「自分たちの規模では、大きな攻撃を受けることはないだろう」と考えている中小企業の経営者や担当者は、今も少なくないと思います。
コスト・人手・専門知識の不足を理由にセキュリティ対策が後回しになっているケースも、現実として多く見受けられます。
しかし、「中小企業だからこそ被害に遭いにくい」という認識は、残念ながら現在の攻撃実態とは一致していません。
IPA(独立行政法人 情報処理推進機構)が毎年公表する「情報セキュリティ10大脅威」では、ランサムウェアによる被害は規模を問わず組織全体の問題として継続的に上位に挙げられており、中小企業が狙われないという根拠はどこにもありません。
むしろ、セキュリティへの投資が限られ、対応体制が整っていない事業者こそが、攻撃者にとって効率のよい標的になっています。
実際に、警察庁の資料によれば、2025年度のランサムウェア被害のうち、63%が中小企業です。(「令和7年におけるサイバー空間をめぐる脅威の情勢等について」警察庁サイバー警察局)
そして、被害企業のうち50%以上が、その被害の調査・復旧に1,000万円以上費やしています(同上)。
特に近年は、大企業ではなくその取引先である中小企業を経由して侵入を図る「サプライチェーン攻撃」が増加しており、自社の規模に関わらず無関係でいられない状況です。
加えて、大企業や官公庁との取引では、セキュリティ対応の証明を求められる場面が増えており、セキュリティは「ITの問題」から「取引関係の問題」へと性質が変わりつつあります。
この記事では、中小企業が直面しているリスクの実態と、対処の優先順位を整理します。
なぜ中小企業でも狙われるのか
攻撃者は「侵入しやすい相手」を選ぶ
攻撃者が標的を選ぶ基準は、企業の規模ではなく「守りの薄さ」です。
専任のセキュリティ担当者がいない、OSやソフトウェアのアップデートが後回しになっている、フィッシングメールへの対処方法が社員に周知されていない・・・こうした条件が重なる事業者は、攻撃者にとって手間をかけずに侵入できる相手として映ります。
「自分たちには盗まれるものがない」という認識も、実態とは異なります。顧客の個人情報、取引先との契約情報、自社のシステムへのアクセス権限といった情報は、攻撃者が転売・悪用・侵入の足がかりとして利用できる情報です。
企業規模に関わらず、事業を続けている限り何らかの情報を保有しているという事実を、まず認識しておく必要があります。
大企業への「踏み台」にされるサプライチェーン攻撃
サプライチェーン攻撃とは、標的とする大企業のシステムに直接侵入するのではなく、その取引先である中小企業を経由して侵入を図る手法です。
いわば、中小企業をただの「踏み台」としか考えないようなもので、大企業本体のセキュリティが強固であっても、取引先との接続経路が存在する以上、そこが弱点になりえます。
この構造において、中小企業は「被害者」であると同時に「侵入経路の提供者」になります。自社のデータよりも、「接続された先の大企業」が本来の標的である場合が多く、自社には実害がなかったとしても、取引先に損害を与えた経路になったという事実は残ります。
取引先からの信頼失墜や、損害賠償責任が問われる可能性も否定できませんので、「自分たちには関係ない」という認識こそが攻撃を受けるきっかけにもなりかねません。
ランサムウェア被害が中小企業にとって深刻な理由
データが暗号化されたとき、事業はどうなるか
ランサムウェアは、感染したコンピューターのファイルを暗号化し、復号と引き換えに身代金を要求するマルウェアです。
顧客情報、受発注データ、会計記録などが一括して使用不能になってしまうと、事業活動に多大な影響を及ぼすはずです。
大手飲料メーカーがランサムウェア被害により長期間にわたり受注が停止した事例も記憶に新しいはずです。
大企業であれば、バックアップシステムの切り替えや別部門による代替対応が可能な場合もあります。しかし、ITシステムを一元的に管理している中小企業では、業務全体が数日から数週間にわたって停止するケースは現実に起こり得ます。
その間の売上機会の損失、顧客対応の停止、取引先への影響といった実害は、「システムが止まった」という技術的な問題としてではなく、事業継続の問題として捉えるべきものです。
身代金を払えばよいというものではない
ランサム攻撃の場合、ファイル復旧やファイルの公開をやめるために身代金を要求してくるケースは多いです。しかし、身代金を支払ったとしても必ずファイルが復元されるわけではありません。支払い後に復号キーが提供されないケース、復号しても一部のデータが破損したままのケースだけでなく、怖いのは「支払った実績がある企業」として再度狙われるケースです。
被害を受けた後の対応にかけるコストを考えれば、事前のバックアップ整備の方が合理的です。
バックアップには「3-2-1ルール」と呼ばれる基本的な考え方があります。データを3つコピーし、2種類の異なる媒体に保存し、そのうち1つはオフサイト(社外または別の場所)に置く、という方法です。
特別な設備は不要で、クラウドストレージと外付けドライブを組み合わせるだけでも実践できますので、最も現実的な備えの一つです。
