【真面目版】インシデントとは？情報セキュリティの定義・種類・対策を2026年最新で徹底解説

はじめに

---

インシデントとは

情報セキュリティにおける「インシデント」とは、機密性・完全性・可用性のいずれかを侵害した、または侵害する恐れのある出来事を指します。

JIS Q 27000では「望まない、または予期しない情報セキュリティ事象のうち、事業運営を危うくする可能性が高いもの」と定義されています。ポイントは、単なる「イベント（事象）」ではないということ。ログイン失敗が1回あっただけならイベントですが、それが大量発生して不正アクセスの兆候を示していたら、インシデントとして扱われます。実際に被害や業務停止リスクが発生した段階で「インシデント」に格上げされるわけです。

インシデントの種類（2026年最新分類）

インシデントは発生要因によって大きく3つに分けられます。以下、2025年の実例を交えて整理します。

1. 外部要因によるインシデント

外部からの攻撃によって引き起こされるインシデントです。

ランサムウェア攻撃は最も深刻な脅威です。2025年9月、アサヒグループホールディングスが被害を受け、生産・物流システムが全面停止。191万件の個人情報が流出した恐れもありました（最終確定は約11万件）と報じられました。

サプライチェーン攻撃も広がっています。アスクルは委託先を経由して攻撃され、注文・出荷が停止。無印良品をはじめとする取引先にも影響が波及しました。自社のセキュリティがどれだけ堅くても、取引先の脆弱性から攻撃される——これがサプライチェーン攻撃の怖さです。

そのほか、標的型攻撃・フィッシング（IPA 10大脅威2026で5位）、DDoS攻撃や脆弱性悪用攻撃（同4位）も外部要因に含まれます。

2. 内部要因によるインシデント

組織の内部で起きるインシデントです。外部攻撃ほど派手ではないけれど、発生件数は決して少なくありません。

従業員の誤送信・設定ミス。宛先を間違えてメールを送った、クラウドストレージの公開設定をミスった——よくある話ですが、これも立派なインシデントです。

USB・PCの紛失や盗難。物理的なデバイスの紛失は、そこに入っている情報がすべてリスクにさらされることを意味します。

内部不正（情報持ち出し・改ざん）はIPA 10大脅威2026で7位にランクイン。退職者による持ち出しや、不満を抱えた従業員による意図的な漏洩が含まれます。

シャドーITも見逃せません。会社が許可していないクラウドサービスを勝手に使う行為です。便利だから使いたい気持ちはわかりますが、管理外のサービスに業務データが流れるリスクは大きい。

3. 環境要因によるインシデント

サイバー攻撃でも人のミスでもなく、環境的な要因で起きるインシデントです。

地震・火災・落雷によるシステム停止。日本は災害大国ですから、物理的なインフラが壊れるリスクは常にあります。

通信・電力・クラウドサービスの障害。自社に問題がなくても、使っているクラウドが落ちれば業務は止まります。

物理的侵入や機器盗難。サーバールームへの不正侵入なども、このカテゴリに含まれます。

---

---

2026年現在、最も注意すべき脅威（IPA公式データ）

IPAが2026年1月29日に発表した「情報セキュリティ10大脅威2026」（組織向け）から、上位5つを確認しておきましょう。

1位：ランサム攻撃による被害。なんと11年連続で1位です。JNSAの調査によると、ランサムウェアの平均被害額は約6,019万円。もはや「定番」と言っていいレベルで猛威を振るい続けています。

2位：サプライチェーン攻撃。アスクルやローレルバンクマシンの事例が示すように、自社だけでなく取引先から攻撃が「逆流」してくるケースが増えています。

3位：AIの利用をめぐるサイバーリスク。これが2026年の最大の変化です。新規で3位にランクイン。ChatGPTやGeminiを業務で使う企業が増えた結果、機密情報をAIに入力して漏洩するケースや、AI生成コードに含まれる脆弱性が実際に被害を生んでいます。生成AIは便利ですが、使い方を間違えればセキュリティホールになる——その現実が数字に表れました。

4位：システム脆弱性悪用攻撃。パッチ未適用のシステムを狙う攻撃は依然として多い。

5位：標的型攻撃。特定の組織を狙い撃ちする手口で、メールを起点にするケースが主流です。

インシデントが企業にもたらす現実的な影響

「インシデントが起きたらどうなるか」——2025年の実データで確認しておきましょう。

経済的損失。JNSAの調査では、ランサムウェアの平均被害額は6,019万円（中央値3,800万円）。一部の企業では2億5,000万円を超えています。復旧費用や逸失利益まで含めると億単位になるのが普通です。「うちは中小だからそこまでは……」と思うかもしれませんが、中小企業だって数千万円の被害は十分ありえます。

