サイバー攻撃の標的は大企業だけではない。Verizon DBIR 2025によると、中小企業(SMB)の侵害のうち 88%にランサムウェアが含まれている 。全体平均の44%と比べると、約2倍の割合だ。
にもかかわらず、IPAの2024年度調査では 日本の中小企業の62.6%がセキュリティに一切投資していない 。「うちは狙われない」と思っている企業ほど、攻撃者にとっては格好のターゲットになる。
この記事では、中小企業がなぜ狙われるのか、AI時代の新しい脅威とは何か、そして今すぐ始められる具体的な対策5つを解説する。
中小企業が狙われる3つの理由
理由1: セキュリティ体制が薄い
IPAの同調査によると、日本の中小企業の 約7割が組織的なセキュリティ体制を整備できていない 。専任のセキュリティ担当者がいない、予算がない、何から始めればいいかわからない——こうした状況が攻撃者にとっては「鍵のかかっていない家」に等しい。
理由2: サプライチェーンの入口になる
Verizon DBIR 2025では、サードパーティ経由の侵害が前年の2倍に増え、全体の 30% に達した。攻撃者は大企業を直接狙うより、セキュリティが甘い取引先(中小企業)を踏み台にするほうが効率的だと気づいている。
実際に、IPA調査ではサイバーインシデントが 取引先に影響した割合は約7割 にのぼる。つまり、あなたの会社のセキュリティ不備が、取引先との関係を壊すリスクがある。
理由3: 被害額が致命的
「大企業ほど被害額が大きい」と思うかもしれないが、中小企業にとっての被害はより深刻だ。
| 統計 | 数値 | ソース |
|---|---|---|
| ランサムウェアの身代金中央値 | $115,000(約1,700万円) | Verizon DBIR 2025 |
| 日本の復旧費1,000万円以上の企業 | 50% | 警察庁 2024年統計 |
| 認証情報侵害の平均コスト | $467万/件 | IBM Cost of Data Breach 2025 |
大企業なら1,000万円は誤差の範囲かもしれない。しかし年商1億円の中小企業にとっては、売上の10%が一瞬で吹き飛ぶ金額だ。
AI時代のサイバー攻撃はここが違う
2023年以降、生成AIの普及でサイバー攻撃の質と量が劇的に変わった。
フィッシングメールの爆発的増加
SlashNextの調査によると、生成AI登場以降、フィッシングメールは 1,265%増加 した。さらにKnowBe4のレポートでは、フィッシングメールの 82.6%がAIによって生成 されているという。
かつてのフィッシングメールは不自然な日本語ですぐに見破れた。しかし今のAIは、ターゲット企業の業種、取引先、メールのトーンまで分析して、本物と見分けがつかないメールを わずか5分で作成できる (IBM X-Force研究)。人間の専門家が16時間かけて作るフィッシングキャンペーンを、AIは300倍の速度で量産する。
Shadow AI(無許可AI利用)のリスク
社員が業務効率化のために無許可でAIツールを使う「Shadow AI」も新たなリスクだ。IBM Cost of Data Breach 2025によると、Shadow AIが関与した侵害は平均で $67万(約1億円) のコスト増をもたらす。
社員が社内データをChatGPTに貼り付ける、機密情報をAIアシスタントに入力する——悪意はなくても、データは社外に流出している。
攻撃のROIが劇的に向上
攻撃者にとって、AIは「コストを下げて成功率を上げる」ツールだ。5分で作れるフィッシングメールで$115,000の身代金が取れるなら、投資対効果は計り知れない。中小企業は防御が薄く、身代金を払う確率も高いため、攻撃者にとって最も効率的なターゲットになる。
被害額のリアル:個人情報保護法の罰則も知っておく
サイバー攻撃の被害は、復旧費だけでは終わらない。
個人情報保護法(2022年改正)の義務
2022年4月の改正個人情報保護法で、個人情報が漏洩した場合の 報告義務が全ての事業者に課された 。中小企業も例外ではない。
| 義務 | 内容 |
|---|---|
| 速報 | 発覚後 3〜5日以内 に個人情報保護委員会へ |
| 確報 | 30日以内(不正アクセスの場合は60日以内) |
| 本人通知 | 漏洩した本人への通知義務 |
| 罰則 | 命令違反で 最大1億円 |
2024年の個人情報���洩件数は 約2,164万件 で過去最多(サイバーセキュリ���ィクラウド���査)。他人事ではない。
認証情報が侵害のカギ
IBM Cost of Data Breach 2025によると、認証情報(パスワード)が初期経路となった侵害は、特定・封じ込めまでに平均 246日(約8ヶ月) かかる。被害がじわじわ広がり、気づいたときには手遅れだ。
そして2024年だけで 28億件のパスワード が犯罪フォーラムで売買された(Verizon DBIR 2025)。漏洩したパスワードのうち、基本的な複雑性要件を満たしていたものは わずか3% 。つまり、97%のパスワードは簡単に破られる程度の強度しかない。パスワードがどう破られるかを知れば、この深刻さが実感できるはずだ。自社の認証情報が漏洩していないか確認する方法はパスワード漏洩の確認方法で解説している。
