サイバー攻撃の標的は大企業だけではない。Verizon DBIR 2025によると、中小企業(SMB)の侵害のうち 88%にランサムウェアが含まれている 。全体平均の44%と比べると、約2倍の割合だ。
にもかかわらず、IPAの2024年度調査では 日本の中小企業の62.6%がセキュリティに一切投資していない 。「うちは狙われない」と思っている企業ほど、攻撃者にとっては格好のターゲットになる。
この記事では、中小企業がなぜ狙われるのか、AI時代の新しい脅威とは何か、そして今すぐ始められる具体的な対策5つを解説する。
中小企業が狙われる3つの理由
理由1: セキュリティ体制が薄い
IPAの同調査によると、日本の中小企業の 約7割が組織的なセキュリティ体制を整備できていない 。専任のセキュリティ担当者がいない、予算がない、何から始めればいいかわからない——こうした状況が攻撃者にとっては「鍵のかかっていない家」に等しい。
理由2: サプライチェーンの入口になる
Verizon DBIR 2025では、サードパーティ経由の侵害が前年の2倍に増え、全体の 30% に達した。攻撃者は大企業を直接狙うより、セキュリティが甘い取引先(中小企業)を踏み台にするほうが効率的だと気づいている。
実際に、IPA調査ではサイバーインシデントが 取引先に影響した割合は約7割 にのぼる。つまり、あなたの会社のセキュリティ不備が、取引先との関係を壊すリスクがある。
理由3: 被害額が致命的
「大企業ほど被害額が大きい」と思うかもしれないが、中小企業にとっての被害はより深刻だ。
| 統計 | 数値 | ソース |
|---|---|---|
| ランサムウェアの身代金中央値 | $115,000(約1,700万円) | Verizon DBIR 2025 |
| 日本の復旧費1,000万円以上の企業 | 50% | 警察庁 2024年統計 |
| 認証情報侵害の平均コスト | $467万/件 | IBM Cost of Data Breach 2025 |
大企業なら1,000万円は誤差の範囲かもしれない。しかし年商1億円の中小企業にとっては、売上の10%が一瞬で吹き飛ぶ金額だ。
AI時代のサイバー攻撃はここが違う
2023年以降、生成AIの普及でサイバー攻撃の質と量が劇的に変わった。
フィッシングメールの爆発的増加
SlashNextの調査によると、生成AI登場以降、フィッシングメールは 1,265%増加 した。さらにKnowBe4のレポートでは、フィッシングメールの 82.6%がAIによって生成 されているという。
かつてのフィッシングメールは不自然な日本語ですぐに見破れた。しかし今のAIは、ターゲット企業の業種、取引先、メールのトーンまで分析して、本物と見分けがつかないメールを わずか5分で作成できる (IBM Security研究)。人間の専門家が16時間かけて作るフィッシングキャンペーンを、AIは300倍の速度で量産する。
Shadow AI(無許可AI利用)のリスク
社員が業務効率化のために無許可でAIツールを使う「Shadow AI」も新たなリスクだ。IBM Cost of Data Breach 2025によると、Shadow AIが関与した侵害は平均で $67万(約1億円) のコスト増をもたらす。
社員が社内データをChatGPTに貼り付ける、機密情報をAIアシスタントに入力する——悪意はなくても、データは社外に流出している。
攻撃のROIが劇的に向上
攻撃者にとって、AIは「コストを下げて成功率を上げる」ツールだ。5分で作れるフィッシングメールで$115,000の身代金が取れるなら、投資対効果は計り知れない。中小企業は防御が薄く、身代金を払う確率も高いため、攻撃者にとって最も効率的なターゲットになる。
被害額のリアル:個人情報保護法の罰則も知っておく
サイバー攻撃の被害は、復旧費だけでは終わらない。
個人情報保護法(2022年改正)の義務
2022年4月の改正で、個人情報が漏洩した場合の 報告義務が全ての事業者に課された 。中小企業も例外ではない。
| 義務 | 内容 |
|---|---|
| 速報 | 発覚後 3〜5日以内 に個人情報保護委員会へ |
| 確報 | 30日以内(不正アクセスの場合は60日以内) |
| 本人通知 | 漏洩した本人への通知義務 |
| 罰則 | 命令違反で 最大1億円 |
2024年の個人情報漏洩件数は 2,164万件 で過去最多(サイバーセキュリティクラウド調査)。他人事ではない。
認証情報が侵害のカギ
IBM Cost of Data Breach 2025によると、認証情報(パスワード)が初期経路となった侵害は、特定・封じ込めまでに平均 246日(約8ヶ月) かかる。被害がじわじわ広がり、気づいたときには手遅れだ。
そして2024年だけで 28億件のパスワード が犯罪フォーラムで売買された(Verizon DBIR 2025)。漏洩したパスワードのうち、基本的な複雑性要件を満たしていたものは わずか3% 。つまり、97%のパスワードは簡単に破られる程度の強度しかない。自社の認証情報が漏洩していないか確認する方法はパスワード漏洩の確認方法で解説している。
今すぐ始める5つのセキュリティ対策
「何から始めればいいかわからない」——これが中小企業のセキュリティ対策が進まない最大の理由だ。ここでは、コストと効果のバランスが良い5つの対策を優先度順に紹介する。
対策1: パスワードマネージャーを導入する
