結論:「うちは狙われない」に根拠はない。攻撃は会社を選ばず「開いている穴」を選ぶ
中小企業のセキュリティで最も根深い失敗は、製品選びでも予算配分でもなく、「うちみたいな会社を狙っても得がない」という思い込みである。これは正常性バイアス——自分に都合の悪い情報を過小評価し、「自分は大丈夫」と考えてしまう心理——の典型であり、統計と照らすと根拠がない。攻撃の多くはそもそも会社を「選んで」いない。インターネット側から無差別にスキャンし、外部に開いている穴を見つけた先が、結果として標的になるだけである。
- JIPDEC「企業IT利活用動向調査2026」では、従業員299名以下の企業でも37.0%がランサムウェア感染を経験している(感染経験の割合であり、年間の発生率ではない)。
- 警察庁の統計では、ランサムウェア被害の過半数を中小企業が占める。「被害者の典型」はむしろ中小企業である。
- 攻撃は標的選定から始まるのではなく、無差別スキャンで「外部に開いている穴」を探すところから始まる。会社の規模や知名度ではなく、機器の状態で被害が決まる。
- 自社が踏み台にされれば取引先への加害者になり、損害賠償や取引停止という形で受注を失うリスクが現実になる。
- 最小コストで始めるなら、外部公開資産の棚卸し→MFA→バックアップ→訓練の順が合理的である。
この連載は「セキュリティ対策の失敗図鑑」として、中小・中堅企業がつまずきやすいセキュリティの失敗を一つずつ分解している。第6回となる本稿が扱うのは、あらゆる対策の手前にある「リスク認知そのもの」の失敗である。リスクを認識したうえで経営層が投資をゼロ査定してしまう失敗は第9回:セキュリティ投資の予算ゼロ査定で扱うが、本稿はその一段手前、「そもそも自社が狙われると思っていない」段階を問題にする。認知が歪んだままだと、第3回:VPN機器のパッチ先送りも第4回:サプライチェーン侵入を契約で縛らない失敗も「うちには関係ない」で素通りしてしまう。まず数字で思い込みを壊すところから始めたい。
なぜ「うちは狙われない」と思い込むのか
報道で見える被害が大企業に偏っている
ニュースで大きく報じられるサイバー被害は、上場企業や有名企業のものが中心である。中小企業の被害は個別に報道されることが少なく、目に入らない。「見たことがある被害事例=大企業」という観測の偏りが、「狙われるのは大企業」という誤った一般化を生む。報道に載るかどうかと、被害に遭うかどうかは別の話である。統計で全体を見ない限り、この偏りには気づけない。
「今まで何も起きていない」は安全の証明にならない
「創業以来、被害に遭ったことがない」という経験則も、対策不要の根拠にはならない。攻撃を受けていないのではなく、受けたことに気づいていないだけの可能性がある。検知の仕組みがなければ、侵入されても「何も起きていない」ように見える。さらに、過去に無事だったことは、外部に開いた穴が今日スキャンされないことを何ら保証しない。攻撃側の自動化が進むほど、「たまたま見つかっていなかった」状態は短くなっていく。
「盗まれて困る情報がない」という誤解
「うちには大した情報がない」という言い分も、攻撃者の収益構造を誤解している。ランサムウェアは情報の市場価値ではなく、「業務が止まると困る」こと自体を人質にする。受発注データや会計システムが暗号化されれば、情報の希少性に関係なく事業は止まる。さらに自社のメールアカウントや取引先との接続は、攻撃者にとって「次の侵入経路」としての価値を持つ。守る価値がないように見える会社にも、止まると困る業務と、悪用できる接点は必ずある。
統計は思い込みを否定している
思い込みと現実の乖離は、公表されている調査で確認できる。JIPDEC(日本情報経済社会推進協会)が公表した「企業IT利活用動向調査2026」(株式会社ITRと共同・有効回答1,107社・2026年1月調査)では、ランサムウェアの感染経験がある企業は45.8%にのぼる。ここで注意すべきは、これが「過去1年の発生率」ではなく「感染を経験したことがある企業」の割合だという点である。毎年半数が感染しているわけではない。それでも、規模別に見て従業員299名以下の企業でも37.0%が感染を経験しており、業種別では製造業が57.1%で最多となっている。「小さいから無関係」という認知と、3社に1社を超える経験率との間には、明確な乖離がある。
| 統計 | 数値 | 補足(限定条件) |
|---|---|---|
| ランサムウェア感染経験のある企業 | 45.8% | JIPDEC調査。「経験」の割合で年間発生率ではない |
| 従業員299名以下の感染経験 | 37.0% | 同上。中小企業も例外ではない |
| 製造業の感染経験 | 57.1% | 同上。業種別最多 |
