2026年3月、警察庁サイバー警察局 は、「令和7年におけるサイバー空間をめぐる脅威の情勢等について」を公表しました。

本レポートでは、2025年に発生したサイバー犯罪や攻撃の動向が整理されており、

ランサムウェアやAIの悪用、詐欺被害の増加など、サイバー脅威の現状が明らかになっています。

警察庁令和8年3月発表、令和７年におけるサイバー空間をめぐる脅威の情勢　～特にランサムウェアでは～／Yahoo! JAPANニュース公式／2026年3月23日

※以下引用

警察庁が公表した2025年のサイバー脅威情勢によれば、ランサムウェア被害は226件とされ、「高止まり」という表現が用いられている。

しかし、この数字をそのまま受け止めるのは危険である。むしろ、この数値の背後にある実態を冷静に読み解く必要がある。

まず、この226件という数字は、警察に報告された被害に限定されたものである。警察庁は半期ごとに被害件数を公表しており、今回の数値は2025年後半の集計を含む年間ベースの整理と考えられる。2024年と比較してわずか4件の増加にとどまり、「高止まり」と表現されているが、これは決して状況が安定していることを意味しない。むしろ、企業や組織における対策意識が向上しつつある中でも被害が減少に転じていないという事実こそ、ランサムウェアの脅威が依然として強固であることを示している。

さらに重要なのは、この226件という数字の持つ意味である。仮に年間226件を日本の企業数に照らせば、「1万社に1社以下」という低い確率に見える。しかし、この数字はあくまで「報告された被害」であり、実際の被害のごく一部に過ぎない。被害に遭っても公表しない企業、あるいは単なるシステム障害として処理してしまうケースも少なくない。また、攻撃を受けながらも被害が顕在化していない、あるいは検知されていないケースも含めれば、実際の攻撃件数は数十倍、場合によってはそれ以上に膨らむ可能性がある。つまり、「自社は大丈夫」という認識自体が最も危険なのである。

※ここまで

警察庁のレポートは、サイバー脅威の現状を示す重要な指標ですが、それはあくまで「見えている被害」に過ぎません。

本当に重要なのは、その背後にある“見えていない攻撃”の存在を前提に考えることです。

企業においては、侵入経路の一つとなり得るWebアプリケーションを含め、

自社の公開領域全体に対するセキュリティを見直すことが求められます。

サイバー攻撃が日常的なリスクとなった今、

「被害が起きていないから問題ない（安全）」ではなく、

「対策できているか（攻撃されても防げる状態になっているか）」を基準に判断することが重要といえるでしょう。