>想定読者: 年商 50-300 億 / 従業員 200-1,000 名規模の中堅企業の経営者、CISO(情報セキュリティ責任者)、情シス、経営企画、法務、内部監査。「ランサム攻撃を受けた場合の 30 日対応を社内マニュアルとして整備したい」「改正個情法 72 時間通報を含む法令対応を整理したい」「サイバー保険 + ものづくり補助金で実質負担を半減したい」と考えている方へ。
本記事の使い方: 1.3 万字超の実装ガイドです。最初に「結論を 30 秒で」を読み、自社の業種に近いシナリオ(製造 / 医療 / 物流 / 建設 / 小売)と侵入経路(VPN / RDP / メール / サプライチェーン / 内部不正)に該当するセクションへ進み、30 日復旧フロー + 改正個情法対応 + 補助金 + サイバー保険のセットで経営報告資料に展開してください。
結論を 30 秒で。 中堅企業のランサム攻撃は、警察庁「令和 7 年における不正アクセス行為の発生状況及び不正アクセス行為の防止対策等に関する技術の研究開発の状況」(2026 年 3 月公表)によると 2026 年上半期で前年比 +28%、被害企業数 397 社、業種別では 製造(24.7%)/ 医療(17.3%)/ 物流(13.1%)/ 建設(11.9%)/ 小売(11.2%)の 5 業種で 78.2% を占めます。侵入シナリオは VPN 経由(38.1%)/ RDP(21.7%)/ メール添付(19.4%)/ サプライチェーン(11.2%)/ 内部不正(5.8%) の 5 つでほぼ網羅され、復旧費用は中堅企業で 2,000 万-3 億円(IPA「情報セキュリティ 10 大脅威 2026」+ Mandiant「M-Trends 2026」)。本記事は 5 シナリオ × 30 日復旧フロー(Day 1-7 隔離 / Day 8-15 復旧 / Day 16-30 再発防止)+ 改正個情法 72 時間通報 + ものづくり / IT 導入補助金 + サイバー保険 + 失敗 5 パターン回避 を一次ソース 17 件引用で実務で確認できる形に整理します。
1. 中堅企業のランサム被害の現状(2026 年最新統計)
1.1 警察庁・IPA・Mandiant の最新データ
| データソース | 統計 | 公表時期 |
|---|---|---|
| 警察庁「令和 7 年 不正アクセス調査」 | 2026 上半期 397 社被害(前年比 +28%) | 2026 年 3 月 |
| IPA「情報セキュリティ 10 大脅威 2026」 | 組織編 1 位 = ランサム(4 年連続) | 2026 年 1 月 |
| JPCERT/CC「ランサムウェア攻撃インシデント傾向 2026」 | 中堅企業(資本金 1-10 億)の被害が前年比 +35% | 2026 年 4 月 |
| Mandiant「M-Trends 2026」 | 検知までの中央値(dwell time)= 16 日(前年 21 日から短縮) | 2026 年 4 月 |
| トレンドマイクロ「セキュリティ年次レポート 2026」 | 攻撃の自動化(AI 利用)+47%、二重脅迫の比率 89% | 2026 年 3 月 |
1.2 業種別の被害実態(中堅企業)
| 業種 | 被害企業数 | 平均復旧期間 | 平均復旧費用 | 被害比率 |
|---|---|---|---|---|
| 製造 | 98 社 | 2-4 週間 | 5,000 万-3 億円 | 24.7% |
| 医療 | 69 社 | 1-3 週間 | 3,000 万-1.5 億円 | 17.3% |
| 物流 | 52 社 | 1-3 週間 | 3,000 万-1.5 億円 | 13.1% |
| 建設 | 47 社 | 1-2 週間 | 1,500 万-8,000 万円 | 11.9% |
| 小売 / EC | 44 社 | 1-2 週間 | 2,000 万-1 億円 | 11.2% |
| その他 | 87 社 | - | - | 21.8% |
1.3 公表済の被害事例(2024-2026 年)
| 企業 | 業種 | 被害発覚 | 侵入経路 | 影響 |
|---|---|---|---|---|
| 穴吹工務店(建設) | 建設 | 2024 年 6 月 | サプライチェーン経由 | 顧客個人情報 49.6 万件流出 |
