[監修]大阪大学D3センター教授 最高情報セキュリティ責任者(CISO) 猪俣 敦夫
本記事は2026年2月時点の情報を基に作成しています。
ある日突然、会計データや顧客情報がすべて失われ、事業が止まる――。そんな悪夢が、今、日本の中小企業で現実のものとなっています。DX推進やAI活用による成長の裏側で、セキュリティ対策が追いつかない企業が、深刻なサイバー攻撃の脅威にさらされているのです。
中小企業を取り巻くサイバーリスクの現状とは。そして、限られたリソースの中で経営リスクを最小限に抑えるために押さえるべき基本的な対策とは何か。大阪大学の最高情報セキュリティ責任者(CISO)であり、大阪府警察奈良県警察のサイバーセキュリティアドバイザーも務める猪俣 敦夫 教授に解説していただきました。
狙われる中小企業。サイバー攻撃がもたらす、甚大な経営リスク
──「事業規模が大きくないため、サイバー攻撃の標的にはなりにくい」と考える中小企業の経営者も少なくないようです。この現状を、専門家としてどう捉えていますか。
その認識こそが、攻撃者にとって最も“狙いやすい”状況を生み出しています。まず、その考えを根本的に改めていただく必要があります。
大手企業の被害が大きく報道されるため、中小企業は無関係だと思われがちですが、実態は異なります。経済産業省によると、データを暗号化して身代金を要求する「ランサムウエア」の被害報告のうち、約6割が中小企業というデータもあります。
さらに深刻なのが、セキュリティ対策が手薄な中小企業が、大手企業を攻撃するための“踏み台”にされる「サプライチェーン攻撃」です。攻撃者はまずセキュリティの甘い企業に侵入し、そこを経由して本命である大手企業のシステムを狙うという手口です。
この攻撃の恐ろしさは、自社が「被害者」であると同時に、意図せず取引先への「加害者」にもなってしまう点にあります。自社が原因でサプライチェーン全体を混乱させる「サイバードミノ」を引き起こせば、取引停止や損害賠償といった重大な経営リスクにつながり、事業存続が危ぶまれるだけでなく、長年築いた信頼を一瞬で失いかねません。
──中小企業の経営者がまず認識すべき、具体的なリスクとは何でしょうか。
やはり「ランサムウエア」です。この攻撃を受けると、PCやサーバ内のデータがことごとく暗号化され、事業継続に不可欠なファイルへのアクセスが完全に不可能となります。そして、データを元に戻すことと引き換えに「身代金」を要求してくるのです。
攻撃者は、相手が中小企業であれば数百万円程度の「支払い可能な金額」から交渉を始め、企業の財務状況や反応を見ながら要求額をつり上げていき、時には数億円規模にもなります。
──身代金を支払えば、データは確実に復旧されるのでしょうか。
復旧される保証は一切ありません。しかし、身代金の支払いを拒んだ結果、自力での復旧ができず、長期の事業停止に追い込まれた企業の例は後を絶ちません。
事態を公表すれば企業ブランドイメージの毀損は免れないため、多くの企業が、水面下で身代金を支払い、泣き寝入りしているのが実情です。「数百万円の支払いで事態が収束するなら」という経営判断が、決して少なくないのです。
セキュリティリスクの多様化と巧妙化する攻撃手口
──見落としがちなセキュリティリスクとしてはどのようなものがあるのでしょうか。
本来、情報セキュリティ対策として導入した設備が、適切に管理されていないことで、逆に新たなセキュリティリスクを生むケースが少なくありません。
代表的な例として、コロナ禍で急きょテレワークを導入した企業は、重大なリスクを抱えている可能性があります。
というのも当時、多くの企業がVirtual Private Network(VPN)を導入しました。これはインターネット上に仮想的な専用線を設けて安全な通信経路を確保するための技術ですが、VPNルーターのソフトウエアの更新をしないまま稼働させているケースが多く見受けられました。
VPNは安全な通信を実現する優れた仕組みですが、脆弱性が放置された“ひび割れた”VPNは、攻撃者にとって格好の侵入口と化します。数年前からその危険性は専門家の間で指摘されてきましたが、多くの中小企業にとっては、自社に直結する問題として認識されてこなかったのです。
今この瞬間も、世界中の攻撃者がその“ひび割れ”を探索しています。情報セキュリティ対策は導入して終わりではなく、適切なメンテナンスが肝要であることを、まず経営者自身が認識しなくてはなりません。
