ビジネスを加速させるワークスタイル（第26回） 中小企業が狙われるのはなぜ？ 情報セキュリティ対策に必要な視点

1．大企業より中小企業が狙われる、サイバーセキュリティの現状

　「あなたの会社は、明日から業務が停止しても大丈夫ですか？」、そう問われて「大丈夫です」と答えられる企業はまずないだろう。企業は日々の業務を通じて価値を生み、継続してこそ存在意義を持つからだ。

　しかし現実には、サイバー攻撃、とりわけランサムウエア攻撃によって、業務の一部あるいは中核機能が長期間停止に追い込まれる企業や組織の事例が後を絶たない。警察庁が公表した「令和７年におけるサイバー空間をめぐる脅威の情勢等について」（2026年3月）によれば、ランサムウエア被害から1カ月未満で復旧できた組織は全体の約５割にとどまり、被害の長期化が顕著である。また、復旧に1000万円以上を要した組織も過半数に達しているという。

　ランサムウエアとは、コンピューターシステムに侵入し、データの窃取や暗号化を行ったうえで、復旧と引き換えに金銭を要求する攻撃である。近年では、窃取した情報の公開をちらつかせる「二重恐喝」が一般化している。多くの企業は、生産・在庫管理、販売・顧客の管理、人事、経理、さらには日常的なオフィス業務までをITに依存している。これらのシステムやデータが停止すれば、事業活動そのものが立ち行かなくなるのは言うまでもない。

　ここで強調しておきたいのは、「サイバー攻撃は大企業を狙うものであり、中小企業は対象になりづらい」という誤解である。実際には、組織規模別の被害データを見ると、2023年から2024年にかけて中小企業の被害が約4割増加。さらに2025年には、ランサムウエア被害226件のうち143件が中小企業となり、全体の6割以上を占めた。

　すなわち、サイバー攻撃はもはや一部の大企業だけの問題ではない。むしろ、防御体制が相対的に弱い中小企業こそが、主要な標的となりつつある現状を把握しておきたい。

2．なぜ中小企業がサイバー攻撃の標的となりやすいのか、実際どんなリスクがあるか

　近年、ランサムウエア攻撃の標的は、企業規模や知名度ではなく、セキュリティ上の「隙」があるかどうかで選ばれる傾向に変わりつつある。攻撃者にとって重要なのは、侵入のしやすさと効率、ということになる。

　その理由を考えていこう。中小企業においてまず指摘されるのが、セキュリティ投資の不足である。限られた予算の中では、日々の業務や設備投資、人件費など差し迫ったもの優先で、セキュリティ対策は後回しになりがちな現状がある。また人的リソースも不足しており、専任のセキュリティ担当を配置できる企業は多くない。

　情報システム担当者が１名のみ、あるいは他業務との兼任であるケースも多く、日ごろの対策の不備に加え、インシデント発生時の検知や初動の遅れが被害拡大を招くリスクも高いといわれる。

　さらに、サポートが終了した古い機器やファームウエア、OS、ソフトウエアの更新不足により脆弱性が放置されているケースも少なくない。コロナ禍以降に普及したVPNやクラウドサービスを利用したリモートワークでも、不適切な設定や脆弱な運用が見受けられる。こうした「隙」を、攻撃者は確実に突いてくる。

　攻撃手口としては、従業員を標的とした「フィッシングメール（標的型攻撃メール）」が依然として有効である。教育や対策が不十分な環境では、メールを起点にマルウエア感染やランサムウエア侵入が発生しやすい。さらに、機密情報の流出や、取引先を装ったビジネスメール詐欺による不正送金といった被害にもつながる。

　このような攻撃により発生するリスクは多岐にわたる。業務停止や復旧コストといった直接的な損失に加え、顧客や取引先の情報漏えいによる信用失墜、さらにはサプライチェーン全体への影響も無視できない。関連企業や取引先まで巻き込んだ事例は多い。業務は時間とコストをかければ回復可能な場合もあるが、一度失った信用を取り戻すことはきわめて困難である。だからこそ重要なのは、「被害を受けてから対応する」のではなく、「被害を未然に防ぐ」ための備えである。いわば、転ばぬ先のつえを持つことが、これからの企業経営には不可欠と言えるだろう。

3．中小企業が実践できるサイバーセキュリティ対策とは？

　中小企業がサイバー攻撃の標的となりやすい現状を踏まえると、限られたリソースの中で「効果の高い対策」を優先的に実施することが重要だ。高額なシステム導入だけが対策ではない。できることから着実に取り組むことが、結果的に最も効果的な防御につながる。

　まず着手すべきは、従業員を起点とした対策である。フィッシングメールは依然として主要な侵入経路であり、従業員のITリテラシー向上が不可欠だ。標的型攻撃メールの特徴を理解し、不審な添付ファイルやリンクを開かない、などといった基本行動の徹底が重要である。加えて、端末には複雑なパスワードの設定や多要素認証の導入を行うことで、不正アクセスのリスクを大幅に低減できる。

　次に、IT機器やシステムの管理を見直したい。VPN機器や古いネットワーク機器、未更新のOSやソフトウエアは、攻撃者にとって格好の侵入口となる。すべての機器を把握したうえで、定期的なアップデートを実施し、サポートが終了した機器は速やかに入れ替えることが基本となる。

　さらに、万が一の被害に備えたバックアップの整備も不可欠である。データやシステムのバックアップを定期的に取得し、可能であればネットワークから切り離された場所に保管することで、ランサムウエア被害時でも復旧の可能性を確保できる。バックアップは「あるだけ」では不十分であり、復元可能かどうか、頻度は適切かといった運用面の確認も重要だ。加えて社員の教育や啓発。ITリテラシーに加えて、普段やいざというときのマニュアルを整備、徹底させておこう。

4．主な情報源や相談窓口と、対策の心構え

　とはいえ、中小企業においてすべてを自社で対応するのは容易ではない。公的機関が提供するガイドラインや相談窓口を積極的に活用することも有効な手段だ。情報源や困ったときの主な相談先は次のとおりだ。ぜひ参考にしてほしい。

【公的機関が提供する情報等】
・政府広報オンライン
「 中小企業で被害多数　ランサムウェア 」
「 ランサムウエア、あなたの会社も標的に？被害を防ぐためにやるべきこと 」
・IPA
「 中小企業の情報セキュリティ対策ガイドライン 」
【相談窓口等】
・警察庁
「 サイバー事案に関する相談窓口 」
・IPA
「 サイバーセキュリティ 相談・届出窓口一覧 」

　また、脆弱性対策や機器管理は、低コストで利用できるサービスも存在する。管理サービス付きのレンタルやリースを活用することで、運用負担を軽減しながら一定水準のセキュリティを確保することも可能だ。具体的な選択については、信頼できる最寄りのベンダーへの相談が有効だろう。

　サイバー攻撃が日常的な脅威となった現在、セキュリティ対策は「コスト」ではなく「事業継続のための必須投資」である。後回しにするのではなく、自社にできる範囲から着実に対策を進めていくことが求められている。

※掲載している情報は、記事執筆時点のものです