントが増加しているのだろうか。その背景には、社会全体のデジタル化の加速が大きく関わっている。近年、デジタルトランスフォーメーション（DX）という言葉に代表されるように、企業活動のあらゆる側面でITシステムの導入が進んでいる。クラウドサービスの利用拡大、リモートワークの普及とそれに伴う社外からのネットワーク接続増加、IoTデバイスの活用など、インターネットに接続される機器やシステムは爆発的に増加した。これは、企業活動の効率化や利便性の向上をもたらす一方で、サイバー攻撃の標的となる範囲を広げ、攻撃を受ける機会を増やす結果となっている。

また、サイバー攻撃の手法が日々高度化し、巧妙になっている点も無視できない。従来のウイルス対策だけでは防ぎきれない、新しいタイプのマルウェアや、人間心理を巧みに利用したフィッシング詐欺、取引先企業を踏み台にして本来の標的を攻撃するサプライチェーン攻撃など、攻撃者は常に新たな手口を開発し続けている。システムやネットワークの脆弱性を狙うだけでなく、人のミスや不注意を誘うソーシャルエンジニアリングも頻繁に利用され、複雑なセキュリティ対策をすり抜けるケースが増えているのだ。組織規模を問わず、あらゆる企業が攻撃の対象となり得る現代において、特定の業種や企業だけがセキュリティリスクに晒されるわけではない。

このような状況下で、システムエンジニアが果たすべき役割は非常に大きい。システムを設計、開発、運用するあらゆる段階において、セキュリティの観点を持つことが必須となる。例えば、要件定義の段階でどのような情報資産を保護すべきか、どのようなリスクが存在するかを洗い出し、設計段階でそれらのリスクを軽減するための仕組みを組み込む必要がある。開発段階では、安全なコーディング規約に従い、脆弱性を含んだコードを書かないよう細心の注意を払う。そして、システムが稼働した後も、定期的なセキュリティパッチの適用、異常を検知するための監視体制の構築、インシデント発生時の迅速な対応計画の策定と訓練など、継続的な運用管理が求められる。

もしセキュリティインシデントが発生した場合、その影響は計り知れない。企業や組織にとっては、顧客情報の漏洩による信頼の失墜、サービスの停止によるビジネス機会の損失、復旧にかかる莫大なコスト、さらには監督官庁からの行政指導や、法的責任を問われる可能性もある。個人の情報が漏洩すれば、詐欺や悪用に使われるリスクも高まる。これらは、単に「システムがダウンした」というレベルの話ではなく、企業の存続そのものを脅かすほどの重大な問題に発展する可能性があるのだ。

システムエンジニアを目指す皆さんにとって、セキュリティの知識はもはや専門分野の一つではなく、IT業界で働く上での「共通言語」として身につけておくべき基礎知識だと言える。セキュリティの専門家であるセキュリティエンジニアはもちろんのこと、アプリケーション開発エンジニア、インフラエンジニア、クラウドエンジニアなど、どのような分野に進むにしても、自分が関わるシステムが常に安全であるかを考え、設計し、実装し、運用する責任がある。例えば、あるWebサービスを開発する場合、入力フォームからのSQLインジェクション攻撃を防ぐための対策や、個人情報を扱うデータベースへのアクセス制御、通信経路の暗号化など、多岐にわたるセキュリティ要件を考慮しなければならない。これらの対策が不十分であれば、どれだけ素晴らしい機能を持つサービスであっても、ひとたびセキュリティインシデントが発生すれば、その価値は失われ、利用者からの信頼も失ってしまう。

この調査結果は、セキュリティ対策が一時的なものではなく、常に変化し続ける脅威に対応するための継続的な努力が必要であることを示唆している。システム開発や運用に携わる者が、常に最新の脅威動向を把握し、それに対する適切な対策を講じ続けることが、デジタル社会の安全を守る上で不可欠だ。皆さんが将来システムエンジニアとして活躍する際には、単にシステムを動かすだけでなく、そのシステムが安全に、そして安心して利用できるものであるよう、セキュリティに対する高い意識を持って業務に取り組んでほしい。今日のデジタル社会では、セキュリティはビジネスの根幹を支える要素であり、それを守るエンジニアの役割は計り知れない。今回のデジタルアーツの調査報告は、その重要性を改めて私たちに教えてくれている。