うちは小規模だから本当にサイバー攻撃の標的になるのですか？

2024年のランサムウェア被害企業の約6割は中小企業です（警察庁公表）。攻撃者は特定の会社ではなくセキュリティの薄い会社を狙うため、規模に関係なく対象になります。

2026.05.28 起業・独立・経営

【調査】中小企業の情報セキュリティ実態 2026｜ランサム被害6割が中小企業必須対策と予算感

Q: アンチウイルスソフトを入れているけど大丈夫ですか？

従来型のアンチウイルスは既知のウイルスしか検知できません。最近のランサムウェアは検知回避技術を持つため、EDR（次世代アンチウイルス）への置き換えが推奨されます。月額数百円から導入可能です。

Q: 万一被害が出たら、まず何をすべきですか？

ネットワークから感染端末を即時切り離す、IPA・警察に通報、顧客・取引先への影響範囲を把握し誠実に連絡、の3点が初動です。被害公表を遅らせるほど信用ダメージが大きくなります。

Q: セキュリティの社内責任者を置けない場合は？

外部のMSSP（マネージドセキュリティサービス）に部分委託するのが現実解です。月額5〜30万円程度で、監視・初動対応・脆弱性管理を外部化できます。

「うちは中小企業だから、サイバー攻撃の標的にはならないでしょう」——これは 10 年前の感覚です。2024 年に警察庁が公表したサイバー空間の脅威レポートでは、ランサムウェア被害の約 6 割が中小企業。攻撃者は大企業より、防御の薄い中小企業を狙う方向にシフトしています。経営者がこの事実を知らないまま事業を続けるのは、シャッターを開けっぱなしの店舗を見守るのと同じ意味です。

この記事では、IPA「情報セキュリティ10大脅威 2025」、警察庁「サイバー空間をめぐる脅威の情勢」「2025 年上半期国内サイバー犯罪レポート」、帝国データバンク「2025 年サイバー攻撃実態調査」の最新データから、中小企業が押さえるべきセキュリティリスクと、現実的な対策の優先順位を整理します。

IPA「情報セキュリティ10大脅威 2025」TOP8 ｜組織編

情報セキュリティ10大脅威2025のランキング — 出典: IPA「情報セキュリティ10大脅威 2025」（組織編、2025年2月公表）

IPA（情報処理推進機構）が 2025 年 2 月に公表した「情報セキュリティ10大脅威 2025」（組織編）のトップ 8 は以下の通りです。

1 位: ランサム攻撃による被害
2 位: サプライチェーンや委託先を狙った攻撃
3 位: システムの脆弱性を突いた攻撃
4 位: 内部不正による情報漏えい等
5 位: 機密情報等を狙った標的型攻撃
6 位: リモートワーク等の環境や仕組みを狙った攻撃
7 位: 地政学的リスクに起因するサイバー攻撃（2025 年初選出）
8 位: 分散型サービス妨害攻撃（DDoS 攻撃）

注目は 7 位「地政学的リスクに起因するサイバー攻撃」が初選出されたこと。国家間の緊張を背景にした攻撃が、中小企業にも波及するリスクが現実のものになっています。中小企業からは「うちは関係ない」と感じる脅威ですが、サプライチェーンを通じて間接的に巻き込まれるケースが増えています。

ランサムウェア被害の実態｜中小企業が標的化されている

ランサムウェア被害件数の半期推移グラフ — 出典: 警察庁「サイバー空間をめぐる脅威の情勢」「2025年上半期国内サイバー犯罪レポート」

警察庁が公表した「サイバー空間をめぐる脅威の情勢」によれば、2024 年のランサムウェア被害は 222 件（前年比 +37%）、半期ベースでも 2024 年上半期 114 件・下半期約 108 件・2025 年上半期 116 件と、3 期連続で 100 件を超えています。

とくに重要なのは内訳の変化です。

2024 年上半期の被害企業のうち、中小企業が約 64%（73/114 件）を占めた
大企業の被害件数は減少傾向、中小企業は増加傾向 — 攻撃者が「防御の薄い側」にシフト
復旧に 1 か月以上を要した企業は 44% → 49% に増加
復旧費用 1,000 万円以上を要した企業は 37% → 50% に増加

「攻撃される確率」だけでなく、「攻撃されたときのダメージ」も拡大しているのが現状です。帝国データバンクの 2025 年調査も、中小企業のサイバー攻撃被害が事業継続そのものを脅かす段階に入ったと整理しています（出典: 帝国データバンク「サイバー攻撃に関する実態調査（2025 年）」）。

