編集部
サイバー攻撃はもはやIT部門だけの問題ではなく、企業経営や国家安全保障を左右する現実的なリスクとなっています。ランサムウェア被害の長期化、サプライチェーンを狙った攻撃の高度化、そして国家を背景としたサイバー作戦の常態化により、日本社会は大きな転換点を迎えています。
特に近年は、政府による「能動的サイバー防御」への政策転換や、重要インフラ・民間企業に対する責任の明確化など、従来の前提を覆す動きが相次いでいます。こうした変化は、セキュリティ担当者だけでなく、経営層や事業責任者、さらには一般のビジネスパーソンにとっても無関係ではありません。
本記事では、日本における最新のサイバーセキュリティ動向を俯瞰しながら、攻撃の実態、政策・法制度の変化、企業に求められる対応、そして今後数年を見据えた技術と人材の論点を整理します。全体像を理解することで、自社や自身がどの立場で何を考えるべきか、そのヒントを得ていただけるはずです。
国家安全保障と経済活動が交差するサイバー空間の現在地
サイバー空間は、もはや企業のIT部門だけが向き合う技術領域ではなく、国家安全保障と経済活動が真正面から交差する戦略空間へと変化しています。2025年は日本にとって、その認識が制度・予算・組織のすべてに反映された転換点でした。政府資料や警察庁、NICT、IPAの分析を総合すると、サイバー攻撃は国家の主権や国民生活を揺るがすリスクであると同時に、企業の事業継続性を左右する経営リスクとして再定義されています。
象徴的なのが、政府がサイバー空間を陸・海・空・宇宙に続く「第5の戦場」と明確に位置づけた点です。ロシア・ウクライナ戦争におけるハイブリッド戦の実例や、中国・北朝鮮を背景とするAPTの活動は、重要インフラや企業ネットワークが地政学的対立の影響を直接受ける現実を示しました。**サイバー攻撃は企業単体の損失ではなく、国家経済全体の信頼性を損なう事象になっています。**
この変化は、数字にも表れています。NICTが運用するNICTER観測網では、2024年に観測された攻撃関連通信が約6,862億パケットと過去最高を更新しました。攻撃の多くは自動化され、特定企業だけでなく日本全体のネットワーク空間を常時スキャンしています。こうした無差別的な攻撃活動は、経済活動の基盤である通信・金融・物流を狙う予備行動とも解釈できます。
| 観点 | 国家安全保障への影響 | 企業経営への影響 |
|---|---|---|
| 攻撃対象 | 重要インフラ、行政機関 | 基幹システム、サプライチェーン |
| 目的 | 機能停止、情報窃取、抑止力低下 | 事業停止、信用失墜、損害賠償 |
| 時間軸 | 平時から有事まで継続 | 日常業務に直結 |
さらに重要なのは、国家の安全保障政策が企業活動の前提条件になりつつある点です。政府は能動的サイバー防御の導入を進め、通信事業者や重要インフラ事業者との連携を強化しています。これは裏を返せば、企業が保有するネットワークやデータが、国家防衛の一部として位置づけられ始めていることを意味します。**サイバー対策の不備は、経営判断の問題であると同時に、社会的責任の問題になりつつあります。**
IPAの脅威分析や警察庁の被害統計が示す通り、ランサムウェアやサプライチェーン攻撃は、経済合理性と政治的意図の双方を内包しています。身代金要求というビジネスモデルの裏側で、国家間の緊張や制裁回避が絡むケースも指摘されています。専門家の間では、今後の企業競争力は技術力や価格だけでなく、どれだけ国家戦略と整合したサイバー耐性を持つかで左右されるとの見方が強まっています。
サイバー空間の安全性は、経済成長の前提条件です。2025年以降、日本では国家と企業が同じ脅威ランドスケープを共有する時代に入りました。この現実を理解することが、これからの経営判断や投資戦略を考える出発点になります。
受動から能動へ進む日本のサイバー防御戦略
日本のサイバー防御は、2025年を境に「侵入されてから対応する」受動的モデルから、「侵入を未然に阻止する」能動的モデルへと大きく舵を切りました。政府がサイバー空間を陸・海・空・宇宙に続く第5の戦場として再定義したことは、単なる比喩ではなく、国家安全保障の実務に直結する概念転換を意味します。
