なぜ中小企業が狙われるのか
「うちは小さな会社だから大丈夫」——この誤解が最大のリスクです。IPAの調査では、国内のランサムウェア被害の約6割が中小企業・中堅企業。攻撃者は「守りが薄い」「身代金を払いやすい」という理由で中小企業を積極的に選んで狙います。
国内サイバー攻撃被害のうち中小企業が占める割合は約61%。1件あたりの平均被害額は事業停止・復旧コスト込みで約1,800万円。廃業に至るケースも複数報告されています。
中小企業が狙われる4つの理由
今すぐ実施すべき最優先対策5選
コスト・手間が少なく、効果が最も大きい対策から着手してください。この5つを実施するだけで、大半のサイバー攻撃を防ぐことができます。
パスワードが漏れても不正ログインを防げる最強の防御策。Microsoft 365・Google Workspace・VPN・クラウドサービスすべてにMFAを設定します。認証アプリ(Microsoft Authenticator・Google Authenticator)がSMSより安全です。
- Microsoft 365の場合:管理センター → Azure AD → セキュリティ → 多要素認証
- Google Workspaceの場合:管理コンソール → セキュリティ → 2段階認証プロセス → 強制
- 全従業員に認証アプリのインストールと設定を義務化
既知の脆弱性を悪用した攻撃の多くは、アップデートを適用するだけで防げます。Windows Update・macOS・業務ソフト・Wi-Fiルーターのファームウェアを含めて定期更新を徹底してください。
- Windows:設定 → Windows Update → 「自動更新」をオン、再起動を翌朝に設定
- 業務ソフト:ベンダーのアップデート通知を必ず適用(特に会計・ERPソフト)
- Wi-Fiルーター:管理画面でファームウェア更新を月1回確認
- サポート切れOSは即時リプレース計画を立案
ランサムウェアに感染しても身代金を払わずに復旧できる唯一の方法がバックアップです。「3-2-1ルール」を徹底してください。
クラウドバックアップも常時接続していると感染時に上書きされる危険があります。「バックアップの世代管理(最低14世代)」と「イミュータブルストレージ(上書き不可)」設定を必ず有効化してください。
使い回し・単純なパスワードは不正アクセスの直接原因です。全社員にパスワードマネージャーを配布し、各サービスで異なる16文字以上のランダムパスワードを強制します。
| ツール | 法人プラン | 特徴 |
|---|---|---|
| 1Password Business | $7.99/人/月 | 管理コンソール充実・AD連携・監査ログ |
| Bitwarden Teams | $4/人/月 | オープンソース・コスパ最高・セルフホスト可 |
| Keeper Business | $4.5/人/月 | ゼロ知識暗号化・コンプライアンス対応 |
セキュリティ対策の最大の弱点は「人」です。不審なメールのリンクをクリックする・USBを差す・パスワードを教えてしまうといったヒューマンエラーが侵入口になります。年2回以上の教育実施と、定期的なフィッシング訓練メールを推奨します。
- IPA「情報セキュリティ10大脅威」を全従業員で読む(無料)
- フィッシング訓練メールサービスを活用(KnowBe4・CyberSecAware等)
- インシデント発生時の連絡フロー(誰に・何を・どう報告)を明文化
- 入社時オリエンテーションにセキュリティ研修を組み込む
脅威別・具体的な対策手順
ランサムウェア対策
標的型メール・ビジネスメール詐欺(BEC)対策
テレワーク・クラウド利用時の対策
セキュリティ投資の優先度チェックリスト
予算・リソースが限られる中小企業は、効果対コストの高い対策から順に実施してください。以下のチェックリストを印刷して社内で活用できます。
| 優先度 | 対策 | 費用目安 | 効果 | 難易度 |
|---|---|---|---|---|
| ★★★ 最優先 | 多要素認証(MFA)の全社導入 | 無料 | 不正ログイン防止99% | 低 |
| ★★★ 最優先 | OSとソフトウェアの自動更新 | 無料 | 既知の脆弱性を塞ぐ | 低 |
| ★★☆ 優先 | 3-2-1バックアップ構築 | 月数千円〜 | ランサムウェア復旧 | 中 |
| ★★☆ 優先 | パスワードマネージャー全社導入 | 月数百円/人〜 | パスワード漏えい防止 | 低 |
| ★★☆ 優先 | セキュリティ教育・訓練(年2回) | 無料〜数万円 | ヒューマンエラー削減 | 低 |
| ★☆☆ 推奨 | EDR導入(Defender for Business等) | 月300円/台〜 | マルウェア検知強化 | 中 |
| ★☆☆ 推奨 | メール認証(SPF・DKIM・DMARC)設定 | 無料 | なりすましメール防止 | 中 |
| ★☆☆ 推奨 | VPN・ゼロトラスト導入 | 月数千円〜 | 不正リモートアクセス防止 | 中 |
| 検討 | サイバー保険加入 | 年数万円〜 | 被害時のリスクカバー | 低 |
サイバー攻撃を受けたときの初動対応
対策を万全にしていても侵害が起きる可能性はゼロになりません。「インシデント対応計画(IRP)」を事前に準備しておくことが被害を最小化します。
ランサムウェアの身代金を支払っても復号できる保証はなく、「払う企業リスト」に追加されて再攻撃を受けるリスクが高まります。警察・専門機関への相談とバックアップからの復旧を最優先にしてください。
無料で使えるセキュリティリソース・補助金
よくある質問
中小企業はセキュリティ対策にどのくらい費用をかけるべきですか?
まずは無料・低コストで実施できる対策(多要素認証・OSアップデート・パスワード管理)を優先してください。その後、従業員規模や取扱データに応じてEDR導入やセキュリティ研修に年間数十万円を検討します。IPA(情報処理推進機構)の中小企業向け無料ツール・補助金制度も活用できます。
ランサムウェアに感染したらどうすればいいですか?
感染を発見したら、まず感染した端末のネットワークケーブルを抜き・Wi-Fiをオフにして他端末への拡散を防いでください。次に社内IT担当または専門業者(IPA相談窓口・警察など)に連絡します。身代金は支払わないことが原則で、バックアップから復旧するのが最善策です。
テレワーク・在宅勤務でのセキュリティリスクはどう対策しますか?
VPNの導入で通信を暗号化し、会社支給端末のみ業務利用するルールを徹底してください。家庭用Wi-Fiルーターのパスワード変更・ファームウェア更新も必須です。フリーWi-Fiでの業務は絶対に禁止し、多要素認証を全社で義務付けることが重要です。
サイバー保険は中小企業に必要ですか?
情報漏えいや事業停止を伴う大きな被害が発生した場合、賠償責任や復旧費用は中小企業にとって致命的になりえます。年間数万円〜十数万円の保険料でリスクをカバーできるため、顧客情報や機密データを扱う企業には強くお勧めします。加入前にIPA「中小企業向けサイバーセキュリティ対策の極意」を参照して体制を整えると審査が通りやすくなります。
※本記事の情報は2026年6月時点のものです。セキュリティの脅威・対策・補助金制度は変化します。最新情報はIPA・NISC・各ベンダー公式サイトにてご確認ください。