「うちは狙われない」という思い込みが、最大のリスクかもしれません
「個人情報もないし、有名企業でもないから、サイバー攻撃は関係ない」
——そう考えている経営者の方は、まだ多いかもしれません。
ただ、残念ながらその認識は現実と大きくずれています。
独立行政法人情報処理推進機構(IPA)が2024年度に実施した調査によると、約7割の中小企業でセキュリティ体制が整備されていないことが明らかになりました。
攻撃者はこの「防御の弱いところ」を自動で探し出し、規模に関係なく侵入を試みます。特定の企業を狙うというより、対策が甘い会社から順番に攻撃される——それが実態です。
さらに見過ごせないのが、被害が自社だけで終わらないという点です。
同調査では、サイバー攻撃の被害を受けた中小企業のうち約7割が、取引先にも影響が及んだと回答しています。
自社が攻撃の「踏み台」になり、大手取引先に被害が波及する「サイバードミノ」という事態も増えています。
「自社が被害を受ける」だけでなく、「自社が加害者側になってしまう」リスクも、今や中小企業経営者が向き合うべき課題になっています。
数字で見る中小企業のサイバー攻撃の実態(2026年版)
最新のデータをいくつか確認します。
| データ項目 | 内容 |
|---|---|
| セキュリティ体制が未整備の中小企業 | 約7割(IPA 2024年度調査) |
| 被害企業のうち取引先にも影響が及んだ割合 | 約7割 |
| 過去3期にセキュリティ投資をしていない企業 | 約6割 |
| 被害発生時の平均損失額 | 73万円(復旧費用等含む) |
| 復旧までに要した平均期間 | 5.8日(うち2.1%は50日以上) |
| ランサムウェア感染割合(企業規模問わず) | 45.8%(企業IT利活用動向調査2026) |
特に注目したいのが「ランサムウェア」の脅威です。
ランサムウェアとは、社内のデータを暗号化して使えなくし、復旧と引き換えに身代金を要求するサイバー攻撃です。
IPAの「情報セキュリティ10大脅威2026」でも、5年連続で組織向け脅威の第1位に位置づけられています。
つい最近のアサヒビールが受けたのもランサムウェアです。
システム障害(2025年9月)から物流が正常化(2026年2月)するまで約6ヶ月も掛かりました。
一度感染すると、業務が数日〜数週間にわたって停止し、顧客データの流出、取引先への影響、社会的信用の失墜といった連鎖被害につながります。
なぜ中小企業が狙われるのか?3つの理由
攻撃者が中小企業を標的にするのには、明確な理由があります。
理由① セキュリティ対策が手薄なことが多い
専任のIT担当者や情報セキュリティ部門を置くことが難しい中小企業は、OSのアップデートが遅れていたり、パスワード管理が甘かったりするケースが少なくありません。
攻撃者にとって「入りやすい入口」になりやすい環境です。
IPA調査では、不正アクセスを受けた企業のうち約5割が「脆弱性(セキュリティパッチの未適用)を突かれた」と回答しています。
理由② 大手企業への侵入経路として狙われる
中小企業自体の情報よりも、「その先の大手取引先への橋渡し」として狙われるケースが増えています。
中小企業のシステムを踏み台にして大企業のネットワークに侵入する「サプライチェーン攻撃」は、近年急増しているサイバー攻撃の手口です。
理由③ 攻撃コストが下がり、無差別攻撃が増えている
以前は高度な技術が必要だったサイバー攻撃ですが、生成AIの普及により、精巧なフィッシングメールの作成や攻撃ツールの生成が容易になっています。
2026年には「AIを利用したサイバーリスク」がIPAの10大脅威に初めてランクインするなど、攻撃の裾野は確実に広がっています。
今やAIは文章作成、画像作成に止まらず、武器に搭載されたり、システムの脆弱性を見つけるなどにも利用されてきており、場合によっては大きな危機に繋がりかねません。
「クラウドを使っているから安全」は大きな誤解です
クラウドサービスを活用している経営者の方から、こんな言葉をよく聞きます。
- 「データをクラウドに移したから、情報漏洩の心配はなくなった」
- 「クラウドベンダーがセキュリティを管理してくれているはずだから、自社では特に何もしていない」
この考え方は、残念ながら大きな誤解を含んでいます。
クラウドサービスを使っていること自体は良い選択ですが、「クラウド=安全」は成り立ちません。
クラウドにも「責任の範囲、区分け」がある
