ある日の朝、出社してパソコンを起動すると「あなたのファイルはすべて暗号化されました。解除したければ300万円を支払え」というメッセージが画面いっぱいに表示される——そんな事態が、いま日本の中小企業でも毎月のように起きています。
「うちは小さい会社だから狙われないだろう」と思っていませんか。実は攻撃者は大企業より中小企業を好んで狙います。セキュリティへの投資が少なく、侵入しやすいからです。
この記事では、ITの専門知識がなくても今日から始められるランサムウェア対策を、7つのステップで解説します。費用の目安や使える補助金も具体的にお伝えしますので、「うちでもできそう」と感じていただけるはずです。
ランサムウェアとは?経営者にわかる言葉で説明します
ランサムウェア(Ransomware)とは、パソコンやサーバーに侵入してファイルを暗号化し、元に戻すための「身代金(Ransom)」を要求するサイバー攻撃です。
感染すると何が起きるか
・会計ソフトや顧客データが開けなくなる
・社内の全パソコンが一斉に使えなくなる
・取引先の情報が外部に漏れる(二重脅迫)
・業務が数週間から数カ月、完全に止まる
攻撃者はどうやって侵入するか
主な侵入経路は3つです。
| 侵入経路 | 割合(※) | 具体的なケース |
|---|---|---|
| メールの添付ファイル・リンク | 約40% | 「請求書を送ります」「荷物の確認を」といった偽メールをクリック |
| VPN・リモートデスクトップの脆弱性 | 約35% | テレワーク用の接続ツールに古いバージョンを使い続けている |
| ウェブサイトの閲覧 | 約15% | 改ざんされたサイトを閲覧するだけで感染するケース |
※警察庁「令和5年上半期サイバー情勢」より概算
中小企業が狙われる理由
警察庁の調査では、2023年に被害を受けた企業の約半数が中小企業でした。「セキュリティが手薄=侵入しやすい」という理由に加え、取引先の大企業へ侵入するための「踏み台」として狙われるケースも増えています。取引先から「セキュリティ対策を証明してほしい」と求められた場合、対策が遅れると取引停止になるリスクもあります。
ランサムウェア対策がもたらすメリット(ROI)
「セキュリティ対策はコストだ」と考えがちですが、実際には投資対効果(ROI)が非常に高い施策です。
| 項目 | 対策なしの場合のリスク | 対策ありの場合 |
|---|---|---|
| 業務停止期間 | 平均21日間(中小企業の場合) | 感染しても最短1〜2日で復旧 |
| 復旧費用 | 300万〜2,000万円(IT対応+機会損失) | 月額2〜5万円の予防投資 |
| 身代金要求額 | 平均1,200万円(国内中小企業) | 支払い不要 |
| 取引先への影響 | 情報漏洩で契約解除・損害賠償のリスク | 信頼維持・取引継続 |
| 従業員の残業 | 感染後の復旧作業で月100時間超の残業 | 月0〜5時間の管理作業のみ |
月額2〜5万円の投資で、数百万〜数千万円の損失を防げるとすれば、これほど費用対効果の高い経営判断はありません。セキュリティ対策は「守り」ではなく「事業継続のための投資」と捉えてください。
今日から始めるランサムウェア対策|7ステップ
難しい知識は不要です。優先度が高い順に7つのステップを紹介します。従業員30人以下の会社でも、すべて実行できます。
1. OSとソフトウェアを常に最新に保つ(コスト:ほぼ0円)
攻撃者はOSやソフトウェアの「穴(脆弱性)」を突いて侵入します。Windowsの自動更新をオフにしている会社は、今すぐオンに戻してください。
対応手順:
・Windows Update: 「設定」→「Windows Update」→「自動的にダウンロードしてインストール」をオンに設定
・Adobe・Officeなど: 各ソフトの「更新を確認」ボタンから最新版にアップデート
・古いパソコン: Windows 10のサポートは2025年10月終了。対応できないPCはWindows 11対応機種への買い替えを検討する
ポイント: 更新を後回しにするほど、攻撃者に侵入される確率が上がります。更新が完了するまでの時間(通常15〜30分)を昼休みや退社時間に設定すれば、業務への影響をゼロにできます。
2. バックアップを「3-2-1ルール」で構築する(コスト:月3,000円〜)
ランサムウェアに感染しても、バックアップが正しく取れていれば身代金を払わずに復旧できます。
「3-2-1ルール」とは:
・3: データのコピーを3つ持つ(元データ+バックアップ2つ)
・2: 異なる2種類のメディアに保存する(例:PCのHDD+外付けHDD)
・1: 1つはネット上のクラウドに保存する
重要な注意点: 外付けHDDをPCに常時接続したままにするのは危険です。ランサムウェアに感染すると、接続中の外付けHDDの中身も暗号化されてしまいます。バックアップ後は必ず取り外してください。
おすすめのバックアップ方法:
| 方法 | 月額費用 | 従業員数の目安 | 特徴 |
|---|---|---|---|
