This is the Trace Id: eff013ee16037be8654b152a7403b9e6
メイン コンテンツへスキップ Microsoft Security が選ばれる理由 AI 搭載のサイバーセキュリティ クラウド セキュリティ データ セキュリティとガバナンス ID とネットワーク アクセス プライバシーとリスク管理 AI 対応のセキュリティ 統合セキュリティ オペレーション ゼロ トラスト Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) Microsoft Entra エージェント ID Microsoft Entra 外部 ID Microsoft Entra ID ガバナンス Microsoft Entra ID 保護 Microsoft Entra Internet Access Microsoft Entra Private Access Microsoft Entra Permissions Management Microsoft Entra Verified ID Microsoft Entra ワークロード ID Microsoft Entra Domain Services Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender for Endpoint Microsoft Defender for Office 365 Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft Security 露出管理 Microsoft Defender 脆弱性の管理 Microsoft Defender 脅威インテリジェンス Microsoft Defender スイート for Business Premium Microsoft Defender for Cloud Microsoft Defender クラウド セキュリティ態勢管理 Microsoft Defender 外部攻撃面管理 Azure Firewall Azure Web App Firewall Azure DDoS Protection GitHub での高度なセキュリティ Microsoft Defender for Endpoint Microsoft Defender XDR Microsoft Defender for Business Microsoft Intune の中核的な機能 Microsoft Defender for IoT Microsoft Defender 脆弱性の管理 Microsoft Intune 高度分析 Microsoft Intune エンドポイント特権管理 Microsoft Intune エンタープライズ アプリケーション管理 Microsoft Intune リモート ヘルプ Microsoft クラウド PKI Microsoft Purview コミュニケーション コンプライアンス Microsoft Purview コンプライアンス マネージャー Microsoft Purview データ ライフサイクル管理 Microsoft Purview eDiscovery Microsoft Purview 監査 Microsoft Priva リスク管理 Microsoft Priva 主体の権利要求 Microsoft Purview データ ガバナンス Microsoft Purview スイート for Business Premium Microsoft Purview データ セキュリティ機能 価格 サービス パートナー サイバーセキュリティ意識向上 お客様導入事例 セキュリティ 101 製品試用版 業界での評価 Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security のブログ Microsoft Security のイベント Microsoft Tech Community ドキュメント 技術コンテンツ ライブラリ トレーニングと認定 Compliance Program for Microsoft Cloud Microsoft トラスト センター Service Trust Portal Microsoft セキュア フューチャー イニシアティブ ビジネス ソリューション ハブ 営業に問い合わせる 無料試用を開始する Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva 量子コンピューティング 持続可能性 教育機関 自動車 金融サービス 行政機関 医療 製造業 小売業 パートナーを探す パートナーになる パートナー ネットワーク Microsoft Marketplace Marketplace Rewards ソフトウェア開発会社 ブログ Microsoft Advertising デベロッパー センター ドキュメント イベント ライセンス Microsoft Learn Microsoft Research サイトマップの表示

2026 年版データ セキュリティ インデックス発表:AI 時代におけるデータ保護のためのインサイトと戦略。

レポートを入手する

データ侵害とは

データ侵害を特定する方法と、組織を継続的に保護するための予防策と対応策をご覧ください。

データ侵害の定義

データ侵害は、個人情報や機密データが、所有者の知ることなく許可なしにシステムから盗まれたり持ち出されたりするデータ セキュリティ インシデントです。データ侵害は、中小企業大企業、政府機関、非営利組織に至るあらゆる規模の組織に発生する可能性があります。これにより、社会保障番号、銀行口座、金融データ、医療情報、知的財産権、顧客記録などの個人データにアクセスされる可能性があります。 データ侵害は、意図的または意図することなく、内部または外部の行為によって発生する可能性があります。