クラウドサービスのセキュリティには、「共有責任モデル」という考え方があります。
簡単に言うと、クラウドベンダーが守る部分と、利用者(自社)が守るべき部分が、明確に分かれているということです。
| 責任の範囲 | クラウドベンダーが担う部分 | 利用者(自社)が担う部分 |
|---|---|---|
| インフラ・設備 | ✓ データセンターの物理的安全性 | — |
| ネットワーク | ✓ 基盤ネットワークの保護 | — |
| アカウント管理 | — | ✓ IDとパスワードの管理 |
| アクセス権限 | — | ✓ 誰に何の権限を与えるか |
| データの設定ミス | — | ✓ 公開範囲・共有設定の確認 |
| 従業員の操作 | — | ✓ 誤操作・内部不正への対策 |
クラウドベンダーが「サービス自体のセキュリティ」を担っているのに対し、「そのサービスをどう使うか」の安全管理は、あくまで利用する自社の責任です。
クラウド利用でよく起きるセキュリティ事故の実例
クラウドを使っているにもかかわらず情報漏洩が起きるケースには、共通したパターンがあります。
① アカウントの乗っ取り(不正ログイン)
同じパスワードを複数のサービスで使い回している場合、どこか一つのサービスから流出したパスワードが悪用されます。
クラウドの管理者アカウントが乗っ取られると、社内データへの無制限アクセスが可能になります。
多要素認証(パスワード+スマートフォン認証など)を設定していない場合、このリスクは格段に高まります。
② 設定ミスによる意図しない公開
クラウドストレージ(Google ドライブ、OneDriveなど)の共有設定を誤って「リンクを知っている人は誰でもアクセス可能」にしてしまうケースが多発しています。
悪意ある第三者ではなく、設定ミスによる流出が、実は多くのインシデントの原因になっています。
③ 退職者アカウントの放置
退職した従業員のクラウドサービスのアカウントを削除せずに放置していると、退職後も元従業員がアクセスできる状態が続きます。
悪意の有無にかかわらず、これは重大なセキュリティホールです。
④ フィッシングによるID・パスワードの詐取
「Microsoft 365のパスワードを更新してください」「Googleアカウントに不審なログインがありました」——こうした偽メールに誘導され、IDとパスワードを入力してしまうケースが急増しています。
生成AIの進化でフィッシングメールの文面が自然になり、見分けることが難しくなっています。
クラウド利用時に必ず確認すべきポイント
クラウドサービスを安全に使うために、最低限確認しておきたい項目を整理します。
- 管理者アカウントに多要素認証を設定している
- 従業員ごとに必要最小限の権限を付与している(全員が管理者権限を持っていない)
- 退職・異動した従業員のアカウントを速やかに削除・変更している
- ファイルの共有設定・公開範囲を定期的に確認している
- クラウドサービスへのログイン履歴を定期的にチェックしている
- 従業員がどのクラウドサービスを業務に使っているかを把握している
特に最後のチェックは見落とされがちなリスクです。
会社が許可していないクラウドサービスを従業員が個人的に使い始め、業務データを無断でアップロードしているケースが多くの中小企業で発生しています。
個人のDropboxやLINEで顧客情報を送受信しているケースも、残念ながら珍しくありません。
クラウドは「使いこなせれば安全、管理を怠れば危険」
誤解のないようにお伝えしておくと、クラウドサービスそのものは非常に優れた仕組みです。
適切に設定・管理すれば、自社でサーバーを管理するよりも安全性が高いケースも多くあります。
問題は「クラウドに移したら終わり」という思い込みです。
クラウドも、使い方と管理の仕方しだいで、セキュリティリスクは大きく変わります。
「導入した」ではなく「正しく運用できているか」を定期的に見直すことが、クラウド時代のセキュリティ管理の基本です。
今すぐ確認すべき「基本のセキュリティ対策」チェックリスト
「何から始めればいいかわからない」という方のために、最優先で確認すべき対策を整理しました。
経産省・IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」(2026年3月改訂)をもとにした基本項目です。
✅ ステップ1:基本的な技術対策
- OSやソフトウェアのアップデートを定期的に行っている