中小企業が狙われる構造的な理由

大企業より防御が薄い:専任のセキュリティ担当がいない企業がほとんど。
サプライチェーンの「入口」になる:中小企業を踏み台に大企業へ侵入する攻撃が増加。
攻撃自動化のコスト低下:攻撃者側も AI ツールを使い、低コストで多数の中小企業を同時攻撃可能に。
従業員のセキュリティ教育が形骸化:標的型メール・フィッシングへの耐性が育っていない。
古いシステムが残っている:Windows サポート切れ OS、未更新のソフトウェアが侵入口になりやすい。

中小企業がまず着手すべき対策 6 項目

多要素認証（MFA）の全面導入:メール・クラウドサービスのログインに必須。コスト 0 円で最も効果が高い。
OS・ソフトウェアの自動アップデート:脆弱性を突いた攻撃の入口を塞ぐ。
定期的なバックアップ:オフライン or 別クラウドへの世代別バックアップ。ランサム被害時の最後の砦。
EDR（次世代アンチウイルス）の導入:従来のアンチウイルスでは検知できない攻撃に対応。月額数百円〜数千円から。
従業員のセキュリティ教育:標的型メール訓練を半年に 1 回実施。受講者の判断スキルが上がる。
事業継続計画（BCP）の策定:被害が発生したときの初動・連絡先・代替手段を 1 枚にまとめる。

とくに 1（MFA）と 3（バックアップ）の 2 つだけでも、被害確率と被害規模の両方を大きく下げられます。「全部やる」のではなく、「最低限の 2 つを今すぐ整える」ことが、中小企業のセキュリティ対策の現実解です。

対策コストの目安｜中小企業向け予算感

対策	初期費用	月額費用
多要素認証（Microsoft 365 / Google Workspace 標準）	0 円	0 円（既存サブスクに含まれる）
クラウドバックアップ	0〜10 万円	1,000〜10,000 円
EDR（端末あたり）	0 円	500〜3,000 円/台
標的型メール訓練	5〜30 万円/年	—
外部セキュリティ診断（年 1 回）	20〜80 万円/年	—

従業員 20〜30 名規模の中小企業なら、年間 30〜100 万円程度で最低限のセキュリティラインを整えられます。IT 導入補助金 2026 ガイドのセキュリティ対策推進枠も活用すれば、初期負担はさらに圧縮できます。

サイバー保険｜「最後の安全網」としての活用

対策をしてもインシデントはゼロにはなりません。被害が発生したときの復旧費用・賠償・事業停止損失をカバーするのがサイバー保険です。

年間保険料: 中小企業向けで数万円〜30 万円程度（補償額・業種により変動）
カバー範囲: 復旧費用・第三者賠償・身代金交渉支援・休業損失など
注意点: 対策が不十分な場合、保険金が支払われないケースあり。加入条件で MFA 設定や定期バックアップが要件化されつつある。

よくある質問

Q. うちは小規模だから本当に狙われるのですか？

2024 年のランサムウェア被害企業の約 6 割は中小企業（警察庁公表）。攻撃者は「特定の会社」ではなく「セキュリティの薄い会社」を狙うため、規模に関係なく対象になります。サプライチェーン攻撃で大企業の取引先として狙われるケースも増加中です。

Q. アンチウイルスソフトを入れているけど大丈夫ですか？

従来型のアンチウイルスは「既知のウイルス」しか検知できません。最近のランサムウェアは検知回避技術を持つため、EDR（次世代アンチウイルス）への置き換えが推奨されます。月額数百円から導入可能です。

Q. 万一被害が出たら、まず何をすべきですか？

(1) ネットワークから感染端末を即時切り離す、(2) IPA・警察・所轄のサイバー警察に通報、(3) 顧客・取引先への影響範囲を把握し、誠実に連絡。被害公表を遅らせるほど信用ダメージが大きくなります。

Q. セキュリティの社内責任者を置けない場合は？

外部の MSSP（マネージドセキュリティサービス）に部分委託するのが現実解です。月額 5〜30 万円程度で、監視・初動対応・脆弱性管理を外部化できます。

まとめ｜セキュリティは「最低 2 つ」から始めて事業を守る

中小企業のサイバー被害は、もはや「特殊な不運」ではなく「事業を続ける以上必ず想定すべきリスク」です。完璧を目指さなくていい。多要素認証とバックアップの 2 つだけでも、被害確率と影響は劇的に下がります。やらないのは、もはや経営判断としても説明がつかない段階です。

アントワ（antoir）では、中小企業のセキュリティ対策の優先順位整理、ツール選定、社員教育設計、BCP 策定の伴走支援を行っています。「何から手を付けるか分からない」「補助金活用も含めて相談したい」段階の方は、サービス紹介またはお問い合わせからご相談ください。

#DX #中小企業 #経営

この記事をシェア

AI駆動開発で、制作・開発を始めませんか？

コスト30〜60%削減、納期は半分。まずはお気軽にご相談ください。

お問い合わせ見積もりシミュレーター