| Microsoft OneDrive(Business) | 1人あたり750円〜 | 1〜30人 | Microsoft 365に含まれる。自動バックアップが便利 |
| Google Drive(Business) | 1人あたり680円〜 | 1〜30人 | Googleアカウントで使いやすい。プランにより容量が異なる |
| NAS(ネットワーク対応HDD) | 初期費用3〜8万円 | 5〜50人 | 社内共有ファイルの定期バックアップに最適 |
3. メールのフィルタリングを強化する(コスト:月5,000円〜)
攻撃の約40%はメール経由です。怪しいメールを自動的にブロックするだけで、感染リスクを大幅に下げられます。
・Microsoft 365 Business Premium: 月額2,390円/人。Defender for Office 365が含まれ、悪意あるリンクや添付ファイルを自動ブロック
・Google Workspace Business Standard: 月額1,360円/人。Gmailの迷惑メールフィルタが高精度
・専用メールセキュリティ製品: GUARDIANWALL、Digital Arts m-FILTERなど、月額1人300〜500円で追加導入可能
すぐにできる設定: メールソフトの設定で「添付ファイルを自動実行しない」「外部リンクをクリックする前に警告を表示する」をオンにしてください。
4. 多要素認証(MFA)を全員に設定する(コスト:ほぼ0円)
多要素認証(MFA)とは、パスワード+スマートフォンへの通知という「二重の鍵」でログインを守る仕組みです。パスワードが漏れても、スマホを持っていなければログインできないため、不正アクセスを約99%防げます。
Microsoft 365やGoogle Workspaceをお使いの場合、追加費用なしで設定できます。
設定手順(Microsoft 365の場合):
・管理センター(https://admin.microsoft.com)にアクセス
・「セキュリティ」→「多要素認証」→「サービスの設定」から有効化
・全ユーザーに「Microsoft Authenticator」アプリのインストールを依頼
設定は1人あたり5〜10分で完了します。30人の会社なら、半日で全員の設定を終えられます。
5. エンドポイントセキュリティ(ウイルス対策)を導入する(コスト:1人あたり月500〜1,500円)
昔ながらの「ウイルス対策ソフト」は、既知のウイルスしか防げません。ランサムウェアには、AIを使った「振る舞い検知型」のEDR(エンドポイント検知・対応)が有効です。
中小企業向けのおすすめ製品:
| 製品名 | 月額(1台) | 特徴 |
|---|---|---|
| Microsoft Defender for Business | 約365円 | Microsoft 365 Business Premiumに含まれる。設定が簡単 |
| CrowdStrike Falcon Go | 要問合せ(目安:月1,000〜1,500円程度) | AI検知が強力。代理店経由での導入が基本 |
| SentinelOne Singularity Core | 要問合せ(目安:月1,000〜1,500円程度) | 自動修復機能があり、感染後の復旧が速い |
| Malwarebytes Teams | 約800円 | 中小企業向けに設計。管理画面が使いやすい |
Windows 11に標準搭載の「Windows Defender」は無料で使えますが、管理機能が限定的です。まずはDefenderを有効化し、予算に余裕が出たらMDfBやCrowdStrikeへのアップグレードを検討してください。
6. アクセス権限を「必要最小限」に設定する(コスト:0円)
ランサムウェアに感染した場合、被害は「感染したパソコンがアクセスできる範囲」に広がります。全員が全ファイルにアクセスできる状態は、一人のミスで会社全体が被害を受けることを意味します。
すぐにできる対策:
・共有フォルダの見直し: 経理部門のフォルダは経理スタッフのみ、人事フォルダは人事のみがアクセスできるよう設定
・管理者権限の絞り込み: 「管理者アカウント」は情報担当者1〜2名のみに限定。一般スタッフは通常ユーザー権限で運用
・退職者のアカウント削除: 退職した従業員のIDとパスワードが残ったままになっていないか確認
WindowsのActive Directoryや、Google WorkspaceのOU(組織単位)機能を使えば、部署ごとのアクセス制限を一括管理できます。
7. 従業員向けセキュリティ研修を年2回実施する(コスト:月3,000円〜)
どんな高性能なシステムを導入しても、従業員が「怪しいリンクをクリックする」「USBを無断で挿す」といった行動をとれば感染します。人の行動を変えることが、最も費用対効果の高い対策です。
研修に使えるツール:
・IPA(情報処理推進機構)の無料教材: 「5分でわかるセキュリティ基礎講座」など、無料でダウンロード・配布可能
・KnowBe4: 疑似フィッシングメールを従業員に送り、クリック率を測定できるサービス。月額数万円〜
・情報セキュリティELearning: IPA提供の無料e-ラーニング「情報セキュリティ基礎」はスマホでも受講可能