- ウイルス対策ソフトを全端末に導入している
- パスワードを推測されにくいものに設定し、使い回しをしていない
- 重要データの定期バックアップを実施している(別媒体・クラウドに保管)
- 社外からのアクセスに多要素認証を導入している
✅ ステップ2:社内のルール整備
- 情報セキュリティに関する社内ルールを文書化している
- 不審なメール・添付ファイルへの対応方法を従業員に周知している
- 退職者のアカウントを速やかに削除する仕組みがある
- インシデント(被害)が発生した場合の連絡・対応フローを決めている
✅ ステップ3:取引先・外部との対応
- 取引先からセキュリティ対策の確認を求められた場合に対応できる状態にある
- クラウドサービスの利用範囲と権限管理を把握している
- 外部委託先(ITベンダー等)のセキュリティ対策状況を確認している
すべてに◯がつかなくても、まず「できていないこと」を把握することが出発点です。
セキュリティ対策は「コスト」から「取引条件」に変わっています
「セキュリティ対策はお金がかかるばかりで、売上に関係ない」
——そう感じる方もいるかもしれませんが、状況はそう単純ではなくなっています。
大手企業を対象にした調査では、約6割がサプライチェーン上の取引先に対してセキュリティ要件を契約条項に盛り込むようになっていると回答しており、「セキュリティ要請に応じたことが取引につながった」という企業も約4割に上っています。
裏を返せば、対策を怠ることで既存の取引が打ち切られたり、新規案件の獲得機会を失ったりするリスクが現実のものになっています。
さらに、IPA調査ではセキュリティ対策投資を行っている中小企業の約5割が、取引先との取引につながったと実感しているという結果も出ています。
セキュリティ対策は「守り」だけでなく、「取引を広げるための信頼の証明」になりつつあります。
よくある質問(FAQ)
Q. セキュリティ対策に、どのくらいの費用がかかりますか?
A. 基本的な対策(OSアップデートの徹底・ウイルス対策ソフト・バックアップ)は、月数千円〜数万円の範囲で始めることができます。
また、経産省・IPA認定の「サイバーセキュリティお助け隊サービス」は中小企業が安価に導入できる仕組みで、導入企業の5割以上が「導入が容易」と回答しています。
Q. 専任のIT担当者がいなくても対策できますか?
A. できます。
むしろITの専任担当者がいない企業向けに整備されたガイドラインや支援制度が充実しています。
まずは「中小企業の情報セキュリティ対策ガイドライン第4.0版」(IPA・無料公開)を経営者自身が確認することが、最初の一歩として有効です。
Q. 「SECURITY ACTION自己宣言」とは何ですか?
A. IPAが運営する制度で、セキュリティ対策に取り組む中小企業が自己宣言するものです。
二段階のレベルがあり、補助金申請の加点要件になるケースもあります。
2026年3月改訂のガイドライン第4.0版でも基準が見直されています。
Q. クラウドサービスを使っていれば、セキュリティ対策は不要ですか?
A. そうではありません。
クラウドベンダーが守るのはサービス基盤の部分だけで、アカウント管理・アクセス権限・共有設定・退職者対応など「使い方」の安全管理は利用者側の責任です。
クラウドを使っていても、アカウント乗っ取り・設定ミスによる情報漏洩・退職者アカウントの放置といったリスクは自社で対策する必要があります。
Q. 万が一被害を受けた場合、どこに相談すればよいですか?
A. まずIPAの「情報セキュリティ安心相談窓口」や、警察庁の「サイバー犯罪相談窓口」に連絡することをおすすめします。
被害が発生した際の対応フローを事前に決めておくことが、被害を最小化するうえで重要です。
まとめ:「気づいたときには遅かった」にならないために
セキュリティ対策を後回しにする理由として多く挙げられるのが、「必要性を感じていない」「何から始めればいいかわからない」の2つです。
ただ、攻撃者は「被害に遭う準備ができていない会社」をプログラムで探し出します。
「被害に遭っていない」のは、対策が十分だからではなく、まだ攻撃が届いていないだけかもしれません。
まず取り組めることは、今日からでもあります。
- OSとソフトウェアのアップデートを確認する
- バックアップの仕組みを見直す
- 従業員への不審メール対応の周知をする
この3つだけでも、今すぐ始めてみてください。
▲中小企業のIT人材不足を解決します。