「うちのような小さな会社が、わざわざ狙われるはずがない」。そう考えている中小企業の経営者の方にこそ、知っておいてほしい数字があります。いま、ランサムウェア(パソコンやサーバーのデータを暗号化し、復旧と引き換えに金銭を要求する攻撃)の被害は、大企業よりむしろ中小企業に集中しているのです。
この記事では、専任のIT担当者がいない、いわゆる情シス不在の中小企業に向けて、最新の被害動向を整理したうえで、人手が足りない現場でも回る「仕組みで守る」対策を解説します。気合いや個人の頑張りに頼らず、決めごとと自動化で守る考え方を、従業員10~100名規模の会社向けにわかりやすくお伝えします。
中小企業の被害が6割超|最新の数字が示す現実
まず、公表されている数字を冷静に確認しましょう。警察庁が2025年(令和7年)のランサムウェア被害として報告した件数は226件で、このうち中小企業が143件と、全体の約6割を占めました。大企業は64件、団体などは19件です。「狙われるのは大企業」というイメージとは逆に、被害の中心は中小企業だという事実が、数字にはっきり表れています。
被害の傾向も押さえておきましょう。業種別では製造業が約4割を占め、卸売・小売、サービス、情報通信にも広がっています。侵入経路は、VPN機器が約6割、リモートデスクトップ(社外から社内のパソコンを遠隔操作する仕組み)が約2割で、外部からのリモート接続の入り口が突かれるケースが大半です。被害に遭うと復旧も重く、調査・復旧に1か月以上かかった組織が約4割、1000万円以上の費用を要した組織も多数報告されています。
なぜ中小企業が狙われるのか。理由はシンプルで、攻撃者から見て「対策が手薄で侵入しやすいから」です。専任のIT担当者がいない会社では、機器の更新やパスワード管理が後回しになりがちで、そこが弱点になります。規模が小さいことは、もはや安全の理由にはなりません。
なぜ「人の注意」だけでは守りきれないのか
中小企業のセキュリティが破られるとき、原因は社員の不注意というより、守りが個人任せになっていることにあります。「怪しいメールは開かないように」と朝礼で呼びかけても、忙しい現場では徹底されません。担当者が1人で全部を抱えていると、その人が休んだ日や退職した後に守りが崩れます。
ある調査では、こうした現場の手薄さも見えてきます。2026年2月から3月に実施されたランサムウェア対策に関する調査(回答数253件)によると、攻撃を受けてから被害拡大を食い止めるEDR・XDR(端末の不審な動きを検知し対応する仕組み)の導入は43.1%、多要素認証(パスワードに加えてもう一段の本人確認を行う仕組み)は39.9%にとどまりました。つまり、半数以上の組織が、侵入後の被害を抑える備えをまだ持っていません。
ここで発想を変える必要があります。人の注意力には限界があるからこそ、「うっかりやっても被害が広がらない仕組み」を先に用意する。これが、人手の足りない中小企業にとって唯一現実的な守り方です。
PR
ランサムウェア対策 実践ガイド(田中啓介・山重徹 著/マイナビ出版)
「中小企業のセキュリティはランサムウェア対策から始まる」という立場で、攻撃手法の理解から実践的な対策、インシデント対応までを実務者の経験に基づいてまとめた一冊です。自社の守りを点検する地図として役立ちます。
人手が足りなくても回る「仕組みで守る」3つの対策
専任のIT担当者がいなくても、次の3つを「決めごと」と「自動化」で押さえれば、被害の確率と深刻さを大きく下げられます。新しい高額システムを導入する前に、まずここから始めるのが現実的です。
1. リモート接続の入り口を固める
被害の侵入経路はVPN機器とリモートデスクトップが大半です。だからこそ、まずこの入り口を仕組みで固めます。具体的には、VPN機器の更新プログラムを自動で適用する設定にし、外部からのログインには多要素認証を必須にします。多要素認証は、パスワードが漏れても、もう一段の確認がなければ入れないため、侵入の多くを入り口で止められます。設定さえ一度済ませれば、あとは自動で守ってくれる代表的な対策です。
2. バックアップを「自動」かつ「切り離して」取る