今すぐ始める5つのセキュリティ対策
「何から始めればいいかわからない」——これが中小企業のセキュリティ対策が進まない最大の理由だ。ここでは、コストと効果のバランスが良い5つの対策を優先度順に紹介する。
対策1: パスワードマネージャーを導入する
侵害の22%が盗まれた認証情報から始まる。社員全員のパスワードを管理するのは、最もコスパが高い対策だ。
NordPass Business なら、管理コンソールから全社員のパスワード健全性を一括で把握できる。xChaCha20暗号化とゼロ知識アーキテクチャで、NordPass側ですらデータにアクセスできない設計だ。
| 特徴 | 内容 |
|---|---|
| 料金 | $3.59/ユーザー/月〜(2年プラン) |
| 最低ユーザー数 | 5人 |
| 無料トライアル | 14日間(カード不要) |
| 認証 | ISO 27001 / SOC 2 Type 2 |
Excel管理や付箋メモからの移行は、14日間の無料トライアルで試せる。個人利用のパスワードマネージャーを探しているならNordPassレビューも参考にしてほしい。
対策2: VPNでリモートワークの通信を暗号化する
リモートワークやカフェでの作業が当たり前の時代、公共Wi-Fiやホームルーターのセキュリティは保証されていない。VPNは通信を暗号化し、盗聴やMITM(中間者)攻撃を防ぐ。
NordVPN は1アカウントで最大10台のデバイスを同時接続できるため、小規模チームなら数アカウントで全員をカバーできる。NordLynx(WireGuardベース)プロトコルにより、暗号化しても速度低下はほとんど感じない。
リモートワーク時のセキュリティ対策については「リモートワークのセキュリティ対策ガイド」で詳しく解説している。
対策3: フィッシング対策ツールを入れる
AIフィッシングが1,265%増加している現状では、「社員の注意力」だけに頼るのは危険だ。技術的なフィルタリングが必要になる。
NordVPN Threat Protection Pro は、悪意あるサイトやフィッシングURLをブラウザがアクセスする前にブロックする。VPN未接続の状態でも単独で動作するため、常時保護が可能だ。NordVPNの「プラス」プラン以上に含まれている。
対策4: 多要素認証(MFA)を全アカウントに適用する
パスワードが漏洩しても、MFAがあれば侵入を防げる。Google Workspace、Microsoft 365、Slackなど、主要なビジネスツールはすべてMFAに対応している。
設定は無料で、効果は絶大だ。「パスワード + スマホの認証アプリ」の2段階にするだけで、アカウント乗っ取りのリスクを大幅に下げられる。NordPass Businessには認証コード生成機能(NordPass Authenticator)が内蔵されているため、別アプリのインストールも不要だ。
対策5: 社員へのセキュリティ教育を定期的に行う
どんなツールを入れても、最終的な防衛ラインは社員一人ひとりのリテラシーだ。Verizon DBIR 2025によると、侵害の 60%にヒューマンエレメント (人間の行動)が関与している。
教育のポイント:
- フィッシングメールの見分け方(送信元ドメイン、URLの確認)
- パスワードの使い回し禁止とパスワードマネージャーの使い方
- Shadow AI(無許可AI利用)のリスクと社内ルール
- 不審なメール・ファイルを見つけたときの報告フロー
四半期に1回、30分の研修で十分だ。重要なのは継続すること。
中小企業向けパスワード管理。14日間無料トライアル
- xChaCha20暗号化・ゼロ知識アーキテクチャ
- ISO 27001 / SOC 2 Type 2認証取得
- 管理コンソールで全社員を一括管理
2026年サプライチェーン評価制度(SCS)に備える
経済産業省は サプライチェーンセキュリティ対策評価制度(SCS) の2026年度末の制度開始を目指している。これは、取引先のセキュリティレベルを3段階(★3 / ★4 / ★5)で評価・可視化する制度だ。
何が変わるのか
これまでセキュリティ対策は「自社の問題」だった。しかしSCS制度では、取引先が求めるセキュリティ基準を満たさなければ 取引から排除されるリスク がある。特に大企業のサプライチェーンに入っている中小企業は、この制度への対応が事実上の義務になる可能性がある。
今から準備できること
- IPAの「中小企業の情報セキュリティ対策ガイドライン」 を読み、自社の現状と照らし合わせる
- 前述の5つの対策を実施し、基本的なセキュリティ体制を構築する
- SECURITY ACTION(二つ星) を宣言する(IPA公式サイトから申請可能)
SECURITY ACTIONは自己宣言制度だが、補助金の申請要件になるケースも増えている。制度が本格化する前に取得しておくメリットは大きい。
よくある質問(FAQ)
中小企業がサイバー攻撃を受けた場合の被害額はどのくらい?
