「サイバー攻撃対策をやるように言われたけど、何から始めればいいかわからない」
そんな方に向けて、この記事ではサイバー攻撃の種類・企業が受ける被害・具体的な対策を解説します。
後半にはサイバー攻撃対策の中でも特に、Webサイトなどインターネットの公開された環境への対策として有効な「WAF(Web Application Firewall:ワフ)」について言及します。まず何をすべきかの判断材料としてご活用ください。
サイバー攻撃対策とは?企業が実施すべき対策方法と主な攻撃の種類を解説
サイバー攻撃の現状──1秒に64回、攻撃は止まらない
実は、インターネットにつながっている限り、Webサイトへの攻撃は行われています。
実際、弊社のプロダクト(WAF関連プロダクト)を導入している国内のWebサイトで、2025年に検知されたサイバー攻撃の総数は約20.2億件。1秒あたり約64回の攻撃が発生している計算です(※)。さらに1ホストあたりの攻撃数は前年比約182%と急増しており、「うちは小さい会社だから大丈夫」は通じない時代になっています。
攻撃が増えている背景には、以下のような環境変化があります。
- クラウドやリモートワークの普及で、外部からアクセスする「入口」が増えた
- AIの発達でサイバー攻撃の難易度が低下し、専門知識がなくても攻撃できるようになった
- ボット(Bot)を利用した攻撃が主流となり、特定の業種や企業規模などにかかわらず、広範囲を対象とした攻撃が行われるようになった
- 取引先を経由して本来のターゲット企業を狙う「サプライチェーン攻撃」が増えた
参考:2025年「Webアプリケーションへのサイバー攻撃検知レポート」 株式会社サイバーセキュリティクラウド
企業が注意すべきサイバー攻撃の種類
サイバー攻撃には様々な種類がありますが、本記事では「端末を狙った攻撃」と「Webサイト・アプリケーションを狙った攻撃」の観点で分類し、それぞれ攻撃の目的や手法を整理していきます。適切な対策を講じるためには、それぞれの攻撃についての基礎知識を理解しておくことが重要であり、ここでは、特に注意すべき代表的なサイバー攻撃を紹介します。
端末を狙ったサイバー攻撃
端末を狙ったサイバー攻撃は、PCやサーバ、ネットワークそのものへの侵入・破壊を目的とした攻撃です。バックアップや多要素認証(MFA)・従業員教育などの対策と組み合わせた対策が重要になります。
ランサムウェア
ランサムウェアは、感染したコンピュータやサーバのデータを暗号化し、復旧と引き換えに金銭(身代金)を要求するマルウェアです。
企業のネットワークに侵入した攻撃者は、システム内に長期間潜伏しながら情報収集を行い、その後にランサムウェアを実行するケースもあります。また近年では、データを暗号化するだけでなく、盗み出した情報を公開すると脅す「二重脅迫」の手口も増えています。
ランサムウェアは企業活動を停止させる可能性があるため、バックアップやアクセス制御などの対策が重要です。
フィッシング攻撃
フィッシング攻撃は、実在する企業やサービスを装ったメールやWebサイトを利用して、IDやパスワード、クレジットカード情報などを盗み取る攻撃です。
例えば、ECサイトや金融機関を装ったメールを送り、偽サイトに誘導することで情報入力を促します。近年はメールの文面やサイトデザインが巧妙に作られており、正規サイトとの見分けがつきにくくなっています。
企業では、従業員がフィッシングメールをきっかけにマルウェアに感染したり、認証情報を盗まれたりするケースもあるため、従業員教育やメールセキュリティ対策が重要です。
標的型攻撃
標的型攻撃は、特定の企業や組織を狙って行われる計画的なサイバー攻撃です。攻撃者は事前に企業の情報を調査し、従業員に対して巧妙なメールを送信するなどしてマルウェア感染を狙います。近年では、サプライチェーン攻撃という形で、セキュリティ対策が比較的脆弱な取引先や業務委託先を足がかりに、本来の標的である企業へ侵入するケースも増えています。
標的型攻撃では、企業のネットワーク内部に侵入した後に、長期間潜伏して情報収集を行います。最終的には機密情報の窃取やシステム破壊などを目的として攻撃が実行されます。ランサムウェアが身代金要求を主目的とするのに対し、標的型攻撃は機密情報の窃取や諜報活動を主目的とする点が特徴です。
企業は、ネットワーク監視やアクセス制御などを強化し、不審な活動を早期に検知できる体制を整えることが重要です。また、サプライチェーン全体のリスクを考慮し、取引先や業務委託先を含めたセキュリティレベルの底上げを図ることも急務となっています。