データ侵害は、評判の悪化、経済的損失、業務の中断、法的な影響、知的財産権の喪失など、深刻かつ永続的な問題を引き起こす可能性があります。今日では、多くの組織がデータ侵害を防ぐために、サイバーセキュリティのベスト プラクティスを実装しています。

データ侵害の種類

データ侵害はしばしばサイバー攻撃と混同されますが、この 2 つの用語は同じ意味ではありません。サイバー攻撃は、接続されたあらゆるデバイスを標的とする可能性があり、機密データが流出することもあれば、流出しないこともあります。一方、データ侵害は、機密情報の開示、置換、破棄などが行われます。
最も一般的なデータ侵害の種類の一覧を次に示します。

外部データ侵害

この種の侵害は、サイバー攻撃者が組織の外部から情報を盗み出すセキュリティ インシデントです。

  • ハッカーによるサイバー攻撃: デバイス、ネットワーク、またはシステムに不正にアクセスし、データを破損または流出させるもの。 
  • フィッシング とソーシャル エンジニアリング: 信頼できる情報源から発信されたように見せかけた詐欺的な通信内容を送信し、被害者をだまして個人情報を開示させるもの。
  • ランサムウェア: 被害者の重要なデータやシステムを破壊する、違法に開示する、アクセスできなくするなどと脅迫し、取りやめの条件として身代金を要求するもの。
  • マルウェア: 悪意あるアプリケーションまたはコードによって、エンドポイント デバイスの通常の使用を妨害し、データを使用できなくするもの。
  • DDoS: Web サイトとサーバーを標的にしてネットワーク サービスを妨害することで、アプリケーションのリソースを枯渇させ、データを破壊するもの。
  • ビジネス メール詐欺 (BEC): 嘘のメールを送りつけて、受信者に、送金や会社の機密情報流出などの行動をとらせるもの。 

内部データ侵害 

このような侵害は、データへのアクセスを承認されたユーザーによって組織内で発生します。

  • 内部関係者によるサイバー脅威: 現在の従業員や契約社員、パートナー、許可を与えられたユーザーが、悪意または偶発的なアクセス権の乱用により、潜在的なデータ セキュリティ インシデントを引き起こすもの。 
  • 偶発的なデータ流出: 不十分なセキュリティ対策、人為的ミス、またはその両方によりセキュリティ インシデントが発生するもの。

一般的なデータ侵害のターゲット

サイバー攻撃者が情報を盗み出す場合、金銭的な利益が動機である場合が多く見られます。あらゆる個人や組織がデータ侵害のリスクにさらされていますが、他の業界よりも標的にされやすい業界もあります。 政府機関、医療、ビジネス、教育、エネルギーなど、その事業内容によって標的となる業種は異なります。 脆弱なセキュリティ対策も、データ侵害の格好の標的になります。これには、パッチ未適用のソフトウェア、脆弱なパスワード保護、簡単にフィッシングされるユーザー、侵害された資格情報、メール暗号化の未実施などが含まれます。

サイバー攻撃者の標的にされることが多い情報の種類には、以下のようなものがあります。

  • 個人を特定できる情報 (PII): 氏名、社会保障番号、生年月日、出生地、電話番号、メール アドレス、自宅の住所など、個人の特定につながるあらゆる情報。
  • Protected health information (PHI): 電子記録および紙媒体での、患者の身元とその健康状態、病歴、治療を特定する記録。これには、人口統計データ、個人情報、医療記録、健康保険、口座番号などが含まれます。
  • 知的財産権 (IP): 特許、著作権、商標、選挙権、営業秘密、デジタル資産など、人間の知性に基づく無形資産。たとえば、企業のロゴ、音楽、コンピューター ソフトウェア、発明、ドメイン名、文学作品などです。
  • 財務データおよび決済データ: クレジット カード番号やデビット カード番号、支払い行動、個別取引、企業レベルのデータなど、支払いから収集されたあらゆる個人情報および財務情報。
  • ビジネスに不可欠なデータ: ソース コード、事業計画、合併および買収に関するファイル、規制やコンプライアンス上の理由で保管が義務付けられているデータなど、事業の成功に不可欠なあらゆる情報。
  • 業務データ: 組織の日常業務に不可欠なデータ。これには、財務諸表、法的文書、バッチ ファイル、請求書、売上報告書、IT ファイルなどが含まれます。