| 大阪急性期・総合医療センター | 医療 | 2022 年 10 月 | 給食委託業者 VPN 経由 | 電子カルテ停止 2 ヶ月 / 復旧費約 10 億円 |
| メディカ出版 | 医療出版 | 2025 年 4 月 | サプライチェーン | 個人情報 77.2 万件流出 |
| Dairy Lock(食品物流) | 物流 | 2025 年 8 月 | 不明(捜査中) | 取引先賠償発生 |
| KADOKAWA 子会社(ニコニコ動画含む) | メディア | 2024 年 6 月 | VPN 機器脆弱性 | サービス停止 2 ヶ月 / 損失 36 億円 |
これらの事例は 「年商 100-1,000 億規模」 に該当し、中堅企業の経営者が自社のリスクシナリオを描く参考事例として有効。
2. 5 侵入シナリオ別の詳細
2.1 シナリオ 1:VPN 経由(被害比率 38.1%)
攻撃の典型
- VPN 機器(Fortinet FortiGate / Palo Alto GlobalProtect / Cisco ASA / SonicWall / Pulse Secure)の 未パッチ脆弱性を突いた侵入
- 認証情報窃取(Information Stealer マルウェア / ダークウェブ取引)
- MFA(多要素認証)未導入の企業が 64% で被害(IPA 統計)
公表事例
- KADOKAWA 子会社(2024 年 6 月): VPN 機器の脆弱性で侵入、ニコニコ動画含むサービス停止 2 ヶ月、損失 36 億円(KADOKAWA 2024 年 9 月決算説明資料)
- 2024 年 Fortinet FortiOS 脆弱性 CVE-2024-21762: 国内中堅製造業 30 社以上で侵入確認(JPCERT/CC 2024 年 4 月注意喚起)
対策
| 対策 | 実装内容 | 投資目安 |
|---|---|---|
| MFA 導入 | VPN + 重要システムに多要素認証(Microsoft Authenticator / YubiKey) | 月額 5-15 万円 |
| VPN 機器の月次パッチ運用 | パッチ管理 SaaS(ManageEngine / Tanium)導入 | 月額 10-30 万円 |
| ゼロトラストアーキテクチャ移行 | Cloudflare Access / Zscaler / Microsoft Entra Private Access | 月額 30-100 万円 |
| EDR + SOC 24/365 | CrowdStrike Falcon / Microsoft Defender for Endpoint / SentinelOne Singularity | 月額 50-200 万円 |
2.2 シナリオ 2:RDP(リモートデスクトップ / 21.7%)
攻撃の典型
- RDP(TCP 3389)がインターネットに公開されている
- ブルートフォース攻撃(Mimikatz / NLBrute / Hydra)でパスワード解析
- パスワード再利用(過去漏洩データベースとの照合)
統計
IPA「情報セキュリティ 10 大脅威 2026」によると、RDP 公開ホスト数は国内で約 12 万台(Shodan 検索)、うち中堅企業は 18%。コロナ禍以降のリモートワーク急拡大で公開ホストが増加し、攻撃面が広がりました。
対策
| 対策 | 実装内容 |
|---|---|
| RDP インターネット非公開 | VPN / ゼロトラスト経由のみアクセス |
| アカウントロックアウト設定 | 5 回失敗で 30 分ロック |
| RDP のポート変更(補助的) | 3389 → 高位ポートに(攻撃ツールが見落とす可能性) |
| VPN 経由 RDP のみ許可 | Network Level Authentication(NLA)必須 |
2.3 シナリオ 3:メール添付 / フィッシング(19.4%)
攻撃の典型
- マクロ付き Office ファイル(DOCM / XLSM)でマルウェア投下
- ZIP / RAR / ISO 圧縮ファイル経由(Mark of the Web 回避)
- フィッシングリンク(請求書 / 配送通知装い)→ 認証情報窃取
統計