──ランサムウエア以外で、最近増加しているサイバー攻撃の手口はありますか。
システムの脆弱性を狙うランサムウエアとは異なり、人の心の隙を突くビジネスメール詐欺が深刻化しています。
例えば、「社長が極秘の取引を進めている」といった状況を装い、フリーメールで経理担当者に接触。その後、SNSで秘密のグループを作らせて巧みに信用させ、偽の口座へ多額の送金を指示するといった、極めて巧妙な手口が報告されています。
従来は「日本語が不自然」等で見抜けた攻撃もありましたが、AI技術の進化により、現在では日本語ネイティブ話者が書いたものと見分けがつかないレベルの偽装メールが作成されています。
にわかには信じがたいかもしれませんが、実際に2026年1月、国内の中小企業がこの手口によって偽の口座へ2000万円を送金してしまうという事件も発生しています。これは、決してひとごとではないのです。
サイバーセキュリティ対策の基本は「経営者が当事者意識を持つ」こと
──中小企業経営者が最低限取り組むべき、サイバーセキュリティ対策の基本を教えてください。
まず参考にしてほしいのが、情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」です。無償で公開されており、中小企業において経営者が果たすべき役割と進め方が体系的に整理されています。詳細は資料をご覧いただくとして、要点を整理すると次の通りです。
──具体的には、何から着手すればいいのでしょうか。
いきなり高額なシステムを導入する必要はありません。中小企業の場合は、その強みである“横のつながり”を生かすことが重要です。同業の経営者コミュニティなどで、サイバーセキュリティに関する情報共有を始めるのが、現実的で効果的な第一歩になります。
同じ業界の企業は、同じ攻撃者や同じ手口で狙われる傾向があります。クローズドな場で腹を割って話せる関係性を築き、業界特有の脅威や対策事例を共有することが重要です。こうした情報共有は、「中小企業の情報セキュリティ対策ガイドライン」で示されている「取り組み7:情報セキュリティに関する最新動向を収集する」にも該当する取り組みといえるでしょう。
さらに、複数社でセキュリティ費用を分担し、専門家と契約するという方法もあります。すべてを自社だけで抱え込む必要はありません。自社の規模や実態に合った、無理のない対策から着実に始めていくことが重要です。
──万が一、攻撃を受けてしまった場合は、どう動くべきでしょうか。
慌ててセキュリティ業者に連絡する前に、まずは落ち着いて、ネットワークケーブルを抜くなどして感染拡大を防ぐ初動対応を行い、当該サーバを切り離して保全に努めてください。その上でセキュリティ業者に連絡するとともに、警察にも相談するなどしてください。
また、IPAが運営する「サイバーセキュリティお助け隊サービス」も有効です。IPAが認定した民間事業者が提供するサービスで、中小企業に対するサイバー攻撃への対処として不可欠な「監視」「緊急時対応」「保険」をセットで提供しており、企業規模にもよりますが、月額で最低1万円程度から利用できます。自社が対象地域に含まれているか、一度確認してみるとよいでしょう。
そして最後に強調したいのは、「専門家に任せきりにしない」という意識です。経営者がITやセキュリティを「わからないこと」として現場に丸投げしてしまうケースは少なくありません。しかし、調達や生産と同じく、サイバーセキュリティも事業継続を左右する経営マターです。
事故が起きたとき、「担当者に任せていたので知りません」では社会的な責任は果たせません。少なくとも、自社のデータがどこにあり、どのように管理されているのか。そこは経営者自身が把握しておく必要があります。その意識を持つことこそが、すべての対策の出発点になるのです。
猪俣 敦夫(いのまた・あつお)
大阪大学D3センター教授 最高情報セキュリティ責任者(CISO)
2008年、奈良先端科学技術大学院大学准教授、2016年、東京電機大学教授を経て、2019年より大阪大学教授。博士(情報科学)、情報処理安全確保支援士、CISSP。一般社団法人公衆無線LAN 認証管理機構代表理事、大阪府警察サイバーセキュリティアドバイザー、奈良県警察サイバーセキュリティ対策アドバイザー。大阪急性期・総合医療センター情報セキュリティインシデント調査委員会委員長などを務める。
関連コンテンツ