データ侵害の影響

データ侵害は、個人、企業、政府機関のいずれであっても、コストと時間がかかり、長期的な損害を引き起こす可能性があります。企業にとって、データ侵害は企業の評判を傷つけ、顧客の信頼を失墜させ、時にはそのインシデントとの関連性が永続的に尾を引く場合もあります。また、事業損失、罰金、和解金、弁護士費用など、収益に多大な影響を及ぼすものもあります。
政府組織は、軍事情報、政治戦略、国家データなどが海外に流出し、政府や国民に多大なサイバー脅威をもたらすことで、影響を受ける可能性があります。詐欺は、個人データ侵害の被害者にとって最も一般的なサイバー脅威の 1 つであり、信用を失墜し、法的問題および経済的問題を引き起こし、自身を危険にさらす可能性があります。

実際のデータ侵害とその経済的影響

Web サービス プロバイダー

2013 年から 2016 年にかけて、アメリカの大手 Web サービス プロバイダーが、事実上史上最大のデータ侵害の標的になりました。ハッカーは、リンクを含む一連のメールを通じて、 30 億人の全ユーザーの名前、生年月日、電話番号、パスワード、セキュリティの質問と回答、メール アドレスにアクセスしました。情報流出の程度は同社が買収されるまで公表されず、その結果、買収提示額は 3 億 5,000 万米国ドル減額されました。 

信用調査機関

ハッカーは、2017 年に米国の信用調査機関に侵入し、1 億 4,700 万人以上のアメリカ人の個人情報を盗み出しました。現在では、なりすましに関連する最大のサイバー犯罪の 1 つと考えられています。サイバー攻撃者は、ネットワークにアクセスした後、他のサーバーに移動し、社会保障番号、運転免許証番号、クレジット カード番号などの個人情報にアクセスしました。最終的に、同社は罰金と手数料で 14 億米ドルを負担して損害賠償を行いました。 

小売会社

大手小売チェーン 2 社の親会社は、2007 年にコンシューマー データ侵害の被害に遭いました。これは当時、米国史上最大かつ最も経済的損失の大きいデータ侵害と見られていました。ハッカーは、店舗の決済システムに不正アクセスして顧客データにアクセスし、流出した約 9,400 万件の顧客記録を持ち去り、USD$2 億 5,600 万を超える経済的損失を引き起こしました。

データ侵害のライフサイクル

あらゆるデータ侵害手法は、5 つのフェーズからなるライフサイクルに従います。これらのフレーズを理解することで、データ侵害のリスク軽減に役立つ予防策を実装できます。

  1. 偵察と脆弱性スキャン
    データ侵害のライフサイクルは、サイバー攻撃者が攻撃しようとするシステム、個人、または組織のセキュリティ上の弱点を発見することから始まります。その後、脆弱性の種類に適した戦略を決定していきます。

  2. 最初の侵害
    ネットワークベースのサイバー攻撃では、標的となるインフラストラクチャの弱点を突きます。ソーシャル サイバー攻撃では、悪意のあるメールを送信したり、その他のソーシャル エンジニアリングの手口で侵入を仕掛けます。

  3. 横移動と特権エスカレーション
    横移動は、サイバー攻撃者が最初のアクセス後にネットワークの深部に侵入するライフサイクルの一環です。その後、特権エスカレーションと呼ばれる特権を昇格させる手法を用いて、目的を達成します。

  4. データ流出
    これは、コンピューター、デバイス、アプリ、サービス、データベースからのデータの意図的な不正コピー、転送、移動を伴うセキュリティ侵害の一形態です。

