ランサムウェアを経営リスクと「約8割」が認識するも、侵入後の被害を具体的に評価できる企業は「約2割」 情シス・セキュリティ担当1,000人に聞いた『侵入後リスク評価とペネトレーションテストの実態調査』
〜MOTEX、ペネトレーションテストの無料体験をはじめ、 企業の対策成熟度に応じたリスク評価サービスを提供〜

エムオーテックス株式会社(本社:大阪市淀川区、代表取締役社長:徳毛 博幸、以下MOTEX)は、企業の情報システム・セキュリティ担当者 約1,000名を対象に実施した「侵入後リスク評価とペネトレーションテストの実態調査」の結果を発表します。
本調査により、約8割がランサムウェア攻撃を深刻な経営リスクと認識している一方で、万が一、組織のシステム内に侵入された場合の被害を具体的に評価できている企業は約2割に留まっていることが明らかになりました。また、約9割が侵入後リスクを簡易に可視化できる機会を「活用したい」と回答しており、侵入を前提とした実践的なセキュリティリスク評価へのニーズが高まっていることが分かりました。
またMOTEXでは、こうしたニーズに応えるため、企業の対策状況や目的に応じた各種リスク評価サービスを提供するとともに、より多くの企業に侵入後リスクを把握していただける機会として「ペネトレーションテスト無料体験キャンペーン」を実施します。
▼ペネトレーションテスト無料体験キャンペーンはこちら
https://www.lanscope.jp/professional-service/form-businesstalk/malware_assess/
■ 「侵入後リスク評価とペネトレーションテストの実態調査」について
【調査サマリ】
-
近年の攻撃が「ばらまき型」から「侵入型」へと変化していることを 多くの企業が認識し、
ランサムウェアを深刻な経営リスクとして認識。
-
侵入を前提とした対策やリスク検証を実施している企業は多い一方で、 具体的な被害想定までできている企業はまだ少なく、 人材不足や技術的知見不足、経営層への説明の難しさなどが、 侵入後リスク対策を進めるうえでの課題に。
-
ペネトレーションテストの実施経験がある企業や、 その結果を経営層への説明に活用している企業が多数。 ペネトレーションテストや侵入後リスク可視化へのニーズが高まっている。
【調査背景】
近年、ランサムウェアをはじめとするサイバー攻撃は高度化・巧妙化しており、「侵入を防ぐ」対策だけでは十分とは言えません。攻撃者による侵入を前提に、侵入後の影響範囲や、検知・対応体制は機能するのかを事前に検証し、被害を最小化する考え方が重要になっています。
そこでMOTEXでは、企業の情報システム・セキュリティ担当者1,000名を対象に、侵入後リスク評価やペネトレーションテストの実施状況について実態調査を実施しました。
【調査内容】
-
ランサムウェア攻撃に対する脅威認識と、近年の侵入型攻撃に対する理解
-
侵入防止対策の実施状況や、侵入後影響の把握状況
-
侵入を前提としたリスク評価・評価項目設定・被害想定の実施状況
-
侵入後リスク対策における課題
-
ペネトレーションテストの実施状況、実施目的、活用状況
-
侵入後リスク評価が進まない要因
-
侵入後リスク可視化に対するニーズ
-
今後強化したいセキュリティ対策
【調査概要】

|
調査期間 |
2026年3月26日~3月31日 |
|
調査方法 |
インターネット調査 |
|
調査対象 |
企業の情報システム・セキュリティ担当者 |
|
調査人数 |
1,054名 (従業員数300名未満:300名 / 300名〜1,000名未満:426名 / 1,000名以上:328名) |
|
モニター提供元 |
PRIZMAリサーチ |
|
調査機関 |
株式会社PRIZMA |
【TOPIC 1】 約8割がランサムウェアを深刻な経営リスクと認識
ランサムウェア攻撃について、「非常に深刻」「やや深刻」と回答した企業は81%となりました。また、近年の攻撃が「ばらまき型」から「侵入型」へ変化していることについても87%が認識しており、多くの企業で危機意識が高まっていることが分かりました。

【TOPIC 2】 侵入防止対策や、侵入を前提とした対策の検討・リスク検証が進む一方で、侵入後の具体的な影響範囲を把握できている企業は約2割

侵入防止対策を実施している企業は69%、侵入を前提とした対策の検討やリスク検証を行っている企業は75%と、それぞれ約7割となりました。その一方で、侵入された場合の影響範囲を「具体的に把握している」企業は20%、金額などを含めて「定量的に想定できている」企業は25%と、侵入後の被害を具体的に評価できている企業は約2割にとどまりました。
侵入を防ぐための対策や、境界防御を突破され侵入されることを前提とした対策が実施できていたり、「取得可能な機密情報」や「到達可能な重要サーバー」などは把握できていたりしても、「業務停止期間」や「復旧コスト」まで定量的にリスク評価できている企業は限定的であることが分かりました。
侵入を前提とした対策の重要性は認識されつつも、実際には技術的知見や予算、人材不足などにより、具体的なリスク評価や対策強化を十分に進められていない企業が多いことがうかがえます。
【TOPIC 3】 ペネトレーションテスト実施経験がある企業は約6割、約9割が侵入後リスクの可視化を希望
主に「監査・コンプライアンス対応」といった理由から、64%の企業がペネトレーションテストを実施した経験があると回答し、侵入リスクを実践的に検証する取り組みは一定程度進んでいることが明らかとなりました。

