チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「日本の大企業のほとんどが狙われてるって、うちみたいな会社は大丈夫なんでしゅか?」
「認証情報が漏れてるって言われても、何が危ないのかピンとこないんでしゅ……」
チップス日経225の96%なんて、ほとんど全部じゃないでしゅか……怖いんでしゅ。
ボス数字だけ見れば確かに衝撃だ。だが何が漏れて何が危ういのかを正しく読めば、打ち手は見えてくる。整理していくぞ。
本記事では、ジョーシスの調査が示した日本企業の実態と、なぜ日本が狙われやすいのかを整理します。
読み終える頃には、認証情報の漏えいがなぜ怖いのかと、組織が優先すべき守りの方向性がつかめます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まず調査で何が分かったのかを整理します。
ジョーシスは2026年6月、日経225構成企業を対象にしたサイバーセキュリティ調査の結果を公表しました。
過去およそ3年間で217社、全体の96.4%にあたる企業で、従業員の認証情報がダークウェブ上に流出していたことが確認されています。
ここでいう認証情報とは、業務システムにログインするためのIDとパスワードのことです。
さらに同社の松本CEOは、日本が世界のサイバー攻撃被害の大きな割合を占め、最大の標的になっていると指摘しています。
調査で示された主な数字は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 認証情報の流出を確認 | 日経225のうち217社(96.4%) |
| 調査対象 | 日経225構成企業とグループ企業(従業員約956万人) |
| 対象期間 | 2023年3月〜2026年6月の約3年間 |
| 流出件数の合計 | 27万9206件 |
チップスIDとパスワードが漏れても、すぐ悪用されるわけじゃないんでしゅよね?
ボス甘いな。正規の鍵を手にした攻撃者は、堂々と正面から入ってくる。それが今の主流の手口だ。
攻撃の手口と、日本が標的になりやすい背景を掘り下げます。
かつての攻撃はシステムの脆弱性を突くものが中心でした。
今は、漏れた正規のIDとパスワードを使ってそのままログインする手口が主流になっています。
鍵をこじ開けるのではなく、拾った合鍵で堂々と入ってくるイメージです。
各部門が個別にクラウドサービスを導入し、管理の目が届かない領域が増えていることも、侵入口を広げています。
日本企業が抱えやすい弱点は次のとおりです。
チップス鍵そのものを守らないと、いくら壁を高くしても意味がないんでしゅね。
ボス理解が早いな。守りの軸を「誰がどこにアクセスしているか」の管理へ移すことが、これからの肝になる。
ジョーシスの調査は、日本の大企業のほぼすべてで認証情報が漏れているという厳しい現実を示しました。
攻撃の主流が正規のIDを使った侵入である以上、守るべきはネットワークの壁だけではありません。
誰が何にアクセスしているかを把握し、漏れたIDを素早く遮断する備えが欠かせません。
IPAの「情報セキュリティ10大脅威 2026」でも、ランサムウェアは11年連続で組織の脅威の1位に挙げられています。
こうした認証情報やID管理の最前線で力を発揮したい方は、ぜひセキュリティフリーランス案件に目を向けてみてください。
参考: PR TIMES「【ジョーシス独自調査】日経225企業の96%が過去3年で情報漏洩を経験」
参考: Impress Watch「漏洩IDの遮断からシャドーAI管理まで ジョーシス、ランサム対策のAI新機能」
参考: IPA「情報セキュリティ10大脅威 2026」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