IBM Cost of Data Breach 2025によると、認証情報が起点の侵害は平均 $467万(約7億円)/件 のコストがかかる。ランサムウェアの身代金中央値は $115,000(約1,700万円) (Verizon DBIR 2025)。警察庁の統計では、日本の被害企業の50%が復旧費1,000万円以上を要している。
2026年に中小企業が最も警戒すべき脅威は?
ランサムウェアとAIフィッシングの2つだ。中小企業の侵害の88%にランサムウェアが含まれており(Verizon DBIR 2025)、Hoxhuntの研究ではAIフィッシングが人間の専門家を24%上回る成功率を記録している。フィッシングメールへの対処法も確認しておこう。
セキュリティ対策にはどのくらいの予算が必要?
最小限の対策なら月額数千円から始められる。NordPass Business は$3.59/ユーザー/月〜、MFAの設定は無料だ。身代金の中央値$115,000や規制罰則(最大1億円)と比べれば、投資対効果は圧倒的だ。
SCS評価制度とは?いつ始まる?
経済産業省が推進するサプライチェーンセキュリティ対策評価制度(SCS)は、取引先のセキュリティレベルを★3〜★5の3段階で評価・可視化する制度だ。 2026年度末 の開始を目指しており、基準を満たさなければ取引から排除されるリスクがある。
MFAだけで十分か?
MFAはアカウント乗っ取りリスクを大幅に下げるが、それだけでは不十分だ。パスワードの使い回しによるクレデンシャルスタッフィング攻撃を防ぐためにパスワードマネージャーが必要で、リモートワーク時の通信暗号化にはVPNが必要だ。セキュリティは多層防御で考える。
Shadow AI(無許可AI利用)はなぜ危険?
社員がChatGPT等に社内データを入力すると、データが社外に流出する。IBMの2025年レポートによると、Shadow AIが関与した侵害は平均で $67万(約1億円) のコスト増をもたらす。AIツールの利用ルールを策定し、社員に周知することが重要だ。
無料で使えるセキュリティリソースはある?
NIST SP 1300(中小企業向けクイックスタートガイド)とIPAの「中小企業の情報セキュリティ対策ガイドライン」はどちらも無料で公開されている。認証情報の漏洩チェックにはHave I Been Pwnedが便利だ。詳しくはパスワード漏洩の確認方法で解説している。
まとめ
中小企業がサイバー攻撃の主要ターゲットになっている——これは統計が示す事実だ。
- 中小企業のランサムウェア被害率は全体平均の約2倍(88% vs 44%)
- AIフィッシングは1,265%増加し、人間より効果的になった
- 日本の中小企業の62.6%がセキュリティ投資ゼロ
- 復旧費1,000万円以上が50%、個人情報保護法の罰則は最大1億円
今すぐできる対策チェックリスト:
- パスワードマネージャーを導入する(NordPass Business は14日間無料)
- VPNでリモートワークの通信を暗号化する
- フィッシング対策ツールを導入する
- 全アカウントにMFAを設定する
- 四半期ごとの社員セキュリティ研修を始める
「うちは狙われない」という時代は終わった。攻撃者はAIで武装している。防御する側も、できることから始めよう。
関連記事: