【結論】DXの遅れは"未対策期間"を伸ばし、侵入口になり得る
結論:DXの遅れは、業務効率だけでなくセキュリティリスクにも直結します。
IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威2025」では、「システムの脆弱性を突いた攻撃」が組織向け脅威の3位に選出されました。特に問題視されているのは、パッチ公開後の未対策期間(Nデイ)を狙う攻撃です。
レガシー環境は「パッチが提供されない」「当てられない」「体制がない」状態になりやすく、結果として侵入口になり得ます。
攻撃者は"最新"より"未対策"を狙う。
本記事では、レガシーが狙われる構造と、刷新・運用改善でリスクを下げる優先順位を整理します。
※本記事は、IPAが公開している「情報セキュリティ10大脅威2025」等の公開情報をもとに、レガシーシステムとセキュリティリスクの関係を解説するものです。
1. IPA「情報セキュリティ10大脅威2025」が示す攻撃トレンド
1-1. 「システムの脆弱性を突いた攻撃」が3位に
IPAが2025年1月に発表した「情報セキュリティ10大脅威2025」では、組織向け脅威として以下がランクインしています。
順位 | 脅威 |
|---|---|
1位 | ランサム攻撃による被害(5年連続) |
2位 | サプライチェーンや委託先を狙った攻撃(3年連続) |
3位 | システムの脆弱性を突いた攻撃(※統合により順位上昇) |
※「システムの脆弱性を突いた攻撃」は、前年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」と7位の「脆弱性対策情報の公開に伴う悪用増加」が統合されたものです。
(出典:IPA「情報セキュリティ10大脅威2025」、プレスリリース 2025年1月30日 https://www.ipa.go.jp/pressrelease/2024/press20250130.html
1-2. Nデイ攻撃という構造問題
セキュリティの世界では、以下の2つの攻撃が区別されています。
ゼロデイ攻撃:脆弱性が発見され、パッチが公開される「前」に行われる攻撃
Nデイ攻撃:パッチが公開された「後」、適用されるまでの期間を狙った攻撃
※Nデイ攻撃の「N」は、パッチ公開からN日経過した状態を意味します。東京都サイバーセキュリティポータルでも「脆弱性対策情報の公開後、対策が講じられていないシステムを標的にした攻撃」と解説されています。
IPAの解説では、Nデイ攻撃が課題として示されています。パッチは公開されているのに、適用が遅れているシステムを狙い撃ちする攻撃が増えているのです。
パッチが当てられない状態は、脆弱性そのものより危険です。
💡 問いかけ: 自社のシステムで、パッチ適用に何週間(何ヶ月)かかっていますか?
1-3. 境界機器・リモートアクセスが狙われやすい
IPAの解説によれば、攻撃は**「インターネット境界(VPN等)」や「リモートアクセス」の未対策期間**を狙って侵入するケースが問題になっています。
IPA資料内で紹介されている警察庁統計では、ランサムウェア感染経路の上位として「VPN機器からの侵入」「リモートデスクトップからの侵入」が挙げられています。
COVID-19以降、リモートワークが普及し、社外から社内ネットワークに接続する機会が増えました。その接続口となる境界機器やリモートアクセス環境のセキュリティ対策が追いついていない企業では、攻撃者にとって格好の標的となり得ます。
▶ 章末サマリー:「IPA10大脅威では脆弱性攻撃が3位。Nデイ(未対策期間)を狙う攻撃が課題とされている。」
ランサムウェアが5年連続1位、サプライチェーン攻撃が3年連続2位
パッチ公開後の「Nデイ攻撃」が増加傾向
境界機器・リモートアクセスの未対策期間が狙われやすい
2. なぜレガシーシステムがセキュリティリスクになるのか
2-1. サポート終了でパッチが「提供されない」
古いOSやソフトウェアは、一定期間を過ぎるとベンダーからのサポートが終了します。サポートが終了すると、新たな脆弱性が発見されてもパッチが提供されません。
つまり、サポート終了したシステムは、発見された脆弱性が永久に放置されることになります。
2-2. システム複雑化でパッチが「当てられない」
レガシーシステムは、長年の改修や増築により複雑化していることが多いです。その結果、パッチを適用しようとしても以下の問題が発生します。
他のシステムとの互換性の確認に時間がかかる
業務影響の検証に工数がかかる
テスト環境が整備されていない
本番適用の判断に時間がかかる
未対策期間が長いほど、侵入リスクと復旧コストが高まりやすい。
2-3. 属人化で「体制がない」
「このシステムは〇〇さんしか分からない」という状態は、セキュリティ上も大きなリスクです。
担当者が休暇中や退職後に脆弱性が発見された場合、対応が大幅に遅れる可能性があります。脆弱性情報の収集、影響判断、パッチ適用の意思決定——これらを「誰が」「どのように」行うかが明確でなければ、未対策期間は長くなります。
💡 問いかけ: 脆弱性情報の収集と対応判断は、特定の担当者に依存していませんか?