ランサムウェアに暗号化されても、安全なバックアップがあれば身代金を払わずに復旧できます。鍵は、バックアップを自動で取り、かつ本番のネットワークから切り離しておくことです。手動だと取り忘れますし、常時つながったバックアップは一緒に暗号化されてしまいます。クラウドバックアップや、書き換えできない形式(イミュータブルバックアップ)を使えば、人が関与しなくても安全な複製が残ります。さらに、月に一度は「本当に戻せるか」を試しておくと安心です。
3. 「侵入された後」に気づける仕組みを置く
完全に侵入を防ぐのは困難です。そこで、入られた後に素早く気づき、被害を最小化する仕組みを用意します。中小企業でも、端末の不審な動きを検知して自動で隔離するEDR・XDRや、外部の監視サービス(SOC)を月額で利用できます。専任者を雇うより安く、24時間の見張りを仕組みとして持てます。「気合いで監視」ではなく「自動で検知」へ切り替えるのが、人手不足の現場の正解です。
「人頼み」と「仕組みで守る」はこう違う
同じ中小企業でも、守り方を個人任せにするか仕組みにするかで、被害の出方は大きく変わります。違いを整理すると次のとおりです。
| 項目 | 人頼みの守り | 仕組みで守る |
|---|---|---|
| 入り口の防御 | パスワードのみ・更新は後回し | 多要素認証+自動更新で常に最新 |
| バックアップ | 手動で取り忘れがち | 自動取得+ネットから切り離し |
| 侵入後の対応 | 気づくのが遅れる | 自動検知で早期に隔離 |
| 担当者が不在のとき | 守りが止まる | 仕組みが動き続ける |
費用の目安として、多要素認証は既存のクラウドサービスの機能で追加費用なしから始められる場合があり、中小企業向けのEDR・監視サービスは1台あたり月額数百円~千円台から利用できます(執筆時点・2026年6月)。導入時には、IT導入補助金などの制度でセキュリティ対策費の一部が補助される場合もあるため、年度ごとの公募要領を確認しておくとよいでしょう。
よくある質問|中小企業のランサムウェア対策
Q. 専任のIT担当者がいません。何から始めればよいですか?
A. まずリモート接続の入り口を固めることからです。外部からのログインに多要素認証を必須にし、VPN機器の更新を自動適用にする。この2つは設定中心で、一度済ませれば自動で守ってくれます。そのうえで、自動バックアップを切り離して取る設定を整えるのが、失敗の少ない順番です。
Q. うちは小さい会社なので、本当に狙われますか?
A. 残念ながら、規模は安全の理由になりません。2025年の警察庁の報告では、ランサムウェア被害226件のうち約6割が中小企業でした。攻撃者は「対策が手薄で入りやすい会社」を狙うため、むしろ備えの薄い中小企業ほどリスクが高いと考えるべきです。
Q. お金をかけずにできる対策はありますか?
A. あります。多要素認証の有効化、機器の更新の自動適用、不要なリモート接続の停止は、既存のサービスや設定の範囲で始められることが多く、追加費用を抑えられます。セキュリティの考え方をさらに深めたい場合は、姉妹サイトセキュリティマスター.JPも参考になります。
PR
マルウェアやランサムウェアの仕組みを、一般の利用者からIT担当者までを対象に体系的に解説した一冊です。「敵がどう動くか」を知ることで、自社の守りの優先順位を考える土台になります。
本記事のまとめ
2025年の警察庁の報告では、ランサムウェア被害226件のうち約6割が中小企業でした。侵入経路はVPN機器やリモートデスクトップが大半で、被害に遭うと復旧に1か月以上、1000万円以上の費用がかかることも珍しくありません。規模の小ささは、もはや安全の根拠になりません。
人手の足りない現場で守り抜く鍵は、気合いではなく仕組みです。リモート接続の入り口を多要素認証と自動更新で固め、バックアップを自動かつ切り離して取り、侵入後に自動で気づける検知を置く。この3つを決めごととして用意すれば、担当者が1人でも、あるいは専任がいなくても、会社を守る備えは回り続けます。
人手が足りなくても、守れる仕組みを整えませんか?
中小企業のセキュリティと、人手をかけずに守るDXのヒントをお届けします。
中小企業のDXを身近な業務改善から始めたい方へ、メルマガで実践的なDX推進ノウハウをお届けしています。