これまでの日本は、被害発生後の復旧力、すなわちレジリエンスを重視してきました。しかし、NICTや警察庁の分析によれば、国家支援型のAPTは平時から長期間にわたり偵察活動を行い、攻撃の最適なタイミングを待っています。この現実の前では、事後対応だけでは主権と国民生活を守れないとの認識が共有されました。
この危機感の結晶が、能動的サイバー防御(ACD)の導入です。ACDでは、通信事業者などと連携し、攻撃の予兆段階でC2サーバーの特定や通信遮断、マルウェアの無害化といった措置を講じることが想定されています。これは、攻撃者の行動を能動的に妨害する点で、従来の防御概念とは質的に異なります。
| 観点 | 従来型防御 | 能動的サイバー防御 |
|---|---|---|
| 対応タイミング | 被害発生後 | 予兆検知段階 |
| 主な手段 | 復旧・再発防止 | 通信遮断・無害化 |
| 国家関与 | 限定的 | 横断的・常時的 |
もっとも、ACDは万能ではありません。日本国憲法が保障する通信の秘密との関係は避けて通れず、政府は公共の福祉との均衡を前提に、限定条件下での情報活用を可能とする法整備を進めています。専門家の間でも、民主的統制と透明性の確保が不可欠だとの指摘がなされています。
この新戦略を実行する司令塔として、内閣サイバーセキュリティセンターは国家サイバー統括室へと再編されます。NCOは警察庁の捜査知見、防衛省の防衛能力、そして民間の脅威インテリジェンスを集約し、迅速な意思決定を行う中枢として位置付けられています。
受動から能動への転換は、防御技術の進化ではなく、国家としての意思表明です。攻撃者の一歩先を読む姿勢を制度と組織で支えることで、日本は初めてサイバー空間における抑止力を持ち始めたと言えるでしょう。
能動的サイバー防御がもたらす法制度と企業への影響
能動的サイバー防御の導入は、技術論にとどまらず、日本の法制度と企業経営の前提条件を大きく書き換えつつあります。最大の論点は、日本国憲法第21条が保障する通信の秘密と、国家によるサイバー空間での先制的関与との調整です。政府は2025年に示した方針の中で、攻撃の明確な兆候が確認された場合に限り、攻撃者が用いるC2サーバーの特定や通信遮断を可能とする限定的な枠組みを検討していると説明しています。
この設計思想は、無制限な監視を認めるものではなく、警察庁や防衛省、総務省などが関与する多層的な統制を前提としています。NICTやIPAが蓄積してきた観測データと脅威分析が、法的判断の客観的根拠として活用される点も特徴です。**技術的エビデンスに基づき、権限行使を最小限に抑える**という姿勢は、欧米諸国の議論とも整合的だと専門家は指摘しています。
一方で企業側への影響は、より直接的かつ実務的です。特に重要インフラ事業者や大規模企業に対しては、インシデント発生時の報告義務や平時からの演習参加、脆弱性管理の厳格化が求められる方向にあります。これは努力義務の強化ではなく、違反時には行政指導や罰則の対象となり得る点で、ガバナンス上の重みがまったく異なります。
| 観点 | 従来 | 能動的サイバー防御後 |
|---|---|---|
| 通信の扱い | 原則不可侵 | 限定条件下で活用可能 |
| 企業の責任 | 被害後対応中心 | 予兆段階での対応義務 |
| 行政との関係 | 任意連携 | 制度化された協力関係 |
企業にとって重要なのは、これが単なる規制強化ではなく、経営判断の質を問う枠組みである点です。警察庁の統計やIPAの分析が示すように、攻撃はVPNや委託先など構造的な弱点を突いてきます。**自社の対応が不十分であった場合、事業停止だけでなく社会的説明責任を果たせないリスク**が現実化します。
結果として、取締役会レベルでの関与や、法務・IT・経営企画が横断的に連携する体制が不可欠になります。能動的サイバー防御は国家の安全保障政策であると同時に、企業に対して「サイバーリスクを経営リスクとして扱えているか」を静かに、しかし厳しく問いかける制度的メッセージだと言えます。
観測データが示すサイバー攻撃の量的・質的変化
観測データが示す最大の特徴は、サイバー攻撃が単に増えているだけではなく、量の拡大と質の転換が同時進行している点にあります。国立研究開発法人情報通信研究機構(NICT)が運用する大規模観測網NICTERの最新分析によれば、2024年に日本国内で観測されたサイバー攻撃関連通信は約6,862億パケットに達し、前年比で11%増加しました。
