USEN ICT Solutionsが全国1,932名の情報システム担当者を対象に行った実態調査(2024年11月~2025年10月実施)によると、調査対象企業の約70%はEDRは未導入で、30%はファームウェアを最新に更新しているか分からないと回答していました。
EDRは普及していない
中小企業の現場の体感通り、EDRがまだ当たり前の対策になっていません。
本レポートでは、EDR(Endpoint Detection and Response)の導入状況を尋ねた結果、導入済みは19%にとどまり、未導入が68%に達しています。
現場の本音としては、次世代セキュリティが必要だと言われ続けている一方で、従来型のアンチウイルス(EPP)を継続している企業が多数派というのが実態です。マルウェア対策ソフトの利用状況でも、ESETやTrend Micro、Microsoft Defenderといった従来から使われてきた製品が上位に並び、EDRへの本格移行が一気に進んでいる状況ではないことが読み取れます。
昨今のサイバー攻撃はアンチウイルスソフトで防げない事が多くなっていますが、一方でEDRは運用が必要になりコスト的/人的リソース的にも導入が進んでいない事が分かります。
関連:EDRとは?意味やウイルスソフトやUTMとの違いを解説
3割が機器の自社のファームウェアの更新状況を知らない
次に、より危ないのがネットワーク境界側の運用です。ゲートウェイセキュリティ機器(UTM等)のファームウェアが最新かどうかを尋ねた設問では、わからないが32.5%でした。つまり、3社に1社が最新性を把握できていない状態です。
さらに踏み込むと、アップデートをどのように対応しているかという設問でも、どのようにアップデートしているかわからないが28.6%で最多です。
サイバー攻撃は基本的に既知の脆弱性を悪用しますので、既知の脆弱性に対応する為機器のソフトウェアを最新状態にすることは必須です。
過去、岡山県精神科医療センターへのサイバー攻撃では長期間脆弱性を放置し、パスワードを使いまわし、ネットワーク機器をアップデートしていなかった為甚大な被害が発生していました。
既知の脆弱性を管理する事は自社・サプライチェーン全体でもセキュリティ対策の基本となっています。
関連:岡山県精神科医療センターの個人情報漏洩は「人災」 ランサムウェアによるサイバー攻撃の調査報告書を発表
2026年サプライチェーン評価制度に向けた第一歩
レポートは、経済産業省が進めるサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)が、2026年度末頃の運用開始を想定している点に触れています。
そして調査結果からも、制度やガイドライン対応への関心が非常に高いことが分かります。
一方で、足元の現実として、取引先から情報セキュリティ調査票の提出を求められたことがある企業は39.5%です。すでに約4割が調査票対応のフェーズに入っています。
ここで問題になるのが、前述の通り、機器の更新状況が分からない、EDRも未導入が多数派という状況です。
この状態だと、調査票に正確に答えられません。分からないので分からないと書くのか、推測で埋めるのか、どちらに転んでも後で非常に揉めやすくなります。
アクションとしては、まず現状把握です。ブラックボックス化しているゲートウェイの契約と運用の棚卸しを行い、エンドポイントはEDR導入の是非を検討する必要があります。
参照
サプライチェーン強化に向けたセキュリティ対策評価制度スタート直前!情シス1,932名に聞いた セキュリティ対策の実態調査レポート
関連記事
Anthropic、Claude Codeを悪用した大規模サイバースパイ活動を阻止-中国系 サイバー攻撃 グループか
企業のAI 導入が招く情報漏洩 リスク-シャドーAIと権限過多が明らかに
Microsoft Power BI で機密情報を公開する脆弱性を確認
Spotifyの視聴データの約99.6%をカバーする海賊版サイトが公開-Spotifyは不正アクセスの調査を開始
ホテルなどの宿泊業を狙う偽ブルースクリーンとClickFix型マルウェアによるサイバー攻撃
MongoDBのインスタンスは依然としてサイバー攻撃の標的になっている
Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス
VMWare Fusionで危険度の高い脆弱性が修正(CVE-2024-38811)
ルイ・ヴィトン(Louis Vuitton)で複数の国で大規模な個人情報漏洩-英国・日本・韓国・トルコなど