Webアプリケーションを狙う攻撃
WebサイトやWebアプリケーションを狙う攻撃も多く発生しています。代表的な攻撃として、SQLインジェクションやクロスサイトスクリプティング(XSS)、DDoS攻撃などがあります。
SQLインジェクションは、Webサイトの入力フォームなどを利用して不正なSQL文を実行し、データベースの情報を盗み取る攻撃です。基本的な予防策としては、入力値の検証や適切なエスケープ処理(セキュアコーディング)を行うことが大切です。
SQLインジェクションとは?仕組み・被害事例・対策を解説 >
クロスサイトスクリプティングは、Webページに悪意のあるスクリプトを埋め込み、ユーザーのブラウザ上で実行させる攻撃です。攻撃者はWebアプリケーションの出力処理の不備を悪用するため、正規のWebサイトを訪れただけのユーザーが気づかないうちに被害を受けるという点が特徴です。
クロスサイトスクリプティングとは?原因と対策を詳しく解説 >
DDoS(Distributed Denial of Service)攻撃は、複数のコンピュータから大量のアクセスを送りつけることで、サーバやWebサービスを停止させる攻撃です。攻撃者はマルウェアに感染した世界中の端末を踏み台として利用するため、単一のIPアドレスをブロックするだけでは防ぎきれない点が対策を難しくしています。
DDoS攻撃とは?仕組みから対策方法まで解説 >
Webアプリケーションへの攻撃対策として特に有効なのが、WAF(Web Application Firewall:ワフ)の導入です。WAFはWebサーバへの通信を常時監視し、SQLインジェクションやXSSなどの不正なリクエストをリアルタイムで検知・遮断します。Webサービスを運営する企業にとって、WAFは費用対効果の高いセキュリティ対策の一つです。
サイバー攻撃による企業の被害
サイバー攻撃によって企業が受ける被害は、システム障害だけにとどまりません。情報漏えいや業務停止、信用低下など、経営や事業活動に大きな影響を与える可能性があります。ここでは代表的な被害の例を紹介します。
情報漏えい
サイバー攻撃によって顧客情報や機密情報が漏えいすると、企業の信用が大きく低下する可能性があります。個人情報が流出した場合には、損害賠償や行政指導につながることもあります。また、漏えいした情報がダークウェブに公開され、さらなる犯罪に利用されるケースもあります。
ECサイトの脆弱性を悪用したSQLインジェクション攻撃により、顧客の個人情報が流出した事例があります。攻撃者は入力フォームの脆弱性を利用してデータベースへ不正アクセスを行い、顧客情報を取得していました。
サービス停止・業務停止
ランサムウェアやDDoS攻撃などによりシステムが停止すると、企業の業務が継続できなくなる可能性があります。ECサイトやオンラインサービスの場合、売上に直接影響することもあります。さらに、復旧作業には多くの時間とコストがかかることがあり、事業活動に大きな影響を与える可能性があります。
2025年には国内の飲料メーカーグループ会社がランサムウェア被害を受け、受注・出荷関連システムに障害が発生し、業務へ影響が出た事例も報告されています。このようにランサムウェアは企業のITシステムだけでなく、実際の事業活動にも大きな影響を与える可能性があります。
また、2024年末から2025年初にかけては、国内の航空関連サービスに対するDDoS攻撃により、予約・運航関連システムに断続的な障害が発生し、利用者への影響が広がる事例もありました。DDoS攻撃も、サービス停止を通じて社会的・経済的な影響を及ぼすリスクがあります。
信用失墜
サイバー攻撃による被害は、復旧費用やセキュリティ対策費用などの直接的なコストだけでなく、企業ブランドの信用低下という間接的な損失も発生します。
例えば、近年は金融機関やECサイトを装ったフィッシング攻撃が多く確認されており、偽のログインページへ誘導して認証情報を入力させ、不正ログインや不正送金に悪用される被害が発生しています。
このような攻撃は利用者への被害にとどまらず、ブランドを悪用された企業の信頼低下にも直結します。一度失われた信頼を回復するには時間とコストがかかるため、事前に適切な対策を講じることが重要です。
企業が行う基本的なサイバー攻撃対策
サイバー攻撃のリスクを低減するためには、基本的なセキュリティ対策を確実に実施することが重要です。以下の3つは、コストをかけずにすぐ取り組める対策です。
ソフトウェアやOSの更新