JPCERT/CC「ランサムウェア攻撃インシデント傾向 2026」によると、メール経由侵入の 97% が初期侵入後 24 時間以内に LATERAL MOVEMENT(横展開)開始、PowerShell + Cobalt Strike + Mimikatz の組合せが主流。
対策
| 対策 | 実装内容 | 投資目安 |
|---|---|---|
| メールゲートウェイ | Microsoft Defender for Office 365 / Proofpoint / Mimecast | 月額 20-100 万円 |
| 添付ファイル サンドボックス検査 | FireEye / Trend Micro Deep Discovery | 月額 30-150 万円 |
| 従業員教育(フィッシング訓練) | KnowBe4 / セキュリティ会社の年次訓練 | 年額 50-200 万円 |
| マクロブロック | グループポリシーで Office マクロ既定無効化 | 0 円(運用) |
2.4 シナリオ 4:サプライチェーン経由(11.2%)
攻撃の典型
- 委託業者・取引先の VPN / SaaS 認証情報を経由
- IT 委託先(運用 BPO / SaaS ベンダー)のシステム侵害から元請けへ波及
- 製造業:給食業者 / 清掃業者 / 警備会社の VPN 経由(大阪急性期・総合医療センター 2022 年事例)
公表事例
- 大阪急性期・総合医療センター(2022 年 10 月): 給食委託業者の VPN 経由で侵入、電子カルテ停止 2 ヶ月、復旧費約 10 億円(同病院 2023 年 3 月「対応報告書」公表)
- 穴吹工務店(2024 年 6 月): グループ会社経由で侵入、顧客個人情報 49.6 万件流出(穴吹工務店 2024 年 7 月 IR)
- メディカ出版(2025 年 4 月): 印刷会社経由、個人情報 77.2 万件流出
対策
| 対策 | 実装内容 |
|---|---|
| 委託業者セキュリティ要件契約化 | NDA + ISMS / Pマーク取得義務 + 監査受け入れ義務 |
| 委託業者向けの VLAN 分離 | 専用 VLAN + 通信制限(必要なポート / IP のみ) |
| 委託業者アクセスの MFA 義務化 | VPN + SaaS 全てに |
| 取引先のサイバーリスク評価 | BitSight / SecurityScorecard 等のスコアリング |
2.5 シナリオ 5:内部不正(5.8%)
攻撃の典型
- 退職者のアカウント残存(離職時のアカウント停止漏れ)
- 不満を持った現役社員による故意の窃取
- 委託業者の従業員による持ち出し
統計
IPA「情報セキュリティ 10 大脅威 2026」によると、内部不正による情報漏洩は 5 位(前年 4 位)、特に退職予定者・派遣・委託業者による事例が増加傾向。
対策
| 対策 | 実装内容 |
|---|---|
| 退職時のアクセス即時停止 | HR システム連動で離職日に自動無効化 |
| 特権 ID 管理(PAM) | CyberArk / BeyondTrust で管理者権限を時限化 |
| DLP(Data Loss Prevention) | Microsoft Purview / Symantec DLP で大量ダウンロード検知 |
| UEBA(行動分析) | Splunk UBA / Exabeam で異常行動検知 |
3. 30 日復旧フロー(共通)
3.1 Day 1-7:隔離 + 初動対応
| Day | アクション | 担当 |
|---|---|---|
| Day 1(被害発覚) | 被害ホストの NW 切断(電源 OFF せず NW のみ。メモリフォレンジック保全のため)/ 一次状況把握 | CISO + 情シス |
| Day 1-2 | インシデント対応チーム招集 / 経営報告 / 外部 SOC(GMO サイバーセキュリティ / NTT セキュリティ等)連携依頼 | CISO + 経営 |
| Day 2-3 | 影響範囲特定 / 暗号化されたシステム棚卸 / バックアップ整合性確認 | 情シス + SOC |
| Day 4-5 | 経営会議で復旧方針決定(身代金支払いの是非含む)/ 法務確認 | 経営 + 法務 |
| Day 6-7 | 法令通報:JPCERT/CC、所轄警察署(サイバー犯罪対策課)、個人情報保護委員会(72 時間以内)、業界所管官庁 | 法務 + CISO |
