第6回: セキュリティ対策、本当に大丈夫ですか? – 中小企業が狙われる理由

「うちは小さいから狙われない」という危険な誤解

「サイバー攻撃?うちみたいな小さな会社は関係ないでしょ」

こう思っていませんか?

実は、これは非常に危険な誤解です。むしろ、中小企業こそが、サイバー攻撃の格好のターゲットになっているのです。

前回までで、DXの進め方や、ITサポートの活用についてお伝えしてきました。しかし、DXを進めるほど、セキュリティリスクも高まります。

今回は、見落としがちだけれど極めて重要な「セキュリティ対策」について、中小企業が直面する現実と、今すぐできる対策をお伝えします。

データが語る現実:中小企業への攻撃は増加している

まず、データを見てみましょう。

独立行政法人情報処理推進機構(IPA)の調査によると、中小企業を狙ったサイバー攻撃は年々増加しています。

特に深刻なのが「ランサムウェア」と呼ばれる身代金要求型のウイルスです。

警察庁の統計(2024年)では、ランサムウェア被害を受けた企業のうち、約60%が従業員100人未満の中小企業でした。

なぜ、中小企業が狙われるのでしょうか?

中小企業が狙われる3つの理由

理由①:セキュリティ対策が手薄

大企業は専任のセキュリティ担当者がいて、最新のセキュリティシステムを導入しています。攻撃する側からすると、「固い」ターゲットです。

一方、中小企業は:

• セキュリティ専門の担当者がいない

• 古いOSやソフトウェアを使い続けている

• パスワードが「123456」など簡単なもの

• 社員のセキュリティ意識が低い

つまり、「柔らかい」ターゲットなのです。

理由②:大企業への踏み台になる

「でも、うちには盗まれて困るような情報はないよ」と思うかもしれません。

しかし、攻撃者の狙いは、あなたの会社の情報だけではありません。大企業との取引がある中小企業を乗っ取り、その取引先を攻撃するのです。

これを「サプライチェーン攻撃」と呼びます。

理由③:支払う可能性が高い

ランサムウェアに感染すると、すべてのデータが暗号化されて使えなくなります。復旧するには、攻撃者に身代金を支払うか、バックアップから復元するしかありません。

中小企業の多くは、適切なバックアップを取っていません。そのため、「業務が止まるくらいなら...」と、身代金を支払ってしまうケースが多いのです。

攻撃者はこれを知っています。

実例:取引先経由で被害を受けた製造業

東京都内のある製造業(社員15名)の事例をご紹介します。

ある日、大手取引先から「御社から不審なメールが来ているが、心当たりはありますか?」と連絡がありました。

調べてみると、社内のパソコン1台がウイルスに感染しており、そこから取引先に詐欺メールが大量送信されていたのです。

被害:

• 取引先への謝罪対応に1週間

• 感染したパソコンのデータは全て消失

• セキュリティ対策の緊急導入費用:約80万円

• 信用失墜により、取引量が一時的に30%減少

さらに深刻だったのは、取引先の一社が実際に被害を受け、損害賠償を請求される可能性が出てきたことです。

幸い、誠実な対応と再発防止策の提示で、賠償には至りませんでしたが、社長は「会社が潰れるかと思った」と振り返ります。

この会社の問題は何だったのか?

• Windows 7という古いOSを使い続けていた

• ウイルス対策ソフトが更新されていなかった

• 社員が怪しいメールの添付ファイルを開いてしまった

• バックアップを取っていなかった

つまり、基本的な対策ができていなかったのです。

よくあるサイバー攻撃の手口

では、実際にどんな攻撃があるのでしょうか。代表的なものを3つご紹介します。

手口①:フィッシングメール

「請求書を送ります」「重要なお知らせ」などのタイトルで、添付ファイルやリンクをクリックさせるメールです。

一見、取引先や宅配業者からのメールに見えますが、実は偽物。クリックすると、ウイルスに感染したり、偽のログイン画面でパスワードを盗まれたりします。

手口②:ランサムウェア

パソコンやサーバーのデータを暗号化して使えなくし、「元に戻したければ身代金を払え」と要求するウイルスです。

身代金は仮想通貨で要求されることが多く、金額は数十万円〜数百万円。支払っても、データが戻る保証はありません。

手口③:パスワード総当たり攻撃

簡単なパスワード(「password」「123456」「会社名」など)を使っている場合、プログラムで自動的に試し続けて侵入します。

侵入されると、メールアカウントを乗っ取られたり、社内システムにアクセスされたりします。

今すぐやるべき5つの基本対策

では、どうすればいいのでしょうか。高額なシステムは必要ありません。まずは、以下の5つの基本対策から始めましょう。

対策①:OSとソフトウェアを最新に保つ

Windows 10は2025年10月にサポートが終了します。それ以降は、セキュリティ更新がされないため、非常に危険です。

やるべきこと:

• Windows 11へのアップグレード(無料でできる場合が多い)

• ウイルス対策ソフトの自動更新設定

• 使っているソフトウェアの定期的な更新

対策②:強いパスワードと2段階認証

パスワードは、最低でも12文字以上、英数字と記号を組み合わせたものにしましょう。

さらに、2段階認証(ログイン時にスマホに確認コードが送られる)を設定すれば、セキュリティは格段に向上します。

おすすめ:

• パスワード管理ツール(1Password、Bitwardenなど)を使う

• Google、Microsoft、銀行などの重要なアカウントは必ず2段階認証

対策③:定期的なバックアップ

ランサムウェアに感染しても、バックアップがあれば復旧できます。

バックアップのルール:

• 週に1回は必ずバックアップ

• クラウドと外付けHDDの両方に保存

• 外付けHDDは、バックアップ後は物理的に切り離す(ウイルス感染を防ぐため)

対策④:社員教育

技術的な対策だけでは不十分です。最も重要なのは「人」です。

社員に教えるべきこと:

• 怪しいメールの添付ファイルは開かない

• 知らない送信者からのリンクはクリックしない

• パスワードを使い回さない

• USBメモリを拾っても、パソコンに挿さない

月に1回、5分でいいので、セキュリティの注意喚起をしましょう。

対策⑤:専門家のサポートを受ける

「自分ではよくわからない」という場合は、ITサポート会社に相談しましょう。

サポート会社がやってくれること:

• セキュリティ診断(どこに問題があるか調査)

• セキュリティソフトの導入と設定

• バックアップシステムの構築

• 社員向けセキュリティ研修

• 万が一の時の緊急対応

月額数千円から、こうしたサポートを受けられるサービスもあります。

IT導入補助金でセキュリティ対策

「セキュリティ対策にお金をかけたいけど、予算が...」という方に朗報です。

IT導入補助金は、セキュリティ対策にも使えます。

対象となるもの:

• ウイルス対策ソフト

• クラウドバックアップサービス

• セキュリティ診断

• 社員向けセキュリティ研修

補助率は最大2/3。例えば、60万円のセキュリティ対策を導入する場合、40万円が補助されます。

万が一、攻撃を受けてしまったら?

どれだけ対策しても、100%安全とは言えません。では、万が一被害を受けたらどうすればいいのでしょうか。

初動が重要です:

1. すぐにネットワークから切断 感染したパソコンをネットワークから物理的に切り離します(LANケーブルを抜く、Wi-Fiを切る)

2. ITサポート会社に連絡 自分で対処しようとせず、専門家に任せましょう

3. 警察に届け出 最寄りの警察署またはサイバー犯罪相談窓口(#9110)に連絡

4. 取引先への連絡 情報が漏洩した可能性がある場合、速やかに取引先に報告

5. 身代金は支払わない 警察も推奨していません。支払っても復旧する保証はなく、次のターゲットにされます

今日からできること:セキュリティチェックリスト

まずは、現状を確認してみましょう。以下のチェックリストで、いくつ「はい」と答えられますか?

□ すべてのパソコンがWindows 10以降またはmacOS最新版

□ ウイルス対策ソフトが入っていて、自動更新されている

□ パスワードは12文字以上で、使い回していない

□ 重要なアカウントで2段階認証を使っている

□ 週1回以上、バックアップを取っている

□ 社員に怪しいメールの見分け方を教えている

□ 万が一の時の連絡先(ITサポート会社、警察)を決めている

7つ全部「はい」なら合格です。でも、1つでも「いいえ」があれば、今週中にその対策を始めてください。

まとめ:「うちは大丈夫」が一番危ない

• 中小企業こそサイバー攻撃のターゲット。被害の60%は従業員100人未満

• 狙われる理由:セキュリティが手薄、大企業への踏み台、身代金を払う可能性が高い

• 基本対策5つ:OS更新、強いパスワード、バックアップ、社員教育、専門家サポート

• IT導入補助金でセキュリティ対策の費用を最大2/3補助

• 万が一の時は、ネットワーク切断→専門家に連絡→警察へ届け出

「うちは小さいから大丈夫」ではなく、「うちは小さいからこそ、狙われやすい」。この認識を持つことが、セキュリティ対策の第一歩です。

次回は、「お客様が求めているのは『デジタル対応』です – Webとデジタルマーケティング」として、売上につながるDXについてお話しします。

▼ セキュリティ対策、大丈夫ですか? 「何から始めればいいかわからない」「現状のリスクを診断してほしい」そんな時は、お気軽にご相談ください。

→ 無料相談はこちら

→ ネットワークセキュリティについて詳しく見る

→ お客様の声を見る

株式会社ベーシックシステム

東京23区の中小企業のDXを、親身にサポートします。

📞 0120-566-666(平日 9:00〜18:00)