ソフトウェアやOSには脆弱性が発見されることがあり、修正プログラム(セキュリティパッチ)が定期的に公開されます。
更新を行わないまま放置すると、既知の脆弱性を利用した攻撃を受ける可能性があるため、ソフトウェアやOSは常に最新の状態に保つことが重要です。
強固なパスワードと多要素認証
弱いパスワードや使い回しは、不正ログインの原因となります。推測されにくいパスワードを設定することや、サービスごとに異なるパスワードを使用することが重要です。
また、多要素認証(MFA)を導入することで、パスワードが漏えいした場合でも不正アクセスを防ぐことができます。
従業員のセキュリティ教育
多くのサイバー攻撃は、人のミスや不注意をきっかけに発生します。例えば、フィッシングメールを開いてしまうことや、不審なファイルを実行してしまうことなどが原因となるケースがあります。
そのため、従業員に対するセキュリティ教育や定期的な研修を実施し、サイバー攻撃への理解を深めることが重要です。
Webアプリケーションを守るためのサイバー攻撃対策──WAFとは何か
基本対策に加えて、Webアプリケーションを含むWebサイトを運営する企業にはを運営する企業にはWAF(Web Application Firewall:ワフ)の導入が特に重要です。WAFは、WebサーバへのHTTP通信を監視・解析し、SQLインジェクションやXSSなどの不正なリクエストをリアルタイムで検知・遮断するセキュリティ製品です。
アプリケーションの脆弱性の修正に時間がかかる場合でも、WAFが攻撃を防ぎます。
Webアプリケーションには、会員登録・ログイン機能、検索・投稿機能、カートに入れる機能、問い合わせフォームなど、攻撃者が悪用しやすい「入口」がたくさんあります。こうした入口から侵入しようとする攻撃を水際で止めるのがWAFの役割です。
WAFを導入するメリット
まず、SQLインジェクション・XSSといったWeb攻撃を自動で検知・遮断できる点が最大の強みです。また、アプリケーション側の修正(開発工数)を待たずにすぐ防御を開始できるため、脆弱性が見つかった際の応急処置としても機能します。
クラウド型のWAFであれば初期費用を抑えて導入できるため、コストを重視する企業にも選びやすい選択肢です。さらに、攻撃ログが自動で記録されるため、「いつ・どんな攻撃が来たか」を後から確認・分析できるのも実務上の大きなメリットといえます。
WAFだけで全ての攻撃を防げるわけではない
WAFはWebアプリケーションへの攻撃に特に強い一方、ランサムウェアや標的型攻撃、DDoS攻撃への完全な防御には複数の対策を組み合わせることが必要です(多層防御)。
WAFはその「多層防御」の重要な一角を担う、費用対効果の高い対策といえます。
セキュリティ診断も組み合わせると効果的
WAFによる防御に加え、定期的なセキュリティ診断(脆弱性診断)を行うことで、アプリケーションが保持している脆弱性を洗い出し、対策を講じることが可能です。情報セキュリティサービス基準に適合した専門ベンダーへの依頼が推奨されます。
まとめ──何から始めるかに迷ったらWAFを検討しよう
この記事で解説した内容を振り返ります。
- Webへの攻撃は1秒64回以上発生しており、規模を問わず全企業がターゲットになる
- ランサムウェア・フィッシング・DDoS・SQLインジェクション等、攻撃の種類は多岐にわたる
- OS更新・MFA・従業員教育の3点はすぐにでも実施できる
- WAFはSQLインジェクション・XSSに対する防御効果が高く、Webサイト保護の要となる
- DDoS攻撃などWAFでは防ぐことができない攻撃に備えるため、他の対策と組み合わせて多層防御をすることが理想
サイバー攻撃の脅威は広範ですが、Webサイトを運営する企業であれば、まずWAFを導入することが費用対効果の高い第一歩です。「何から始めればいいかわからない」という方は、ぜひ次のステップとして下記の資料から確認してみてください。
攻撃遮断くんで、まず「守れる範囲」を確認してみよう
クラウド型WAF「攻撃遮断くん」は、SQLインジェクション・XSSをはじめ、Webサイトを狙った幅広い攻撃を検知・遮断するサービスです。料金プランによっては、従来のWAFでは防げなかったDDoS攻撃も防御可能です。
「具体的にどんな攻撃を防いでくれるのか」「自社のWebサイトに導入するとどう変わるのか」は、サービス資料(無料)で詳しく確認できます。何から始めればいいかわからない方の「最初の一歩」として、ぜひ資料のご確認からお試しください。
【無料】「攻撃遮断くん」のサービス資料をダウンロードする