ペネトレーションテストを実施している企業の多くは、その結果を「経営層へのリスク説明にも活用している」とも回答しており、侵入後リスクを可視化し、経営判断につなげる動きが活発化していることも分かりました。一方で、「社内で優先順位が上がらない」「専門人材がいない」「経営層に説明しづらい」といった回答も多く、侵入後対策の必要性は認識されつつも、具体的な推進体制や社内説明に課題を抱える企業が多いこともうかがえます。86%もの企業が、侵入後の影響範囲を簡易に可視化できる機会を「活用したい」と回答しており、侵入後リスクを具体的に把握・説明したいというニーズが高まっていることが明らかとなりました。
調査の詳細は下記よりダウンロードいただけます。ぜひご覧いただき、侵入後リスクの可視化や組織の検知・対応力の強化に向けた取り組みを検討する際の参考としてご活用ください。
■ MOTEX(調査発表元)および当社サービスのご紹介
今回の調査では、多くの企業が侵入後リスクの重要性を認識している一方で、実際に自社の検知・分析・対応力を具体的・定量的に評価・可視化できていない実態が明らかとなりました。
近年は、脆弱性の有無だけでなく、「攻撃を受けた後にどのように検知し、対応できるか」という「侵入される前提」の観点が重視されています。「ペネトレーションテスト(侵入テスト/ペンテスト)」は侵入可否や被害影響を検証する有効な手法とされているものの、防御体制や検知・対応プロセス全体の実効性を評価するという点には限界があるとされます。そのため、特に金融機関をはじめとする高度なセキュリティ対策が求められる業種では、組織の検知・分析・対応プロセスまで含めて評価する「TLPT(Threat-Led Penetration Testing/脅威ベースのペネトレーションテスト)(※1)」や、検知・防御能力を継続的に改善する「パープルチーミング(※2)」といった、より高度な評価手法の活用が進んでいる状況です。
こうしたさまざまなリスク評価ニーズに対応するため、MOTEXの「LANSCOPE プロフェッショナルサービス」では、従来の「ペネトレーションテスト」から、より高度な「TLPT」や「パープルチーミング」まで、企業のセキュリティ対策状況や成熟度、目的に応じてご活用いただける、各種のリスク評価サービスをご提供しています。
特に、これから侵入後リスクの把握や評価をご検討される企業向けに、現状のリスクを把握するきっかけとしてご活用いただけるよう、この度、ペネトレーションテストの無料体験を提供開始しました。
▼ ペネトレーションテスト無料体験キャンペーンはこちら
https://www.lanscope.jp/professional-service/form-businesstalk/malware_assess/
また、「TLPT」では、実際の攻撃シナリオをもとに「攻撃されても対応できる体制」を可視化し、「パープルチーミング」では、攻撃側と防御側が連携しながら検知・防御能力を継続的に検証・改善することで、SOCやCSIRTを含めた組織全体の実践対応力向上を支援します。
▼ TLPTやパープルチーミングなど、各種のリスク評価サービスの詳細はこちら
https://www.lanscope.jp/professional-service/lp/tlpt/
MOTEXでは今後も、12,000件以上の脆弱性診断で培った知見と最新の脅威インテリジェンスを活用し、企業・組織の実効性あるサイバーセキュリティ対策を支援してまいります。

※1: TLPT(Threat-Led Penetration Testing/脅威ベースのペネトレーションテスト)とは、実際の攻撃シナリオに基づき、攻撃の初動から検知・分析・対応までの一連のプロセスを通じて、組織の防御・検知・対応体制の実効性を総合的に評価するセキュリティテストです。攻撃を受けた際の影響や対応能力を可視化し、SOCやCSIRTを含めた組織全体のセキュリティ運用改善に活用されます。
※2: パープルチーミングとは、攻撃側(レッドチーム)と防御側(ブルーチーム)が連携しながら、セキュリティ製品や監視体制の検知・防御能力を実践的に検証・改善する手法です。組織の監視・検知能力やインシデント対応力を継続的に高めることができ、TLPTへ取り組む前段階の評価手法としても活用されています。
【MOTEX会社概要】
MOTEXは国産のセキュリティメーカーとして、「Secure Productivity(安全と生産性の両立)」をミッションに掲げ、「LANSCOPE(ランスコープ)」ブランドのプロダクト・サービスの提供を通じて、“デジタルセキュリティの課題から、人と社会を解放する”ことを目指しています。
▷ MOTEXコーポレートサイト https://www.motex.co.jp/
「LANSCOPE」は、『デバイス』を軸としたIT資産管理・情報漏洩対策・マルウェア対策から、『人』を軸としたID・アクセス管理(IAM)までを網羅。さらに、これらを最適化する脆弱性診断(セキュリティ診断)・コンサルティングを通じて、お客様のサイバーセキュリティ課題の解決をトータルでご支援しています。
▷ LANSCOPE総合サイト https://www.lanscope.jp/

・記載の会社名およびプロダクト名・サービス名は、各社の商標または登録商標です。
・記載の内容は発表日時点のものです。最新の情報と異なる場合がございますのでご了承ください。
<サービスに関するお問い合わせ>
「LANSCOPE プロフェッショナルサービス」サイトよりお問い合わせください。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