| 都内ランサムウェア被害(2025年) | 68件 | 警察庁が2026年4月に公表。過去最多 |
| 被害企業に占める中小企業 | 過半数 | 同統計。「大企業中心」ではない |
| 感染経路に占めるVPN機器の脆弱性 | 6割以上 | 同統計。外部に開いた機器が主経路 |
警察庁が2026年4月に公表した統計では、都内のランサムウェア被害は2025年に68件と過去最多を記録し、被害の過半数を中小企業が占めた。感染経路はVPN機器の脆弱性が6割以上である。つまり「狙われるのは大企業」どころか、被害件数の主役は中小企業であり、入口は外部に開いたままの機器である。IPA「情報セキュリティ10大脅威 2026(組織編)」でも、ランサムウェアによる被害が11年連続で1位、サプライチェーンや委託先を狙った攻撃が2位に挙げられており、中小企業が当事者となる脅威が最上位を占め続けている。統計の読み方と背景はJIPDEC調査の解説記事とIPA10大脅威2026の中小企業向け解説で詳しく整理している。
攻撃は「標的選定」ではなく「無差別スキャン」で始まる
規模ではなく「穴の有無」で被害が決まる
「狙われる/狙われない」という言葉自体が、攻撃の実態とずれている。多くの攻撃は、攻撃者が企業リストを眺めて標的を選ぶのではなく、インターネット全体を自動でスキャンし、既知の脆弱性が残るVPN機器や、外部に開いたリモートデスクトップを機械的に探すところから始まる。穴が見つかった先に侵入し、入った後で「この会社からいくら取れるか」を考える。順番が逆なのである。警察庁統計で感染経路の6割以上がVPN機器の脆弱性であることは、この構造の裏付けといえる。会社の知名度は攻撃の確率にほとんど関係なく、外部に開いている機器のパッチ状態がほぼすべてを決める。だからこそ「うちは無名だから安全」は成立せず、「うちの入口はどこに何があるか」を把握しているかどうかだけが分かれ目になる。
踏み台にされれば「被害者」では済まず、受注を失う
中小企業にとってもう一つ深刻なのは、自社の被害が自社で完結しない点である。攻撃者にとって、セキュリティが手薄な取引先は、本命の企業へ入るための踏み台として価値を持つ。IPAの10大脅威2026でサプライチェーンや委託先を狙った攻撃が2位に位置づけられているのは、この手口が常態化していることを示す。自社のアカウントから取引先へ攻撃メールが送られたり、自社経由で取引先のシステムに侵入されたりすれば、立場は被害者から加害者側に変わる。損害賠償の問題に加え、「セキュリティ管理ができない会社」として取引そのものを打ち切られ、受注を失うリスクが現実になる。発注側が委託先にセキュリティ要件を課す動きは広がっており、「狙われない」と構えている会社ほど、選別される側に回ったとき答えを持っていない。
最小コストで始める対策の優先順位
リスク認知を改めた後にやるべきことは、高額な製品の一括導入ではない。統計が示す侵入経路と被害構造から逆算すると、最小コストで効果の大きい順に次の4段階になる。
| 優先 | 対策 | 具体的にやること | なぜこの順番か |
|---|---|---|---|
| 1 | 外部公開資産の棚卸し | VPN機器・リモートデスクトップ・公開サーバを洗い出し、不要な入口を閉じ、残す機器にパッチを当てる | 感染経路の6割以上がVPN機器の脆弱性。入口の把握と更新が最も効く |
| 2 | MFA(多要素認証) | VPN・メール・クラウドサービスなどすべての外部アクセスに多要素認証を有効化する | パスワードだけの入口を残さない。多くは既存サービスの設定変更で済む |
| 3 | バックアップ | ネットワークから分離したコピーを持ち、実際に戻せるか復元テストをする | 侵入をゼロにはできない前提で、払わずに復旧できる手段を確保する |
| 4 | 訓練 | 不審メールの見分け方と「気づいたら誰に報告するか」を全員に周知し、繰り返し練習する | 人の気づきを最後の検知網にし、初動の遅れを防ぐ |
バックアップを「払わない前提の復旧手段」と位置づけるのは、JIPDEC調査で身代金の支払い率が57.0%から43.8%へ低下する一方、払わずに復旧できなかった割合が10.5%から13.0%へ上昇しているためである。「払わない」を選ぶ企業が増えているが、復旧手段がないまま払わなければ、データも事業も戻らない。
あわせて、自社の認知が歪んでいないかを次のチェックリストで点検したい。一つでも当てはまるなら、対策の中身以前に「リスクの見積もり」から直す必要がある。
- 「うちみたいな会社を狙っても得がない」と社内で口にしたことがある
- 自社のVPN機器・外部公開サーバの台数とパッチ状態を即答できない