  5. 証拠隠滅
    データ侵害ライフサイクルの最終段階は証拠隠滅です。これは、サイバー攻撃者が検出を免れるためにすべての証拠を隠すことです。これには、監査機能の無効化、ログのクリア、ログ ファイルの操作などがあります。

データ侵害の特定と対応

データ侵害の被害を最小限に抑えるには、検出と迅速な対応が不可欠です。調査プロセスに遅れが生じると、事業と最終損益に打撃を与えかねないため、一刻を争います。データ侵害の特定と対応には、7 つの基本手順があります。そのフェーズには次のようなものがあります。

  1. データ侵害の種類の特定
    主な例として、セキュリティ脆弱性の検索、一般的なネットワークのセキュリティ侵害、サイバー攻撃の通知などがあります。インジケーターは、侵害が既に発生しているか、現在実行中であることを意味します。多くの場合、不審なメールまたはログイン セキュリティ アクティビティによって検出されます。侵害は、退職した従業員がデータ窃盗を行った場合に社内で発生することもあります。

  2. 早急な予防措置の採用
    特定の日時を記録してください。次に、侵害を内部関係者に報告し、その後、データへのアクセスを制限する必要があります。

  3. 証拠の収集
    侵害を特定した人物に話を聞き、サイバーセキュリティ ツールをチェックし、アプリ、サービス、サーバー、デバイスにおけるデータの動きを評価します。

  4. 侵害の分析
    トラフィック、アクセス、期間、ソフトウェア、データとユーザーの関与、侵害の種類を調査します。

  5. 制限、証拠隠滅、復旧の予防措置
    サーバーやアプリへのアクセスを制限し、証拠隠滅を予防し、サーバーを元の状態に復旧させるために迅速に行動します。

  6. 関係者への通知
    関係者と法執行機関に侵害について通知します。

  7. 保護措置へのフォーカス
    侵害を調査し、将来の侵害を防止するための新たなインサイトを生み出します。

データ侵害検出と対応のためのツール

アラートを監視し、データ侵害に対して迅速に対応するための具体的なツール、保護および対応システム、データ セキュリティには、次のようなものがあります。

  • 侵入検出システム (IDS) と侵入防止システム (IPS) は、すべてのネットワーク トラフィックを監視し、サイバー脅威の可能性となる兆候を検出します。
  • セキュリティ情報イベント管理 (SIEM) は、セキュリティのサイバー脅威が組織のビジネス運営に支障をきたす前に検知、分析、対応するのに役立つソリューションです。
  • インシデント応答の計画と実行では、セキュリティ オペレーションの重要な手順であるアクセス制御を実装します。
  • サイバーセキュリティの専門家は、インシデント対応、手順の開発、監査の実施、脆弱性の特定を専門としています。
  • データ セキュリティ ソリューションには、データ損失防止インサイダー リスク管理などがあり、重大なデータ セキュリティ リスクが実際のインシデントに発展する前に検出するのに役立ちます。
  • 適応型保護は、リスクの高いユーザーに厳格なセキュリティ制御を自動的に適用し、潜在的なデータ セキュリティ インシデントの影響を最小限に抑えることができます。

データ侵害の防止 

データ侵害を防止し、被害を軽減するための計画やポリシーの策定は、どのような組織にとっても重要です。これには、詳細な手順や専門の対応チームなどの包括的なインシデント対応計画や、インシデントが発生した場合に業務を継続し復旧する方法などがあります。
組織の危機管理の長所と短所をテストする 1 つの方法は、データ侵害のシミュレーションである卓上演習です。最後に、社内外の関係者間のコラボレーションは、常に情報を入手し、インサイトを収集し、組織のセキュリティ向上に向けて連携するための強力なツールです。