研修のコツ: 「怖い話で脅す」より「実際にどんなメールが来るか」を見せるほうが効果的です。過去の実際のフィッシングメール事例を見せながら「どこがおかしいか」を考えさせる参加型の研修が定着します。
セキュリティマスターズ.TOKYOでも、中小企業向けのセキュリティ対策情報を詳しく解説しています。
ランサムウェア対策にかかるコストと使える補助金
規模別のコスト目安
| 従業員数 | 最低限の対策(月額) | 標準的な対策(月額) | 主な内訳 |
|---|---|---|---|
| 5〜10人 | 5,000〜15,000円 | 15,000〜30,000円 | クラウドバックアップ+エンドポイント対策 |
| 10〜30人 | 15,000〜40,000円 | 40,000〜80,000円 | 上記+メールフィルタリング+MFA |
| 30〜50人 | 40,000〜70,000円 | 70,000〜150,000円 | 上記+EDR+セキュリティ研修 |
使える補助金・助成金(2026年4月時点)
・IT導入補助金(セキュリティ対策推進枠): サイバーセキュリティお助け隊サービス(IPA認定)の導入費用を補助。補助率1/2〜2/3、上限額は年度・公募回により異なるため、IT導入補助金公式サイトで最新情報を確認してください。中小企業・小規模事業者が対象
・中小企業サイバーセキュリティ対策支援事業(都道府県版): 各都道府県が独自に実施。例として東京都は「中小企業サイバーセキュリティ支援事業」で診断費用の2/3を補助(上限50万円)
・小規模事業者持続化補助金: セキュリティ強化を「販路開拓・業務効率化」として申請できるケースあり。上限50万円
申請のポイント: IT導入補助金は「IT導入支援事業者」経由での申請が必要です。導入予定のセキュリティ製品ベンダーや、ITコンサルタントに「IT導入補助金の支援事業者か」を確認してから進めてください。
よくある失敗と回避策
失敗1. バックアップを取っているのに復旧できなかった
バックアップが正しく取れているか確認していなかった、というケースが多いです。バックアップは「取るだけ」では不十分で、「復元できるか」を定期的にテストする必要があります。
回避策: 月1回、バックアップからファイルを1つ取り出して開けることを確認する「復元テスト」を習慣にしてください。実施担当者と実施日をカレンダーに入れておくと確実です。
失敗2. セキュリティソフトを入れたので大丈夫と思っていた
ウイルス対策ソフトを入れていても、パターンデータ(ウイルスの定義情報)が古いままでは最新のランサムウェアを防げません。
回避策: セキュリティソフトの自動更新が有効になっているか月1回確認してください。また、前述のステップ1〜4を組み合わせた「多層防御」が重要です。1つの対策だけに頼らないことが鉄則です。
失敗3. 感染後に身代金を払ってしまった
「払えば元に戻る」と思っても、実際には復号(暗号を解く)ツールが送られてこないケースが約30%あります。また、「支払いに応じる企業」として二次攻撃のターゲットになるリスクもあります。
回避策: 感染した場合はまず社内ネットワークから感染端末を切り離し、IPA(情報処理推進機構)の相談窓口または警察に連絡してください。支払いの前に必ず専門家に相談することが重要です。
失敗4. 対策を担当者1人に任せきりにした
IT担当者が退職すると、バックアップが止まっていた、パスワードが誰もわからない……というケースが多発しています。
回避策: セキュリティ対策の手順書を文書化し、最低2人が内容を把握する体制を作ってください。「属人化」はリスクそのものです。
まとめ
中小企業のランサムウェア対策は、難しい技術知識がなくても始められます。本記事で紹介した7ステップを改めて整理します。
・ステップ1: OSとソフトウェアを常に最新に保つ(コスト:ほぼ0円)
・ステップ2: バックアップを「3-2-1ルール」で構築する(月3,000円〜)
・ステップ3: メールのフィルタリングを強化する(月5,000円〜)
・ステップ4: 多要素認証(MFA)を全員に設定する(ほぼ0円)
・ステップ5: EDR(振る舞い検知型ウイルス対策)を導入する(1人あたり月500〜1,500円)
・ステップ6: アクセス権限を「必要最小限」に設定する(0円)
・ステップ7: 従業員向けセキュリティ研修を年2回実施する(月3,000円〜)
全部まとめても、30人規模の会社で月4〜8万円程度から対策できます。被害を受けた場合の平均損失(数百万〜数千万円)と比べれば、投資対効果は明白です。
「何から手をつければいいかわからない」という場合は、まずステップ4の多要素認証とステップ1のOSアップデートから始めてください。この2つだけでも、感染リスクを大きく下げられます。
「ランサムウェア対策、自社でどこから始めればいい?」
セキュリティへの投資は「何をすれば十分か」がわかりにくいため、後回しになりがちです。
中小企業のセキュリティ対策を着実に進めたい方へ、メルマガで実践的なDX・セキュリティ推進ノウハウをお届けしています。
コメント