「うちは中小企業だから狙われない」——この認識は、2026年現在もっとも危険な思い込みです。警察庁の「令和7年上半期サイバー犯罪の情勢」によると、ランサムウェアの被害件数は中小企業が全体の約6割を占めています。大企業より対策が手薄な中小企業こそ、攻撃者にとって「効率の良いターゲット」なのです。
さらに深刻なのが内部不正です。IPAの「情報セキュリティ10大脅威 2026」では、内部不正による情報漏えいが組織向け脅威の第4位にランクイン。退職者による顧客データの持ち出し、業務委託先からの情報流出など、外部攻撃だけでは防ぎきれないリスクが増大しています。
本記事では、ランサムウェアと内部不正の最新手口と具体的な対策を、セキュリティ専門家の知見をもとに解説します。中小企業の情シス担当者が「明日から何をすべきか」がわかるチェックリスト付きです。
ランサムウェアの最新手口(2026年版)
手口1:VPN機器の脆弱性を突く侵入
2026年のランサムウェア攻撃で最も多い侵入経路は、VPN機器の脆弱性です。テレワークの普及で導入されたVPN機器のファームウェアが更新されないまま放置され、既知の脆弱性を突かれるケースが急増しています。
手口2:二重恐喝(ダブルエクストーション)
データを暗号化するだけでなく、窃取したデータの公開をちらつかせて身代金を要求する「二重恐喝」が標準的な手口になっています。バックアップからデータを復元しても、情報漏えいのリスクが残ります。
手口3:サプライチェーン攻撃
取引先や業務委託先のシステムを経由して標的企業に侵入する「サプライチェーン攻撃」も増加しています。自社のセキュリティが万全でも、取引先の脆弱性が突破口になります。
手口4:RaaS(Ransomware as a Service)
攻撃ツールがサービスとして提供される「RaaS」の普及により、技術力の低い攻撃者でもランサムウェア攻撃を実行できるようになっています。攻撃の敷居が下がり、件数が増加する一因です。
内部不正の最新手口
手口1:退職時のデータ持ち出し
退職予定者が、退職前に顧客リスト・技術情報・営業資料などを私用デバイスやクラウドストレージにコピーするケースです。退職の意思決定後から退職日までの期間に集中して発生します。
手口2:権限の悪用
業務上必要以上のアクセス権限を持つ従業員が、その権限を悪用して機密情報にアクセスするケースです。「最小権限の原則」が守られていない組織で起きやすい問題です。
手口3:業務委託先からの漏えい
業務委託先の従業員による情報漏えいも、広義の内部不正に含まれます。委託先との契約に情報管理の条項が不十分な場合にリスクが高まります。
ランサムウェア対策チェックリスト
即時対応(今すぐできること)
- [ ] VPN機器・ファイアウォールのファームウェアを最新版に更新する
- [ ] 管理者アカウントに多要素認証(MFA)を設定する
- [ ] バックアップの「3-2-1ルール」を確認する(3つのコピー、2種類の媒体、1つはオフサイト)
- [ ] 不要なリモートデスクトップ(RDP)ポートを閉じる
- [ ] Windows Updateを最新の状態にする
短期対応(1か月以内)
- [ ] EDR(Endpoint Detection and Response)を導入する
- [ ] バックアップからの復元テストを実施する
- [ ] 全従業員にフィッシングメール訓練を実施する
- [ ] インシデント対応手順書を作成する
中期対応(3か月以内)
- [ ] ネットワークセグメンテーションを実施する
- [ ] SOC(Security Operation Center)サービスの導入を検討する
- [ ] サプライチェーンのセキュリティ状況を確認する
- [ ] サイバー保険への加入を検討する
内部不正対策チェックリスト
アクセス制御
- [ ] 最小権限の原則に基づいてアクセス権限を見直す
- [ ] 退職予定者のアクセスログを重点監視する
- [ ] 退職日にアカウントを即時無効化する手順を整備する
監視・検知
- [ ] DLP(Data Loss Prevention)ツールでデータの外部送信を監視する
- [ ] USBデバイスの利用を制限・監視する
- [ ] クラウドストレージへの大量アップロードを検知するルールを設定する
組織・教育
- [ ] 情報セキュリティポリシーを策定・周知する
- [ ] 秘密保持契約(NDA)の内容を見直す
- [ ] 内部通報制度を整備する
被害に遭った場合の初動対応
- ネットワークからの隔離:感染端末をネットワークから即座に切り離す
- 証拠の保全:ログデータ、感染端末のスクリーンショットを保全する
- 経営層への報告:速やかにエスカレーションする
- 専門家への連絡:セキュリティベンダーまたはIPAの相談窓口に連絡する
- 関係機関への届出:警察(サイバー犯罪相談窓口)、個人情報保護委員会(個人情報漏えいの場合)に届け出る
重要:身代金の支払いは推奨しません。支払ってもデータが復元される保証はなく、さらなる攻撃を招く可能性があります。
まとめ
ランサムウェアと内部不正は、中小企業にとって対岸の火事ではありません。
- VPN脆弱性の放置がランサムウェア侵入の最大の原因
- 二重恐喝でバックアップだけでは対策が不十分に
- 退職時のデータ持ち出しが内部不正の典型パターン
- チェックリストの即時対応項目から今日着手する
- 被害時は隔離・保全・報告の3ステップを即座に実行
セキュリティ対策は「完璧」を目指す必要はありません。まずはチェックリストの即時対応項目から、一つずつ潰していきましょう。
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 重要システムと個人情報の所在を棚卸ししたか
- [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
サイバーセキュリティの専門家が解説|ランサムウェアと内部不正の最新手口と対策を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
- セキュリティインシデント対応フロー — 72時間初動チェックリスト
- 中小企業のセキュリティ対策費用 — 予算計画ガイド
- GXOの導入事例を見る — セキュリティ支援の実績