2025 年 1 月末、米国のセキュリティ企業 Wiz社が中国 AI サービス企業 DeepSeek社の内部データベースがインターネット上で公開されているという調査を発表し、セキュリティ界隈に衝撃が走りました。秘密鍵やチャット履歴など機微情報を含むデータベースが誰でもアクセス可能な状態で放置されていたのです。
「データベースをインターネット上に公開するなど、あり得ない」
そう思いますよね? しかし、この「あり得ない」という感覚は正しいのでしょうか。私たちは日本の上場企業 3,800 社以上を対象に、弊社で研究開発中のインターネット観測システムを用いて詳細な調査を実施しました。その結果は、セキュリティの専門家でさえ驚愕するものでした。
●調査結果:「あり得ない」は実は「たまにある」
まず、DeepSeek社と同様に、データベースをインターネット上に公開している企業の数を、東京証券取引所の市場区分であるプライム市場、スタンダード市場、グロース市場のそれぞれに分けて調査しました。ここでは、ClickHouse、ElasticSearch、Microsoft SQL Server、MongoDB、MySQL、Oracle Database、PostgreSQL のいずれかのサービスがインターネット上に公開されていた場合、検出とみなしています。
企業が所有するドメインを対象に調査を実施したところ、以下の結果となりました。
市場 | 企業数 | 検出企業数 | 検出率 |
|---|---|---|---|
プライム市場 | 1,635 | 204 | 12% |
スタンダード市場 | 1,579 | 208 | 13% |
グロース市場 | 607 | 48 | 7% |
10 % を超えています。これは「あり得ない」どころか「たまにある」レベルの頻度であり、日本企業のセキュリティに対する認識に疑問を投げかけます。
データベース以外にも、ウェブサイトの実態も調べてみましょう。脆弱なバージョンの WordPress をインターネット上に公開している企業の数を調査しました。ここでは、CVSSv3深刻度が High または Critical の脆弱性をもつ WordPressバージョンが動いている場合、検出とみなしています。調査結果は以下の通りです。
市場 | 企業数 | 検出企業数 | 検出率 |
|---|---|---|---|
プライム市場 | 1,635 | 237 | 14% |
スタンダード市場 | 1,579 | 249 | 15% |
グロース市場 | 607 | 99 | 16% |
これも 10 % を超えています。
WordPress だけの問題かもしれないので、古いウェブサイトを放置している企業の数も調査しました。ここでは、コピーライトの年号をもとに放置されているか判断しています。調査結果は以下の通りです。
市場 | 企業数 | 検出企業数 | 検出率 |
|---|---|---|---|
プライム市場 | 1,635 | 310 | 18% |
スタンダード市場 | 1,579 | 263 | 16% |
グロース市場 | 607 | 65 | 10% |
やはり 10 % を超えており、ウェブサイトを放置しているという状況は「たまにある」というのが実態のようです。
これまでの調査結果から、日本の上場企業のセキュリティ実態について、いくつかの重要な傾向が浮かび上がってきました。データベースの公開、古いウェブサイトの放置、いずれの観点においても、検出率は 10 % 以上であり、「あり得ない」ではなく「たまにある」というのが実態であると言えるでしょう。
●セキュリティ向上のための 3 つの対策
これらの問題に対して、企業はどのような対策を講じるべきでしょうか。
まず、**包括的な資産管理** が不可欠です。企業が所有するドメイン、そこで動くデータベース、ウェブサイトなどのサービスを把握し、定期的に監査する体制を整えることが重要です。特に、M&A などで統合された組織の IT アセットは見落とされがちであり、注意が必要です。
次に、**自動化されたセキュリティチェック** の導入が効果的です。手動での管理には限界があるため、脆弱性スキャン、設定チェック、パッチ管理などを自動化することで、人的ミスを減らし、効率的なセキュリティ管理が可能になります。
さらに、**セキュリティポリシーの統一と徹底** も重要です。特に大企業においては、部門ごとに異なるセキュリティ基準が適用されていることがあります。全社的なセキュリティポリシーを策定し、それを確実に実施するためのガバナンス体制を整えることが必要です。
●終わりに:「あり得ない」を本当に「あり得ない」ものに
企業のセキュリティ対策は、単なるコンプライアンスの問題ではなく、ビジネスの継続性や信頼性に直結する重要な経営課題です。DeepSeek社の事例のような情報漏洩は、企業の評判を大きく損なうだけでなく、法的責任や経済的損失をもたらす可能性があります。
日本企業は、「あり得ない」状況を本当に「あり得ない」ものとするために、セキュリティ体制の抜本的な見直しと強化に取り組むべき時が来ています。特に、DX(デジタルトランスフォーメーション)が進む中、デジタル資産の保護はますます重要性を増していくでしょう。
今後もエーアイセキュリティラボでは、日本企業のセキュリティレベル向上に貢献してまいります。
●備考
世界的に有名なゲームMinecraft のサーバーを公開している企業も存在することが確認されました。調査結果は以下の通りです。
市場 | 企業数 | 検出企業数 |
|---|---|---|
プライム市場 | 1 635 | 2 |
スタンダード市場 | 1 579 | 1 |
グロース市場 | 607 | 0 |
誤検知だろうと思い、手動で精査してみましたが、実際に動いていました。上場企業が、まるで Minecraft のクリエイティブモードでレッドストーン回路を自在に組み上げるかのように、巧みに IT基盤を構築・運用している現状を象徴しています。