事業停止。アサヒGHDの場合、工場と物流が全面停止し、全国のビール供給に影響が出ました。ダウンタイムが21日を超える事例も増えています。3週間事業が止まるって、想像してみてください。

法的リスク。個人情報が漏洩すれば個人情報保護法違反に問われますし、GDPR適用企業なら制裁金も発生します。過去には9,500万円から10億円規模の和解事例もあります。

信用失墜。株価の下落、取引停止、顧客離れ。中小企業でも「委託先として選ばれなくなる」ケースが急増しています。一度失った信用を取り戻すのは、被害額以上にコストがかかります。

---

---

インシデント対応の基本フロー（5ステップ）

インシデントが発生したら、即座にこの順序で動きます。中小企業でもこの5つの流れだけは事前に決めておいてください。

ステップ1：検知・初動

異常を検知し、被害範囲を特定します。SIEMのアラート確認、関係者への連絡が最初のアクション。所要目安は「即時」。ここが遅れると、すべてが遅れます。

ステップ2：封じ込め

被害の拡大を防ぎます。感染が疑われる端末の隔離、ネットワークの遮断など。所要目安は数時間以内。スピードが命です。

ステップ3：原因調査

ログの解析やフォレンジック調査で、何が起きたかを突き止めます。必要に応じて外部の専門家を呼びます。所要目安は1日から7日程度。

ステップ4：復旧

システムの再構築とデータの復元。クリーンインストールやバックアップからの復元が主な作業です。所要目安は数日から数週間。ここが一番時間がかかることも多い。

ステップ5：再発防止

根本原因への対策と報告。ルールの改訂、従業員教育の実施、体制の見直し。所要目安は「継続」。1回やって終わりではなく、PDCAサイクルで回し続けます。毎回のインシデントからナレッジを蓄積していくことが、組織の防御力を上げる唯一の方法です。

中小企業が今すぐやるべきインシデント対策（現実的チェックリスト）

大企業のようにCSIRTをフル装備で設置するのは現実的じゃない——そういう中小企業向けに、優先順位をつけました。

即時対応（1ヶ月以内）

• 多要素認証（MFA）を全アカウントで必須化する。パスワードだけではもう守れません。IDとパスワードが漏れても、もう一段階の認証があれば被害を防げるケースは多い。
• バックアップを3-2-1ルールで取得する。3つのコピーを、2種類のメディアに保存し、1つはオフラインに置く。ランサムウェアにやられてもバックアップがあれば復旧できます。
• 従業員向けフィッシング訓練を年4回実施する。人間が一番の脆弱性です。「怪しいメールを開かない」を体で覚えさせるには、繰り返しの訓練しかありません。

3ヶ月以内

• IPAガイドラインに基づくリスクアセスメントを実施する。自社にどんなリスクがあるのか、まず把握しないと対策の打ちようがありません。
• 外部委託先へのセキュリティ要求書（簡易版）を配布する。サプライチェーン攻撃への基本的な備えです。自社が大丈夫でも、委託先がやられたら意味がない。
• インシデント対応マニュアルを作成する。上記の5ステップを自社に合わせてカスタマイズして文書化しておく。起きてから考えるのでは遅すぎます。

6ヶ月以内

• NIST CSF 2.0のGovern機能（ガバナンス）を参考に責任者を明確化する。「誰が判断するのか」が決まっていないと、インシデント発生時に動けません。
• CSIRTの最小構成（兼務可）を設置する。専任でなくても構いません。「いざというときに集まるチーム」を決めておくだけで初動が変わります。

まとめ：インシデントは「起きるもの」として備える

2026年現在、ランサムウェアは11年連続1位、サプライチェーン攻撃は8年連続2位、AIリスクが急浮上で3位。脅威は増えることはあっても減ることはありません。

「うちは中小だから大丈夫」は完全に通用しない時代です。

まずは上記のチェックリストから1つずつ実行する。インシデントが発生したら5ステップで即対応する。これを繰り返すだけで、被害は劇的に抑えられます。

完璧な防御は存在しません。でも、「備えていた企業」と「何もしていなかった企業」では、結果に天と地の差が出ます。

---