この数値は、攻撃が特定組織を狙う以前に、インターネット全体を無差別かつ機械的に探索する段階で既に膨大な負荷が発生していることを示しています。特に注目すべきは、攻撃の多くが人手ではなく自動化ツールによって実行されている点であり、攻撃者側が「規模の経済」を完全に手中に収めている現実です。
量的拡大を支えている主因の一つが、セキュリティ対策が不十分なIoT機器の急増です。NICTの推計では、日本国内だけでも1日平均約2,600台のIoT機器が新たにボットネットに組み込まれており、ピーク時には1万台を超える日も確認されています。これらはDDoS攻撃や侵入活動の踏み台として再利用され、攻撃トラフィックを連鎖的に増幅させています。
| 観測指標 | 直近データ | 示唆される変化 |
|---|---|---|
| 攻撃関連通信量 | 約6,862億パケット/年 | 常時スキャン型攻撃の常態化 |
| IoT感染台数 | 約2,600台/日(平均) | 低コストでの攻撃基盤拡張 |
| 主要侵入経路 | VPN・公開機器 | 境界防御モデルの限界 |
一方で質的変化も顕著です。IPAの「情報セキュリティ10大脅威2025」や警察庁の分析によれば、近年の攻撃はシステム破壊そのものよりも、事業停止や信用失墜を最短距離で引き起こす設計へと進化しています。ランサムウェアにおいても、暗号化を伴わずデータ窃取と恐喝だけを行うノーウェアランサムが確認され、攻撃サイクルは大幅に短縮されています。
この変化は、防御側の対応時間を意図的に奪う戦略といえます。実際、侵入から恐喝までが数時間以内で完結する事例も報告されており、従来型の検知・判断・対処プロセスでは間に合わない局面が増えています。専門家の間では、これを「高速化する攻撃経済」と位置付ける見方も強まっています。
観測データが突き付けているのは、攻撃が例外的事象ではなく、前提条件として常在する環境へ移行したという事実です。量的膨張が日常化し、質的にも即効性と心理的圧力を重視する方向へ進化する中で、サイバー攻撃はもはや技術問題にとどまらず、組織の意思決定速度と構造そのものを試す存在になっています。
ランサムウェアとサプライチェーン攻撃の最新動向
2026年時点において、ランサムウェアとサプライチェーン攻撃は日本企業にとって最も現実的かつ深刻な経営リスクとして定着しています。IPAが公表した情報セキュリティ10大脅威2025でも、ランサムウェアは5年連続で組織向け脅威の第1位を占めており、もはや一過性の犯罪ではなく、事業継続を狙った構造的攻撃であることが明確になっています。
警察庁の分析によれば、近年の被害事例で特に多い侵入経路はVPN機器の既知脆弱性です。テレワークの急拡大により導入されたVPNが十分に更新されないまま放置され、攻撃者にとって格好の足掛かりとなっています。さらに注目すべき変化として、**暗号化を行わず、データ窃取と暴露脅迫のみを行うノーウェアランサムが増加している点**が挙げられます。これはバックアップ対策を無力化し、情報管理体制そのものを企業に突きつける攻撃です。
一方で、サプライチェーン攻撃は単独の技術問題ではなく、企業間の信頼構造を悪用する攻撃へと進化しています。NISTサイバーセキュリティフレームワーク2.0でも強調されている通り、攻撃者は防御の堅い大企業を直接狙うのではなく、セキュリティ成熟度の低い子会社や委託先を経由して侵入します。**自社が直接攻撃されていなくても、取引先経由で事業停止に追い込まれるリスクが顕在化している**のが現状です。
| 観点 | ランサムウェア | サプライチェーン攻撃 |
|---|---|---|
| 主な侵入口 | VPN機器、RDP、認証情報漏えい | 委託先、子会社、外部ベンダー |
| 被害の性質 | 業務停止、情報漏えい、金銭要求 | 連鎖的被害、社会的信用の失墜 |
| 近年の特徴 | ノーウェアランサムの台頭 | TPRM不備の突発的露呈 |
NICTの観測データが示すように、攻撃の自動化と高速化は止まっておらず、被害発生までの時間は年々短縮されています。この環境下では、事後対応だけでは不十分であり、攻撃者の視点で自社と取引先を捉え直すことが不可欠です。経済産業省がASMや中小企業支援を重視する背景には、**サプライチェーン全体を一つの攻撃対象領域として管理しなければ、防御は成立しない**という共通認識があります。