- 「今まで被害がないこと」を対策不要の根拠にしている
- 取引先からのセキュリティ確認に、実態より良い回答をしたことがある
- バックアップは取っているが、復元テストをしたことがない
- 不審な事象に気づいたとき、誰に報告するかが決まっていない
この4段階は、いずれも大きな投資を必要としない。それでも「自社がどこまでできていて、どこが穴なのか」を自力で判定するのは難しい。現在地の把握にはDX成熟度診断が入口になる。棚卸しやパッチ運用、バックアップ設計を専門家と進めたい場合はセキュリティ事業で支援している。
関連記事
- 特集トップ:セキュリティ対策の失敗図鑑
- 第3回:VPN機器のパッチ先送り
- 第4回:サプライチェーン侵入を契約で縛らない失敗
- 第9回:セキュリティ投資の予算ゼロ査定
- IPA情報セキュリティ10大脅威2026|中小企業が優先すべき対策
- ランサムウェア感染「経験」45.8%・身代金は払わない時代へ
- DX成熟度診断
- セキュリティ事業トップ
よくある質問
Q1. 従業員数十人の会社でも本当に狙われるのか。
狙われる。JIPDEC「企業IT利活用動向調査2026」では従業員299名以下の企業でも37.0%がランサムウェア感染を経験しており、警察庁の統計では被害の過半数を中小企業が占める。攻撃の多くは無差別スキャンで外部に開いた穴を探すため、会社の規模や知名度は攻撃を受ける確率にほとんど関係しない。決め手になるのは、VPN機器など外部に面した機器の状態である。
Q2. 「感染経験37.0%」は毎年それだけの企業が感染しているという意味か。
違う。この数値は「ランサムウェアに感染した経験がある企業」の割合であり、過去1年間の発生率ではない。毎年4割近くが感染しているという読み方は誤りである。ただし、経験率としてみても中小企業の3社に1社を超えており、「自社には起こらない特別な不運」と片づけられる水準ではない。数字の限定条件を踏まえたうえで、起こりうる前提で備えるのが妥当である。
Q3. 予算がほとんどない場合、何から手を付ければよいか。
最初の一手は外部公開資産の棚卸しである。VPN機器・リモートデスクトップ・公開サーバを洗い出し、不要な入口を閉じ、残す機器のパッチを最新にする。次にすべての外部アクセスへ多要素認証を入れ、ネットワークから分離したバックアップと復元テストを整え、最後に従業員の訓練で報告の初動を作る。この順序は、感染経路の6割以上がVPN機器の脆弱性という統計から逆算したもので、いずれも大きな投資を必要としない。
Q4. これまで被害に遭っていないのは、対策ができている証拠ではないのか。
証拠にはならない。検知の仕組みがなければ、侵入されても「何も起きていない」ように見えるため、無事故の実感は安全の証明として機能しない。また過去にスキャンで見つからなかったことは、外部に開いた穴が今後も見つからないことを保証しない。「被害がない」ではなく「外部公開資産を把握し、パッチ・MFA・バックアップ・訓練が回っている」という状態で初めて、対策ができていると言える。
「うちは狙われない」という前提を数字で見直すことが、セキュリティ対策の出発点になる。自社の入口がどこに何か所あり、どこまで備えができているのか——現在地の把握から始めたい場合は、無料相談で外部公開資産の棚卸しと対策の優先順位づけを一緒に整理していただきたい。
出典
- 一般財団法人 日本情報経済社会推進協会(JIPDEC)「企業IT利活用動向調査2026」(株式会社ITRと共同・有効回答1,107社・2026年1月調査)プレスリリース:https://www.jipdec.or.jp/news/pressrelease/20260327.html
- 同調査 報告書・関連ページ(感染経験45.8%/従業員299名以下37.0%/製造業57.1%/支払い率57.0%→43.8%/払わず復旧できなかった割合10.5%→13.0%):https://www.jipdec.or.jp/library/it-resarch/it-resarch2026.html
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年4月9日公表。都内ランサムウェア被害68件で過去最多/被害の過半数が中小企業/感染経路はVPN機器の脆弱性が6割以上):https://www.npa.go.jp/publications/statistics/cybersecurity/
- IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2026(組織編)」(2026年1月発表。ランサムウェアによる被害が11年連続1位/サプライチェーンや委託先を狙った攻撃が2位)