▶ 章末サマリー:「レガシーは"パッチが当たらない/当てられない/体制がない"が重なり、未対策期間が生まれやすい。」
サポート終了で「提供されない」
複雑化で「当てられない」
属人化で「判断できない」
3. セキュリティ事故が発生した場合の経営インパクト
3-1. 業務停止・サービス停止
ランサムウェア攻撃により、復旧に数週間〜数ヶ月を要するケースが報告されています。医療機関では電子カルテ停止が約60日に及んだ事例もあります(※事例の詳細は出典参照)。
その間、売上機会は失われ、顧客対応に追われ、復旧作業に多大なコストがかかります。
3-2. 情報漏えいと損害賠償リスク
サプライチェーン攻撃の事例では、委託先企業がランサムウェア攻撃を受けた結果、約150万件規模の個人情報流出が報じられたケースがあります。委託元が損害賠償請求を検討・予定すると公表した例もあります。
自社のセキュリティ対策が万全でも、委託先の管理不備により重大な情報漏えいにつながる可能性があります。
3-3. 経営への直接的影響
大手企業の事例では、ランサムウェア攻撃により特別損失36億円を計上し、売上高には84億円の減少影響が見込まれると発表されています(KADOKAWA 2024年8月公表、各種報道より)。
セキュリティ事故の多くは、技術の問題ではなく"放置"の問題である。
💡 問いかけ: セキュリティ事故が発生した場合、自社の事業継続にどの程度の影響がありますか?
▶ 章末サマリー:「セキュリティ事故は、業務停止・情報漏えい・経営損失に直結し得る。」
復旧に数週間〜数ヶ月を要するケースがある
情報漏えいは損害賠償リスクにつながる
経営への影響は数十億円規模になることもある
4. DXがセキュリティ対策になる理由
4-1. システム刷新=未対策期間の短縮
古いシステムを刷新することは、セキュリティ対策の一環でもあります。
サポート終了したOS・ソフトウェアを最新版に更新
複雑化したシステム構成を整理・簡素化
パッチ適用プロセスを自動化・効率化
脆弱性管理体制を構築
DXは効率化で終わらない。セキュリティの"運用不全"を直す取り組みでもある。
4-2. クラウド移行とセキュリティ
クラウドサービスを適切に活用することで、以下のメリットが得られます。
ベンダーによる継続的なセキュリティアップデート
物理的なセキュリティ(データセンター)の強化
バックアップ・災害対策の自動化
ただし、クラウドを利用するだけでセキュリティが担保されるわけではありません。「責任共有モデル」に基づき、クラウド事業者と利用者の責任範囲を理解し、適切な設定と運用を行う必要があります。
4-3. 属人化解消によるセキュリティ体制強化
DXを通じて業務・システムの標準化を進めることで、特定の担当者に依存しない体制を構築できます。
ドキュメント化・ナレッジ共有
運用プロセスの標準化
複数人による対応体制の構築
💡 問いかけ: システム刷新を「コスト」と捉えていますか、それとも「リスク投資」と捉えていますか?
▶ 章末サマリー:「DXは業務効率化だけでなく、"未対策期間"を短縮するセキュリティ対策でもある。」
システム刷新は脆弱性解消・未対策期間短縮につながる
クラウド活用は責任共有モデルの理解が前提
属人化解消でセキュリティ体制が強化される
5. 刷新できない企業の"優先順位"テンプレート
全面刷新には時間がかかります。その間にもリスクは存在します。刷新できない間の優先順位を整理します。
優先度1:境界機器の脆弱性対応
インターネット境界(VPN等)やリモートアクセス環境は、攻撃者が最初に狙いやすい領域です。ここの脆弱性対応を最優先で行います。
優先度2:資産台帳の整備
「何がどこにあるか」を把握できていなければ、脆弱性対応もできません。まずはシステム構成と利用ソフトウェアの棚卸しを行います。
優先度3:パッチ適用SLAの設計
「脆弱性情報が公開されてから何日以内に対応するか」を決めます。重要度別にSLA(サービスレベル合意)を設計し、例外管理のルールも明確化します。
優先度4:バックアップ復旧テストの実施
バックアップを取っていても、復旧できなければ意味がありません。定期的に復旧テストを実施し、実際に復旧できることを確認します。
刷新の議論で詰まるのは技術ではなく"優先順位"です。
▶ 章末サマリー:「刷新できない間も、優先順位を設計すればリスクを下げられる。」
境界機器(VPN等)の脆弱性対応を最優先
資産台帳の整備で「何があるか」を把握
パッチSLAとバックアップテストで運用を固める
6. よくある質問(FAQ)
Q1. パッチ適用の"遅れ"は何日から危険ですか?