ランサムウェアとサプライチェーン攻撃の本質は、「技術」ではなく「構造」を突く点にあります。だからこそ、最新動向を理解することは、セキュリティ担当者だけでなく、経営層や事業責任者にとっても不可欠な判断材料となっているのです。
経済安全保障の視点から見る産業政策とセキュリティ
経済安全保障の観点から見ると、サイバーセキュリティはもはや防御技術ではなく、産業競争力そのものを左右する政策領域として再定義されています。特に2025年以降、日本政府は半導体、通信、エネルギー、製造業といった基幹産業を、サイバー空間を含む統合的な安全保障の枠組みで捉え始めました。
経済産業省が主導するサプライチェーン強靭化政策は、その象徴的な動きです。IPAやNICTの分析によれば、国内企業への侵入経路の多くは、直接の大企業ではなく、取引先や海外子会社といった周辺部分に集中しています。これは産業構造そのものが攻撃対象になっていることを意味します。
この認識の下で進められているのが、セキュリティ対策を市場参加条件として組み込む制度設計です。政府調達や重要インフラ分野では、一定水準の対策実装や第三者評価が事実上の参入要件になりつつあります。
| 政策領域 | 目的 | 産業への影響 |
|---|---|---|
| セキュリティ対策評価制度 | 供給網全体の底上げ | 中小企業にも投資圧力 |
| JC-STAR制度 | IoT製品の安全性可視化 | 製品設計段階での競争 |
| ASM導入推進 | 外部露出資産の把握 | 継続的管理モデルへ転換 |
これらの施策は、セキュリティをコストから投資へと位置付け直すものです。経済協力開発機構(OECD)も、デジタル依存度が高い国ほどサイバーリスクがGDP成長に影響すると指摘しており、日本の政策転換は国際潮流と整合しています。
企業側にとって重要なのは、セキュリティ対応が競争優位や取引継続の条件になるという現実です。特に輸出産業では、EUのサイバーレジリエンス法など海外規制への適合が不可避となり、国内政策と国際標準を同時に満たす戦略が求められます。
経済安全保障は抽象的な概念ではありません。サイバーセキュリティを軸にした産業政策は、企業の経営判断、技術投資、人材配置に直接影響を及ぼし、日本経済の耐久力を試す試金石となっています。
ASMとゼロトラストが示す防御モデルの再設計
ASMとゼロトラストは、それぞれ独立したセキュリティ概念として語られることが多いですが、2025年以降の日本の脅威ランドスケープを踏まえると、両者は防御モデルを再設計するための補完関係にあると理解する必要があります。従来の境界防御が前提としてきた「守るべき内側」と「危険な外側」という区分は、クラウド利用やサプライチェーンの拡張によって事実上崩壊しました。その現実に対する回答が、外部視点で全資産を洗い出すASMと、内部も含めて一切を信用しないゼロトラストの組み合わせです。
経済産業省のASM導入ガイダンスによれば、多くの侵害事例では、組織自身が把握していなかった公開資産が侵入点になっています。たとえば、開発時に一時的に公開したクラウド環境や、子会社が独自に運用していたVPN装置などです。ASMは、攻撃者と同じ視点でインターネット上を継続的にスキャンし、こうした「存在自体がリスクとなる資産」を可視化します。一方で、可視化しただけでは防御は完結しません。可視化された資産に対して、どの通信や操作を許可するのかを厳密に制御する役割を担うのがゼロトラストです。
重要なのは、ASMが「どこが狙われ得るか」を示し、ゼロトラストが「侵入後に何をさせないか」を定義する点にあります。警察庁が指摘するランサムウェア被害の多くでは、侵入後の水平展開や特権昇格が被害拡大の決定打になっています。ゼロトラストに基づくID管理や最小権限設計が機能していれば、たとえASMで把握された脆弱な資産が突破されても、被害は局所化されます。
| 観点 | ASM | ゼロトラスト |
|---|---|---|
| 主な視点 | 攻撃者視点(外部) | 利用者・内部視点 |
| 主な目的 | 攻撃対象領域の把握と縮小 | 侵入後の被害抑止と制御 |