中小企業、大企業、政府機関、非営利組織にかかわらず、ほとんどすべての組織に有効な対策は次のとおりです。

Microsoft データ保護ツールを使用して、次のようなことができる組織のデータ侵害防止、検出、および対応ツールを入手できます。

  • 最新のデータ セキュリティ ソリューションとベスト プラクティスで組織を最新の状態に維持します。
  • コストがかかり長期にわたる損害から組織を保護します。
  • 評判、業務、最終収益に対する重大なサイバー脅威から保護します。 

Microsoft Security の詳細情報

情報保護とガバナンス

データを、その存在場所にかかわらず安全に守りましょう。機密データをクラウド、アプリ、デバイスのすべてにわたって保護することができます。
 

詳細情報

Microsoft Purview

お客様の組織のデータのガバナンス、保護、コンプライアンスのためのソリューションを詳しくご紹介します。
 

詳細情報

Microsoft Purview データ損失防止

Office 365、OneDrive、SharePoint、Microsoft Teams、エンドポイント全体の機密情報をインテリジェントに検出し、制御します。

詳細情報

Microsoft Purview データ ライフサイクル管理

組み込みの情報ガバナンスとインテリジェントな機能を使用して、コンテンツに関する法的、ビジネス、プライバシー、規制の義務を果たします。

詳細情報

Microsoft Purview 情報保護

どのデータが機密でビジネス クリティカルかを把握してから、お客様の環境全体でそのデータを管理し、保護することができます。

詳細情報

Microsoft Purview インサイダー リスク管理

統合型、エンドツーエンドのアプローチで内部関係者のリスクをすばやく特定し、アクションを取ることができます。
 

詳細情報

よく寄せられる質問

  • データ侵害とは、誰かが偶発的または悪意を持って、機密データや個人情報に無断でアクセスしたことを意味します。

  • データ侵害の例として、サイバー攻撃による顧客情報へのアクセス、サードパーティのハッカーによる実際のサイトを模倣したサイトの作成、従業員が誤ってウイルスを含むファイルをダウンロードしてしまうことなどが挙げられます。

  • データ侵害は、機密情報を悪用したセキュリティ違反です。ハッキングは、ネットワークやデバイスにアクセスし、それらのシステムを侵害することです。

  • データ侵害が発生すると、盗難、詐欺、長期的な問題のリスクにさらされます。サイバー攻撃に対応し、さらなる被害から保護することで、早急に改善のための処置を講じることが重要です。

  • 企業の Web サイトにアクセスしたり、信用調査機関に相談したり、データ侵害をスキャンできるサードパーティ製の Web サイトで確認したりします。また、アカウントやファイルに対する不審なアクティビティを監視することも重要です。

  • データ侵害は、ネットワーク、デバイス、システムに脆弱性がある場合に発生します。これには、脆弱なパスワード、ソーシャル エンジニアリング、パッチ未適用のアプリケーション、内部関係者によるリスク、マルウェアなどがあります。

Microsoft Security をフォロー

Surface Pro Surface Laptop Surface Laptop Studio 2 組織用 Copilot 個人用 Copilot Windows での AI Microsoft 製品を見る Windows 11 アプリ アカウント プロファイル ダウンロード センター Microsoft Store サポート 返品・返金 ご注文履歴 Microsoft Store をお選びいただく理由 Microsoft Education 教育機関向けデバイス Microsoft Teams for Education Microsoft 365 Education Office Education 教育者向けトレーニングおよび開発 学生および保護者向けキャンペーン 学生向け Azure
Microsoft AI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft 開発者 Microsoft Learn AI マーケットプレース アプリのサポート Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio 採用情報 会社のニュース マイクロソフトにおけるプライバシー 投資家 アクセシビリティ 持続可能性
日本語 (日本)
プライバシーに関する選択のオプトアウト アイコン プライバシーに関する選択
コンシューマーの正常性のプライバシー Microsoft に問い合わせ プライバシー 特定商取引法に基づく表示 Cookie の管理 使用条件 商標 広告について