暗号化しない攻撃も
以上のように、従来ランサムウェアといえばファイルを暗号化して身代金を要求する、というものでしたが、数年前から”暗号化しない”攻撃も増えています。
これは「ノーウェアランサム」と呼ばれます。ファイルを暗号化することなく盗みだし、それを公表するといって脅して身代金を要求するものです。
ファイルを暗号化しないため、利用者は異変に気が付きにくく、またバックアップが整備されていたとしても、データやシステムは破壊されずそのまま利用できる状態であるため、対策としては効果がありません。
被害を受けた後に問われる法的な責任
サイバー攻撃による被害は、技術的な損害にとどまりません。
ランサムウェアなどの攻撃により個人情報が漏洩した場合、それがたとえ1件だけだったとしても、個人情報保護法の定めにより、本人への通知と個人情報保護委員会への報告義務が事業者に課されます。また、取引先のシステムへ被害が波及した場合には、損害賠償責任を問われる可能性もあります。
「被害者であっても、管理責任が問われる」というのが、この問題の核心です。
その管理責任には、事前に相応の対策を講じていたか否かというのが大きく関わってきます。当然、何もしていなければ、管理不十分だとみなされてしまいます。
つまり「後でやる」という判断が想定以上のリスクを持つのです。
中小企業が取るべき”優先順位の整理”
技術的対策の優先順位
「何でもやる」ことは人手の限られた中小企業には現実的ではありません。優先順位をつけて順に整えるアプローチが、確実に前進できる方法です。
まず最初に取り組むべきは、OSとソフトウェアのアップデートです。
既知の脆弱性を放置することは、鍵を壊れたままにしておくようなものであり、コストをかけずに塞げる穴の代表格です。
次に、メールやシステムへのログインに多要素認証を導入することで、パスワード漏洩だけでは侵入できない状態を作れます。
そして、先述の3-2-1ルールを意識したバックアップの定期取得。この三つが、費用をあまりかけずに実施できる基盤となります。
高価なセキュリティ製品を導入する前に、この基盤が整っているかどうかを確認することが先決です。むしろ、中小企業にとっては、高価な製品よりもまずは小さな足固めは非常に重要です。
高度な製品が入っていても、アップデートが放置されていれば意味をなしません。
社内の運用ルールと社員への周知
技術的な対策は、運用する人間の行動が伴って初めて機能します。不審なメールのリンクをクリックしない、パスワードを使い回さない、会社のデータを私用端末で扱わないなど、こうした基本的な判断は社員一人ひとりが日常的に行うものであり、システムが自動的に防げる範囲の外にあります。
「システムを入れたから安全」という誤解は根強くありますが、現実のインシデントの多くは、技術的な欠陥ではなく人的な操作ミスや判断の誤りから始まっている事例も少なくありません。
不審メールへの対応手順、パスワード管理のルール、外部デバイスの取り扱いについて、全社員が共通の認識を持てるよう周知することは、コストをほとんどかけずにできる対策の一つです。技術と運用は両輪であり、どちらか一方では安全は成立しません。
対策は「実施する」だけでなく「記録する」ことに意味がある
セキュリティ対策は、実施することと、それを記録・文書化することの両方が必要です。技術的に適切な対策を講じていても、「何をいつ行ったか」を示せなければ、取引先や監督官庁に対して証明する手段がありません。
この「実施した対策を記録し、定期的に見直す」というサイクルは、たとえISMSなどの認証を取得することが目的でなくても、その考え方を日常的な運用に取り入れることで、外部からの要求に応えられる体制が自然に育ちます。
記録する習慣は、取引先からセキュリティチェックシートが届いたとき、その回答を「過去の記録を確認する作業」として処理できる状態をあらかじめ作ることでもあります。
取引先からセキュリティチェックシートが届いたとき
チェックシート対応は「取引上の信頼証明」である
大企業や官公庁との取引において、セキュリティチェックシートへの回答を求められるケースは年々増えています。その背景には、サプライチェーン攻撃への対策として、発注元が取引先のセキュリティ水準を確認する動きが広がっていることがあります。
このチェックシート対応を単なる事務的な書類作業だと捉えている経営者も多いのではないでしょうか。
しかし、ビジネスにおいて「信用」というのは非常に重要です。だから、セキュリティチェックシートというツールを使うことで「自社がセキュリティ上の問題を起こさないよう対策を講じている取引先である」ことを証明するよう求められているということです。
前の節で述べた対策の実施と記録が、ここで初めて「対外的な証拠」として機能します。対策を講じていても記録が残っていなければ、それは「対策していない」と同じ扱いを受けることになります。
回答できない項目が多いほど、取引機会に影響が出る
チェックシートへの回答が不十分な場合、取引の継続や新規契約の審査において不利な評価につながりうるという現実があります。「届いてから対処する」という事後対応では、回答の準備に時間がかかり、その間に取引機会を逃すケースも生じます。