| 代表的な対象 | 公開サーバー、VPN、クラウド資産 | ID、端末、アプリケーション |
NICTやIPAの分析からも明らかなように、攻撃は自動化され、弱点を見つけ次第機械的に侵入を試みる時代に入りました。この環境下では、「侵入されないこと」を目標にする防御は現実的ではありません。ASMによって攻撃対象領域を最小化しつつ、ゼロトラストによって侵入後の行動を常に検証・制限することで、初めて防御モデルは現実に適応します。
実務的には、ASMの検出結果をゼロトラストのポリシー設計に反映させる運用が重要です。たとえば、新たに発見された外部公開資産に対し、即座に強固な認証やアクセス制御を適用する、といった連動が求められます。ASMとゼロトラストを分断せず、一つの循環型防御モデルとして設計できるかどうかが、2026年以降の組織のサイバーレジリエンスを大きく左右します。
量子時代を見据えた暗号技術とPQC移行の課題
量子コンピュータの実用化を見据えた暗号技術の転換は、サイバーセキュリティにおける最も中長期的かつ構造的な課題です。現在広く利用されているRSA暗号や楕円曲線暗号は、Shorのアルゴリズムによって将来的に解読可能であることが数学的に示されています。米国NISTや日本のCRYPTRECが耐量子計算機暗号、いわゆるPQCの標準化と移行指針を進めている背景には、この不可逆的な技術的事実があります。
特に深刻なのは、量子コンピュータが完成してから対策を始めても間に合わない点です。**「今盗まれ、将来解読される」Harvest Now, Decrypt Later型の攻撃はすでに現実的な脅威**であり、国家機密や医療データ、知的財産のように長期の機密性が求められる情報ほどリスクが高まります。NECのサイバーインテリジェンスレポートでも、2025年以降はデータの保存年数を前提に暗号方式を選択する発想への転換が必要だと指摘されています。
現場で最大の障壁となっているのが、暗号利用状況の可視化不足です。多くの企業や組織では、どのシステムのどこで、どの暗号方式が使われているかを正確に把握できていません。CRYPTRECのガイドラインでも、まず暗号インベントリの作成が最優先事項とされていますが、レガシーシステムやサードパーティ製品が混在する環境では、この作業自体が数年規模のプロジェクトになるケースもあります。
| 論点 | 従来暗号 | PQC移行後の課題 |
|---|---|---|
| 計算負荷 | 比較的軽量 | 鍵サイズ増大による性能影響 |
| 互換性 | 既存システムで安定運用 | 機器・ソフト更新が前提 |
| 運用設計 | 暗号更新は限定的 | ハイブリッド暗号の長期併用 |
PQCは安全性が高い一方で、鍵や署名サイズが大きく、通信遅延や処理性能への影響が避けられません。そのため、政府機関や重要インフラでは、既存暗号とPQCを併用するハイブリッド暗号方式が現実解として検討されています。NISTも移行期における段階的導入を推奨しており、一斉切替ではなくリスクベースでの優先順位付けが国際的な潮流です。
もう一つ見落とされがちな課題が、PQC移行の経営的インパクトです。暗号更新は直接的な売上を生まない一方、対応が遅れれば将来の法規制違反や取引停止につながる可能性があります。**PQC対応は「技術の問題」ではなく「時間軸を含む経営リスク管理」**であり、2026年時点ではすでに準備段階から実装計画へ踏み出せるかが、企業や組織の信頼性を左右し始めています。
AI活用が変えるセキュリティ運用と人材不足への対応
セキュリティ運用の現場では、攻撃の高度化と件数増加に対して人材が決定的に不足しており、このギャップを埋める現実的な手段としてAI活用が不可欠になっています。NICTの観測網が示す通り、1日あたり数十億規模の攻撃関連通信が飛び交う状況では、人間がアラートを逐一確認する従来型SOC運用はすでに限界を迎えています。AIは人を代替する存在ではなく、人の判断を成立させる前提条件として位置付けられ始めています。
具体的には、AIはログの正規化や相関分析、異常検知といった定型業務を高速かつ継続的に処理し、人間は影響評価や意思決定といった高度な判断に集中する役割分担が進んでいます。民間事例として紹介されているAI-SOC「Seceon OTM」では、ログ分析から初動対応までを自動化することで、少人数のITチームでも24時間365日の監視体制を維持できたと報告されています。この仕組みは、人材を増やさずに運用品質を引き上げる現実解として注目されています。