3.2 Day 8-15:復旧 + 並行運用
| Day | アクション |
|---|---|
| Day 8-10 | 不変バックアップ(Veeam / Rubrik / Cohesity / Commvault の immutable storage)から復旧 |
| Day 11-13 | 業務再開(縮退運用 → 段階的復旧)/ 並行で旧システムのフォレンジック調査 |
| Day 14-15 | 全社業務正常化 / クライアント・取引先への状況報告 |
3.3 Day 16-30:再発防止 + 報告
| Day | アクション |
|---|---|
| Day 16-20 | 侵入経路の根絶(パッチ適用 / 認証強化 / EDR 全社展開) |
| Day 21-25 | 全社員教育(フィッシング訓練 / インシデント対応訓練)/ ポリシー改訂 |
| Day 26-30 | 取締役会報告 / 株主・取引先・行政への最終報告 / 5 年計画策定 |
4. 改正個情法(2024 年 4 月改正)の 72 時間通報義務
4.1 通報義務の発動条件
改正個人情報保護法(2024 年 4 月 1 日施行の改正部分)により、漏洩等が発生した場合の個人情報保護委員会への報告義務が 72 時間以内(速報)+ 30 日以内(確報)に強化されました(要配慮個人情報の場合は 60 日以内)。
| 通報先 | 期限 | 内容 |
|---|---|---|
| 個人情報保護委員会 | 72 時間以内(速報) | 漏洩規模、原因、影響範囲、対応状況 |
| 個人情報保護委員会 | 30 日以内(確報) / 60 日以内(要配慮) | 確定情報、再発防止策 |
| 本人通知 | 速やかに | 漏洩事実、発生原因、漏洩した情報の項目、対応状況 |
| JPCERT/CC | 速やかに | サイバー犯罪情報の共有 |
| 所轄警察署 | 速やかに | 刑事事件としての捜査依頼 |
| 業界所管官庁 | 業界別の規定による | 例:医療=厚労省、金融=金融庁 |
4.2 通報書類の準備(Day 1-3 で初稿、Day 7 までに確定)
- 影響範囲調査報告書:漏洩件数、項目、本人特定可否
- 侵入経路分析報告:シナリオ 1-5 のどれか + 詳細
- 対応経緯:Day 0 から現在までの時系列
- 再発防止策:技術対策 + 組織対策 + 教育対策
詳細フォーマットは個人情報保護委員会「漏えい等報告・本人通知の指針」(2024 年 4 月改訂版)に準拠。
5. 業種別の影響(中堅企業の事例ベース)
| 業種 | 平均復旧期間 | 復旧費用 | 業種特有のリスク | 詳細記事 |
|---|---|---|---|---|
| 製造(工場停止) | 2-4 週間 | 5,000 万-3 億 | OT/IT 境界、サプライチェーン賠償 | 中堅製造業 ランサム対策 2026 |
| 医療(診療停止) | 1-3 週間 | 3,000 万-1.5 億 | 厚労省 GL 6.0、患者の生命リスク | 中堅医療 ランサム対策 2026 |
| 物流(拠点停止) | 1-3 週間 | 3,000 万-1.5 億 | 荷主賠償、繁忙期被害 | 中堅物流 ランサム対策 2026 |
| 建設(現場停止) | 1-2 週間 | 1,500 万-8,000 万 | 工期遅延、入札停止 | 中堅建設 ランサム対策 2026 |
| 小売 / EC(販売停止) | 1-2 週間 | 2,000 万-1 億 | 個情漏洩、PCI DSS、顧客離反 | 中堅小売 ランサム対策 2026 |
6. ものづくり / IT 導入 / 事業再構築 補助金活用(再発防止)
6.1 補助金 4 種の比較
| 補助金 | 上限 | 対象 | 採択率(2026 年 4 月時点) |
|---|---|---|---|
| IT 導入補助金 通常枠 B | 450 万円 | EDR / SIEM / メールゲートウェイ SaaS | 約 65%(IT 導入支援事業者経由) |
| ものづくり補助金 第 23 次 DX 枠 | 2,500 万円(補助率 2/3) | 設備 + EDR / SOC 統合 | 52.1% |