侵害の22%が盗まれた認証情報から始まる。社員全員のパスワードを管理するのは、最もコスパが高い対策だ。
NordPass Business なら、管理コンソールから全社員のパスワード健全性を一括で把握できる。xChaCha20暗号化とゼロ知識アーキテクチャで、NordPass側ですらデータにアクセスできない設計だ。
| 特徴 | 内容 |
|---|---|
| 料金 | $3.59/ユーザー/月〜(2年プラン) |
| 最低ユーザー数 | 5人 |
| 無料トライアル | 14日間(カード不要) |
| 認証 | ISO 27001 / SOC 2 Type 2 |
Excel管理や付箋メモからの移行は、14日間の無料トライアルで試せる。個人利用のパスワードマネージャーを探しているならNordPassレビューも参考にしてほしい。
対策2: VPNでリモートワークの通信を暗号化する
リモートワークやカフェでの作業が当たり前の時代、公共Wi-Fiやホームルーターのセキュリティは保証されていない。VPNは通信を暗号化し、盗聴やMITM(中間者)攻撃を防ぐ。
NordVPN は1アカウントで最大10台のデバイスを同時接続できるため、小規模チームなら数アカウントで全員をカバーできる。NordLynx(WireGuardベース)プロトコルにより、暗号化しても速度低下はほとんど感じない。
リモートワーク時のセキュリティ対策については「リモートワークのセキュリティ対策ガイド」で詳しく解説している。
対策3: フィッシング対策ツールを入れる
AIフィッシングが1,265%増加している現状では、「社員の注意力」だけに頼るのは危険だ。技術的なフィルタリングが必要になる。
NordVPN Threat Protection Pro は、悪意あるサイトやフィッシングURLをブラウザがアクセスする前にブロックする。VPN未接続の状態でも単独で動作するため、常時保護が可能だ。NordVPNの「プラス」プラン以上に含まれている。
対策4: 多要素認証(MFA)を全アカウントに適用する
パスワードが漏洩しても、MFAがあれば侵入を防げる。Google Workspace、Microsoft 365、Slackなど、主要なビジネスツールはすべてMFAに対応している。
設定は無料で、効果は絶大だ。「パスワード + スマホの認証アプリ」の2段階にするだけで、アカウント乗っ取りのリスクを大幅に下げられる。NordPass Businessには認証コード生成機能(NordPass Authenticator)が内蔵されているため、別アプリのインストールも不要だ。
対策5: 社員へのセキュリティ教育を定期的に行う
どんなツールを入れても、最終的な防衛ラインは社員一人ひとりのリテラシーだ。Verizon DBIR 2025によると、侵害の 60%にヒューマンエレメント (人間の行動)が関与している。
教育のポイント:
- フィッシングメールの見分け方(送信元ドメイン、URLの確認)
- パスワードの使い回し禁止とパスワードマネージャーの使い方
- Shadow AI(無許可AI利用)のリスクと社内ルール
- 不審なメール・ファイルを見つけたときの報告フロー
四半期に1回、30分の研修で十分だ。重要なのは継続すること。
中小企業向けパスワード管理。14日間無料トライアル
- xChaCha20暗号化・ゼロ知識アーキテクチャ
- ISO 27001 / SOC 2 Type 2認証取得
- 管理コンソールで全社員を一括管理
2026年サプライチェーン評価制度(SCS)に備える
経済産業省は サプライチェーンセキュリティ対策評価制度(SCS) の2026年度末の制度開始を目指している。これは、取引先のセキュリティレベルを評価・可視化する制度だ。
何が変わるのか
これまでセキュリティ対策は「自社の問題」だった。しかしSCS制度では、取引先が求めるセキュリティ基準を満たさなければ 取引から排除されるリスク がある。特に大企業のサプライチェーンに入っている中小企業は、この制度への対応が事実上の義務になる可能性がある。
今から準備できること
- IPAの「中小企業の情報セキュリティ対策ガイドライン」 を読み、自社の現状と照らし合わせる
- 前述の5つの対策を実施し、基本的なセキュリティ体制を構築する
- SECURITY ACTION(二つ星) を宣言する(IPA公式サイトから申請可能)
SECURITY ACTIONは自己宣言制度だが、補助金の申請要件になるケースも増えている。制度が本格化する前に取得しておくメリットは大きい。
まとめ
中小企業がサイバー攻撃の主要ターゲットになっている——これは統計が示す事実だ。
- 中小企業のランサムウェア被害率は全体平均の約2倍(88% vs 44%)
- AIフィッシングは1,265%増加し、人間より効果的になった
- 日本の中小企業の62.6%がセキュリティ投資ゼロ
- 復旧費1,000万円以上が50%、個人情報保護法の罰則は最大1億円
今すぐできる対策チェックリスト:
- パスワードマネージャーを導入する(NordPass Business は14日間無料)
- VPNでリモートワークの通信を暗号化する
- フィッシング対策ツールを導入する
- 全アカウントにMFAを設定する
- 四半期ごとの社員セキュリティ研修を始める
「うちは狙われない」という時代は終わった。攻撃者はAIで武装している。防御する側も、できることから始めよう。