| 観点 | 従来型SOC | AI活用型SOC |
|---|---|---|
| アラート対応 | 人手での目視確認 | AIによる自動分類・優先度付け |
| 初動対応速度 | 数十分〜数時間 | 秒〜分単位 |
| 必要人員 | 複数名の専門要員 | 少人数+高度判断要員 |
研究機関レベルでもAI活用は進展しています。NICTが開発・運用する「NIRVANA改」は、ネットワークトラフィックをリアルタイムに可視化し、異常通信を即座に特定する基盤として進化してきました。近年は複数組織を横断した分析機能が強化され、一組織の検知結果を社会全体の防御力向上に還元する構造が実装されつつあります。これは、人材不足を個社努力で解決するのではなく、AIを介した協調防御へと発想を転換した好例です。
重要なのは、AI導入が人材育成を不要にするわけではない点です。AIが提示する判断結果を評価し、誤検知や見逃しを是正できる人材がいなければ、運用は形骸化します。IPAや専門家の指摘でも、今後求められるのは「手を動かす分析者」ではなく、「AIを使いこなし、リスクを経営判断に翻訳できる人材」だとされています。AI活用とは、省人化ではなく高度化のための投資であり、人材不足という制約条件を前提に、運用モデルそのものを再設計する取り組みだと言えます。
日本企業に求められるガバナンスと意思決定の変化
サイバーセキュリティが経営リスクの最上位に位置付けられたことで、日本企業にはガバナンスと意思決定の在り方そのものの変革が求められています。従来は情報システム部門や情シス子会社に委ねられてきた判断が、取締役会や経営会議レベルで即断を迫られるテーマへと格上げされた点が、2025年以降の最大の変化です。
背景には、ランサムウェアやサプライチェーン攻撃が事業停止や信用失墜に直結する現実があります。警察庁やIPAの分析でも、被害の初動対応の遅れが損害を拡大させるケースが繰り返し指摘されています。これにより、現場判断を待つ階層型の稟議プロセスでは対応が間に合わないという認識が、経営層に共有されつつあります。
その結果、多くの企業で意思決定構造の見直しが進んでいます。特に注目されるのが、サイバーインシデント発生時の権限委譲と責任の明確化です。経済産業省やNISTのフレームワークでも、経営層の関与がレジリエンス向上に不可欠だと強調されています。
| 観点 | 従来型 | 変化後 |
|---|---|---|
| 意思決定主体 | IT部門中心 | 取締役会・CxO |
| 判断スピード | 事後・段階的 | 即時・事前承認 |
| 責任の所在 | 部門責任 | 経営責任 |
また、ガバナンスの変化は形式面にも及んでいます。社外取締役にサイバーセキュリティの専門知見を求める動きや、CISOを経営直轄ポジションに置く企業が増えています。NICTやIPAが示す統計を見ても、被害報告の質が高い企業ほど、平時から経営層が関与している傾向が確認されています。
さらに重要なのは、意思決定の基準が「コスト最小化」から「事業継続性と説明責任」へと転換している点です。セキュリティ投資は短期的なROIでは測れず、有事に企業価値を守れるかどうかが評価軸になりつつあります。これは、統合報告書やESG評価においても、サイバーリスク開示が重視され始めた流れと一致します。
このように、日本企業に求められるガバナンスと意思決定の変化とは、単なる組織図の修正ではありません。サイバー空間を前提とした経営判断を日常化し、危機時には迷いなく動ける体制を構築できるかどうかが、2026年以降の競争力を左右する分岐点になっています。
参考文献
- 警察庁:令和6年におけるサイバー空間をめぐる脅威の情勢等について
- 国立研究開発法人情報通信研究機構(NICT):NICTER観測レポート2024
- 独立行政法人情報処理推進機構(IPA):情報セキュリティ10大脅威 2025
- 経済産業省:経済産業省におけるサイバーセキュリティ政策について
- NEC:耐量子計算機暗号に関連する動向2025
- NTT西日本:情報セキュリティ強化に向けた取り組みの進捗状況について