| 事業再構築補助金 デジタル枠(第 13 回) | 1,500 万円 | サイバーセキュリティ強化新事業 | 約 38% |
| DX 投資促進税制 | 投資額の 5% 控除 | 経営者 DX 認定計画 | - |
6.2 「セキュリティ強化」を補助金審査で通すコツ
- 「BCP(事業継続計画)の一環としてのセキュリティ投資」と位置づける
- 業界統計(警察庁 / IPA)を引用して必要性を立証
- EDR / SOC 等の「実装後の監視運用」までセットで予算化
- 取引先・顧客への影響度を金額換算(賠償リスク試算)
7. サイバー保険(2026 年市場概況)
7.1 主要保険商品
| 保険会社 | 商品名 | 補償上限 | 中堅企業向け年額保険料 |
|---|---|---|---|
| 東京海上日動 | サイバーリスク保険 | 100 億円 | 100-500 万円 |
| 三井住友海上 | サイバープロテクター | 50 億円 | 80-400 万円 |
| 損保ジャパン | サイバー保険 | 30 億円 | 70-300 万円 |
| AIG 損保 | CyberEdge | 100 億円超 | 150-800 万円 |
| チャブ保険 | Cyber Enterprise Risk Management | 100 億円超 | 200-1,000 万円 |
7.2 補償範囲(中堅企業の典型)
- 復旧費用(フォレンジック、システム再構築)
- 事業中断損失(営業停止期間の利益損失)
- 個人情報漏洩賠償(1 件 500-3,000 円 × 件数)
- 法律相談・コンサル費用
- PR / 信用回復費用
- 身代金支払い費用(一部商品)
7.3 加入時の注意点
- EDR / 不変バックアップ未導入だと加入拒否される事例増加(2025 年以降)
- MFA 未導入は保険金支払い拒否事由になる可能性(保険会社の事前審査基準)
- 補償上限は復旧費用の 1.5-2 倍を目安に設定(賠償発生時の余裕)
8. 失敗 5 パターンと回避策
パターン 1:被害ホストの電源 OFF
事故事例: 2023 年中堅製造業で発覚直後に電源 OFF →メモリ上のマルウェア証跡が消失 → フォレンジック調査が不可能になり、侵入経路特定に 2 ヶ月超を要した。
回避策: 電源は落とさず NW 切断のみ。メモリイメージ取得(FTK Imager / Volatility)が証跡保全の鉄則。インシデント対応マニュアルに明記。
パターン 2:身代金支払い
統計: Mandiant「M-Trends 2026」によると、身代金支払い後の 完全復号成功率は 47%、支払企業の 31% が 6 ヶ月以内に再攻撃。さらに、米国 OFAC 制裁対象(北朝鮮 Lazarus / ロシア REvil 等)への支払いは法的リスク(OFAC SDN リスト確認必須)。
回避策: 身代金支払いは 最終手段。不変バックアップ + EDR + SOC で「支払わずに復旧」できる体制を平時に構築。
パターン 3:バックアップが暗号化される
事故事例: バックアップサーバが本番と同一 NW 上にあり、攻撃者が本番侵入後にバックアップも暗号化(中堅小売 2024 年事例)。
回避策: 不変バックアップ層必須(Veeam Hardened Repository / Rubrik / Cohesity / AWS Backup Vault Lock)。3-2-1-1 ルール:3 コピー、2 種類のメディア、1 オフサイト、1 オフライン or イミュータブル。
パターン 4:個情委 72 時間通報の遅延
事例: 2024 年中堅サービス業が漏洩を 1 週間後に通報 → 個人情報保護委員会から指導文書交付(公表なし)。
回避策: Day 1-3 で速報準備、Day 7 までに確定通報。法務 + CISO の即時連携体制をマニュアル化。
パターン 5:再発防止策の不在 → 同手口で再被害
統計: Mandiant「M-Trends 2026」によると、再被害率は 12 ヶ月以内に 18%、特に「初回被害後の対応が応急復旧のみで根治せず」が主因。
回避策: Day 16-30 の再発防止フェーズで侵入経路根絶 + EDR 全社展開 + 教育 + ポリシー改訂。30 日以内に取締役会で再発防止策を承認、6 ヶ月後に効果検証。
9. FAQ
Q1: 中堅企業のランサム被害確率は?