A. 一概には言えませんが、脆弱性の深刻度によってSLAを設計することを推奨します。
深刻度 | 対応目安(例:SLAテンプレ) |
|---|---|
緊急(Critical) | 24〜72時間以内 |
高(High) | 1週間以内 |
中(Medium) | 1ヶ月以内 |
低(Low) | 次回定期メンテナンス |
※上記は一般的な目安です。自社の状況に合わせて設計してください。重要なのは「ルールを決めておくこと」です。
Q2. クラウド移行すればセキュリティは解決しますか?
A. クラウド移行だけではセキュリティは解決しません。「責任共有モデル」を理解する必要があります。
クラウド事業者の責任:物理インフラ、ネットワーク、ハイパーバイザー等
利用者の責任:アクセス管理、設定、データ保護、運用監視等
クラウドを利用しても、設定ミスや運用不備があればセキュリティ事故は発生します。適切な設定と運用体制の構築が必要です。
Q3. 刷新できない間に最低限やるべきことは何ですか?
A. 以下の4点を優先することを推奨します。
境界機器の脆弱性対応:VPN機器等の最新パッチ適用
資産台帳の整備:システム構成・ソフトウェアの棚卸し
パッチ適用SLAの設計:重要度別の対応期限ルール化
バックアップ復旧テスト:実際に復旧できることを確認
これらは全面刷新を待たずに実施でき、リスク低減効果が高い施策です。
7. まとめ:レガシーのリスクは"把握できていないこと"から始まる
セキュリティ事故は、古いシステムの脆弱性から始まることがあります。攻撃者は「最新」より「未対策」を狙います。
レガシーのリスクは、放置ではなく"把握できていないこと"から始まる。
IPA「情報セキュリティ10大脅威2025」が示すように、パッチ公開後の未対策期間(Nデイ)を狙う攻撃が課題です。レガシー環境は「提供されない」「当てられない」「体制がない」が重なり、未対策期間が長くなりやすい構造があります。
DXの遅れは、業務効率の問題だけではありません。セキュリティリスクにも直結します。システム刷新とは、「未対策期間」を短縮するセキュリティ対策の一環でもあるのです。
最新の攻撃は、最も古いシステムから侵入する。
まずは自社システムの脆弱性対応状況を把握し、優先順位を設計することが第一歩です。
【セルフチェックリスト】レガシーシステムのセキュリティリスク
以下の項目について、自社の状況を確認してください。
□ サポート終了したOS・ソフトウェアを使用している
□ セキュリティパッチの適用に1ヶ月以上かかっている
□ 境界機器(VPN等)の脆弱性対応状況を把握していない
□ 脆弱性情報を定期的に収集・確認する体制がない
□ セキュリティ対応が特定の担当者に依存している
□ システム構成が複雑化し、全体像(資産台帳)を把握できていない
□ バックアップからの復旧手順がテストされていない
□ 委託先・サプライチェーンのセキュリティ状況を把握していない
□ パッチ適用のSLA(対応期限ルール)が設計されていない
□ 「レガシー刷新は来年」と言い続けて2年以上経過している
3つ以上該当した場合:
貴社ではレガシーシステムに起因するセキュリティリスクが存在する可能性があります。
まずは現状を整理し、どこにリスクが潜んでいるかを把握することが第一歩です。全面刷新を待つ間にも、優先度の高い対策から始めることができます。
「何から手をつければいいか分からない」という場合は、現状整理のための相談から始めてみませんか?
参考資料
IPA(独立行政法人情報処理推進機構)「情報セキュリティ」
https://www.ipa.go.jp/security/IPA「情報セキュリティ10大脅威2025」
https://www.ipa.go.jp/security/10threats/10threats2025.htmlIPA「情報セキュリティ10大脅威2025」を決定(プレスリリース 2025年1月30日)
https://www.ipa.go.jp/pressrelease/2024/press20250130.html
※本記事は、IPAが公開している情報をもとに、レガシーシステムとセキュリティリスクの関係を解説したものです。具体的な数値・事例は公開情報に基づいていますが、個別企業への適用にあたっては専門家への相談を推奨します。
この記事についてもっと詳しく知りたい方へ
GXOでは、サイバーセキュリティに関する詳しい資料を無料で提供しています。導入事例や成功事例、具体的な導入手順を詳しく解説しています。