一方、日常的なセキュリティ整備と記録を先に進めておけば、チェックシートへの回答は「すでに実施していることの確認作業」に過ぎなくなります。
事前に整備している事業者と、届いてから慌てて対応する事業者では、回答の質と対応のスピードに明らかな差が出ます。結果として、事前整備の方がコストも手間も少なく、取引上のリスクを最小化できます。
チェックシートの項目は「自社の現状を把握する手がかり」になる
チェックシートをネガティブな外部圧力として受け取るのではなく、「自社のセキュリティ対応状況を棚卸しする機会」として捉え直すことができます。各項目は、取引先が「最低限期待するセキュリティ水準」を反映しており、回答できない項目があるということは、そこに対応できていない領域があるということです。
チェックシートの具体的な構成は業界や発注元によって異なりますが、多くの場合、「パスワード管理とアクセス権限の設定」「定期的なバックアップの実施と確認」「インシデント発生時の対応手順の有無」「ウイルス対策ソフトやOSアップデートの状況」といった領域をカバーしています。これは、この記事で取り上げてきた技術的対策・運用ルール・記録の整備と、ほぼ重なります。
つまり、チェックシートで答えに詰まる項目は、そのまま自社が優先的に整備すべき課題の一覧として読むことができます。
自社だけで対応が難しい場合は、まずは無料相談で現状をお聞かせください。
→ 無料相談を予約する
セキュリティ対応 =「事業の信頼資産」
技術だけでなく「規程と文書」の整備が、説明責任を可能にする
ISMSやプライバシーマークの取得を検討していない場合でも、社内のセキュリティポリシーや情報管理に関する規程を整備することは、法令上・取引上の説明責任を果たす上で重要です。
技術的な対策は「実際にやっていること」の実態であり、規程や文書は「それを第三者に証明するもの」です。両者が揃って初めて、「対策を講じている」と外部に示すことができます。
この領域は、セキュリティの専門家に相談しても、法務の専門家に相談しても、単独では完結しません。「現在の技術的な対策状況を把握し、リスクを特定する」作業と、「それを裏づける規程・文書を整備する」作業は、それぞれ異なる専門性を必要とします。
多くの中小企業がセキュリティ整備を進めにくい理由の一つは、この二つが分断されたまま支援を受けられる場所が少ないことにあります。
整えたセキュリティ対応が、新しい取引機会を開く
セキュリティ対応を一定水準まで整えた事業者は、大企業・官公庁・上場企業との取引において、チェックシートへの回答や審査を通過できる状態になります。これは「リスクを減らした」という守りの成果であると同時に、「新たな取引先との信頼構築への第一歩」という前向きな変化でもあります。
官公庁案件や大企業のサプライヤー登録では、セキュリティ対応の水準が参入条件として機能するケースがあります。対策を整備するということは、そのような案件にアクセスできる事業者の側に移ることを意味します。
整備の流れとしては、
現状把握(何を保有し、何を守るべきか)
→ 優先順位の設定
→ 対策の実施と記録
→ 規程・文書の整備
という順序が現実的です。この流れは自力でも始められますが、現状把握の段階で専門家の伴走があると、見落としや誤った優先順位の設定を避けやすく、最初の一歩が確実になります。
まとめ
中小企業がセキュリティを後回しにしてきた背景には、コスト・人手・知識という現実的な制約があるのは理解できます。しかし、優先順位を整理すれば、大きな予算をかけずに着実に対処できる問題でもあります。
ランサムウェアやサプライチェーン攻撃は、企業規模とは無関係に取引関係の中に組み込まれています。自社単独の判断でリスクを完結させることは、もはや難しい状況です。
セキュリティとは守るためにかけるコストだという考えは、まだ多くの中小企業に根強く残っています。しかし取引関係の中でその水準が問われるようになった今、整備されたセキュリティ対応は、事業の信頼性を外部に示す資産として機能します。守りの整備が、そのまま前へ進む基盤になる。そう捉え直すことで、セキュリティへの向き合い方は変わります。
ご相談について
取引先からセキュリティチェックシートが届いている、あるいは近く届きそうだという状況であれば、その項目を手がかりに現状の対応状況を確認するところから始められます。「何が整っていて、何が不足しているか」の把握だけを目的としたご相談も承っています。技術的な対策状況の確認と、規程・文書の整備の両面から対応できますので、まずご連絡ください。
→ 無料相談を予約する
情報処理安全確保支援士(登録セキスペ)/行政書士/個人情報保護士
ビーンズセキュリティサービス代表(ビーンズ行政書士事務所内)
「セキュリティが詳しくない経営者でも、統制できる仕組みを作る」をテーマに、情報処理安全確保支援士と行政書士のダブル国家資格を持つ専門家。中小企業の経営者・役員向けに各社に適したセキュリティの”はじめの一歩”をご提案します。
▶ お問い合わせ