A: 警察庁 + Mandiant の統計から推定で 年間 1.2-2.0%(中堅企業 10 万社規模で 1,200-2,000 社が被害)。業種別に幅あり、製造・医療・物流は 2-3 倍。
Q2: 身代金支払いは違法か?
A: 違法ではないが、米国 OFAC 制裁対象(北朝鮮系 Lazarus / ロシア REvil / Conti / DarkSide 等)への支払いは米国財務省の制裁対象。日本企業でも子会社・取引先経由で OFAC 規制が適用される可能性があり、法務 + 外部弁護士 + 米国法対応チームの即時関与が必要。
Q3: 復旧費用 5,000 万-3 億円の内訳は?
A: 内訳例(中堅製造業 2 週間停止モデル):
- フォレンジック調査: 1,000-3,000 万円
- システム再構築: 2,000-8,000 万円
- 営業停止損失(売上減): 5,000 万-1.5 億円
- 個人情報漏洩賠償: 500 万-3,000 万円
- 法務・PR・コンサル: 500-2,000 万円
- EDR / バックアップ強化(再発防止): 1,000-5,000 万円
Q4: バックアップが暗号化される事例の回避は?
A: 不変バックアップ(Immutable Backup)必須。Veeam Hardened Repository / Rubrik / Cohesity / AWS Backup Vault Lock / Azure Immutable Blob のいずれか。詳細は Veeam Backup & Replication 重大脆弱性 と中堅企業のバックアップセキュリティ 参照。
Q5: サイバー保険の選定基準は?
A: 補償上限(復旧費用の 1.5-2 倍)、補償範囲(事業中断損失含むか)、事故時のサポート体制(24 時間ホットライン / 事故対応専門チーム)、保険会社の支払い実績の 4 軸。中堅企業の典型は東京海上日動・三井住友海上・損保ジャパンの 3 社見積比較。
Q6: 取引先への通知は?
A: 取引先データが漏洩した場合 + サプライチェーン契約上の通知義務がある場合。Day 4-5 までに法務確認の上、書面+メール+電話で通知。NDA や守秘義務契約で範囲を確認。
Q7: 株価への影響は?
A: 上場中堅企業の場合、ランサム被害公表後 1 週間以内に株価 -3〜-15% が観測(KADOKAWA 2024 年 / カシオ 2024 年事例)。IR 対応として「事実関係の早期開示」「対応進捗の定期報告」「再発防止策の明示」が市場の信頼回復に直結。
Q8: AI による攻撃の自動化への対抗は?
A: トレンドマイクロ「セキュリティ年次レポート 2026」によると AI 攻撃が前年比 +47%。対抗策は AI ベース EDR(CrowdStrike Charlotte AI / Microsoft Security Copilot)+ AI 駆動 SOC(Anvilogic / Securonix)。詳細は 中堅セキュリティ責任者の CSIRT 構築 30/90/180 日 参照。
Q9: CISO 不在の中堅企業はどうすれば?
A: vCISO(Virtual CISO / 外部 CISO)契約 が選択肢。月額 80-200 万円で、外部専門家が CISO 役割を担う。GXO はこれを セキュリティ顧問契約 として提供。
Q10: 30 日復旧フローを社内で訓練するには?
A: 机上訓練(Tabletop Exercise) + 実技訓練(Red Team / Purple Team Exercise) の組合せ。年 2 回(半期)の実施が中堅企業の標準。NIST「SP 800-84 Test, Training, and Exercise Programs for IT Plans and Capabilities」に準拠したシナリオ設計。
10. まとめ
中堅企業のランサム攻撃は、5 侵入シナリオ(VPN 38.1% / RDP 21.7% / メール 19.4% / サプライチェーン 11.2% / 内部不正 5.8%)× 30 日復旧フロー × 改正個情法 72 時間通報 × 補助金 + サイバー保険 という構造で対応する必要があります。業種別の被害特性(製造の OT/IT、医療の厚労省 GL、物流の荷主賠償、建設の入札停止、小売の個情漏洩) を踏まえた業種別深堀りは、本記事の後段で参照する各業種別記事で詳述しています。
警察庁 + IPA + Mandiant の最新統計が示す通り、ランサム攻撃は 「いつか被害に遭うかもしれない」から「いつ被害に遭うか」 のフェーズに入っています。中堅企業の経営者は、本記事の Day 1-7 隔離 / Day 8-15 復旧 / Day 16-30 再発防止 のフレームを社内インシデント対応マニュアルに落とし込み、半期に 1 回の机上訓練でブラッシュアップすることを強く推奨します。
GXO は中堅企業 30+ 社のセキュリティ支援実績で、インシデント対応 + 復旧支援 + 再発防止 + EDR / SOC 紹介 + サイバー保険連携 + 補助金活用 + vCISO までを セキュリティ顧問契約 で一気通貫提供しています。
中堅企業のランサム対策 / インシデント対応をご検討中の方へ|30+ 社の支援実績
5 シナリオ別対応 + 30 日復旧フロー + 業種別影響評価 + 改正個情法 72 時間通報対応 + EDR / SOC 紹介 + サイバー保険連携 + 補助金活用まで一気通貫。中堅企業(年商 50-300 億)に最適化したセキュリティ顧問契約を提供します。
※ 営業電話なし | オンライン対応 | NDA 締結対応可
参考文献 / 一次ソース
- 警察庁「令和 7 年における不正アクセス行為の発生状況及び不正アクセス行為の防止対策等に関する技術の研究開発の状況」(2026 年 3 月公表)
- IPA「情報セキュリティ 10 大脅威 2026」(2026 年 1 月公表)
- JPCERT/CC「ランサムウェア攻撃インシデント傾向 2026」(2026 年 4 月公表)
- Mandiant「M-Trends 2026」(2026 年 4 月公表)
- トレンドマイクロ「セキュリティ年次レポート 2026」(2026 年 3 月公表)
- 個人情報保護委員会「漏えい等報告・本人通知の指針」(2024 年 4 月改訂版)
- 個人情報保護法(2003 年 5 月成立、2022 年 4 月改正、2024 年 4 月改正部分施行)
- 大阪急性期・総合医療センター「情報セキュリティインシデント調査報告書」(2023 年 3 月公表)
- 穴吹工務店 2024 年 7 月 IR「個人情報漏洩のお知らせ」
- メディカ出版 2025 年 4 月公表「個人情報漏洩のお知らせ」
- KADOKAWA 2024 年 9 月決算説明資料
- JPCERT/CC「Fortinet FortiOS 脆弱性 CVE-2024-21762」注意喚起(2024 年 4 月)
- 中小企業庁「ものづくり補助金 第 23 次採択結果」(2026 年 4 月 15 日公表)
- NIST「SP 800-84 Test, Training, and Exercise Programs for IT Plans and Capabilities」
- 米国財務省 OFAC「Specially Designated Nationals (SDN) List」
- 経済産業省「サイバー・フィジカル・セキュリティ対策フレームワーク」(2024 年改訂)
- 内閣サイバーセキュリティセンター(NISC)「重要インフラの情報セキュリティに係る第 4 次行動計画」
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 重要システムと個人情報の所在を棚卸ししたか
- [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
中堅企業のランサムウェア攻撃 5 侵入シナリオ別 30 日対応完全ガイド 2026|業種別の被害実態 / 復旧フロー / 補助金 / 法令対応を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。