「うちは小さい会社だから、サイバー攻撃なんて関係ない」——この認識は2026年において致命的な経営リスクである。IPA(情報処理推進機構)が2026年3月に公表した「情報セキュリティ10大脅威 2026」では、中小企業を標的としたサイバー攻撃が前年比40%増と報告されており、警察庁のサイバー犯罪統計でもランサムウェア被害の53%が従業員300人以下の中小企業で発生している。
被害額の平均は2,300万円。これは中小企業にとって事業継続を脅かす金額である。しかし、適切な対策を講じれば被害リスクを大幅に低減できることもまた事実だ。本記事では、2026年最新のサイバー攻撃動向を統計データとともに整理し、中小企業が「今すぐ」「コスト別に」実行できる対策5選を具体的に解説する。
目次
- 2026年サイバー攻撃の最新統計——中小企業が狙われる理由
- 被害類型別の実態——ランサムウェア・サプライチェーン攻撃・BEC
- 被害額と復旧期間の統計データ
- なぜ中小企業の被害が急増しているのか——5つの構造的要因
- 今すぐできる対策5選——コスト別に実行する
- セキュリティ対策チェックリスト20項目
- 活用できる補助金と支援制度
- よくある質問(FAQ)
1. 2026年サイバー攻撃の最新統計——中小企業が狙われる理由
攻撃件数の推移
警察庁「令和7年 サイバー犯罪の情勢と対策」によると、2025年のサイバー犯罪検挙件数は前年比28%増の14,800件に達し、そのうち企業を対象とした攻撃は6,200件であった。さらにIPAの2026年3月調査では、中小企業(従業員300人以下)への攻撃が前年比40%増と、大企業への攻撃増加率(18%増)を大幅に上回っている。
企業規模別の被害状況
| 企業規模 | 被害件数(2025年) | 前年比 | 被害額平均 | 復旧期間平均 |
|---|---|---|---|---|
| 大企業(1,000人以上) | 1,240件 | +18% | 8,500万円 | 18日 |
| 中堅企業(300〜999人) | 1,680件 | +25% | 4,200万円 | 23日 |
| 中小企業(50〜299人) | 2,130件 | +38% | 2,300万円 | 31日 |
| 小規模事業者(49人以下) | 1,150件 | +47% | 890万円 | 42日 |
業種別の攻撃対象
| 業種 | 全体に占める割合 | 主な攻撃手法 |
|---|---|---|
| 製造業 | 24.3% | ランサムウェア、OTシステム攻撃 |
| 卸売・小売業 | 18.7% | クレジットカード情報窃取、ECサイト改ざん |
| 医療・介護 | 12.1% | ランサムウェア、電子カルテ暗号化 |
| 建設・不動産 | 9.8% | BEC(ビジネスメール詐欺)、なりすまし |
| IT・情報通信 | 8.4% | サプライチェーン攻撃、ソースコード窃取 |
| その他 | 26.7% | 多様 |
2. 被害類型別の実態——ランサムウェア・サプライチェーン攻撃・BEC
ランサムウェア——被害の58%を占める最大の脅威
ランサムウェアとは、企業のデータを暗号化し、復号の対価として身代金(ランサム)を要求するマルウェアである。2025年には新たな手口として「二重脅迫型」が主流となった。データの暗号化に加え、「身代金を支払わなければ窃取したデータをダークウェブに公開する」と脅迫するものだ。
2026年にはさらに進化した「三重脅迫型」が確認されている。暗号化 + データ公開脅迫に加え、取引先や顧客にも直接連絡して圧力をかける手法である。
国内ランサムウェア被害の統計(2025年通期)
| 項目 | 数値 |
|---|---|
| 被害報告件数 | 3,620件(前年比32%増) |
| 身代金要求額の平均 | 4,800万円 |
| 実際の支払額の平均 | 1,200万円 |
| 身代金支払い率 | 18.3% |
| データ復旧成功率(支払い後) | 64% |
| 業務停止期間の平均 | 21日 |
サプライチェーン攻撃——大企業への入口として中小企業が踏み台に
サプライチェーン攻撃とは、セキュリティが脆弱な取引先(中小企業)を経由して、本命のターゲット(大企業)に侵入する手法である。2025年には国内で確認されたサプライチェーン攻撃が前年比65%増加しており、トヨタ系列の部品メーカーへの攻撃をきっかけに社会的関心が一層高まった。
中小企業にとって深刻なのは、「自社が直接被害を受ける」だけでなく、「取引先の大企業から取引停止を通告される」リスクがある点だ。実際に、2025年には大企業の42%が「取引先のセキュリティ体制を調達条件に含めるようになった」と回答しており、セキュリティ対策が売上に直結する時代に入っている。
BEC(ビジネスメール詐欺)——AI悪用で精度が向上
BEC(Business Email Compromise)は、取引先や上司になりすまして送金指示を行う詐欺手法である。2026年に深刻化しているのは、攻撃者が生成AIを悪用して極めて自然な日本語のなりすましメールを作成するケースだ。従来は「不自然な日本語」が見破るヒントになっていたが、その手がかりが失われつつある。
FBI IC3の統計によると、BECによる全世界の被害額は2025年に約43億ドル(約6,500億円)に達しており、1件あたりの平均被害額は約12万ドル(約1,800万円)である。
3. 被害額と復旧期間の統計データ
被害コストの内訳
サイバー攻撃の被害額は「身代金」だけではない。実際のコストの大部分は、業務停止による逸失利益、復旧作業の人件費、信用毀損による売上減少で構成される。
| コスト項目 | 平均額(中小企業) | 全体に占める割合 |
|---|---|---|
| 業務停止による逸失利益 | 780万円 | 33.9% |
| システム復旧費用(外部委託) | 520万円 | 22.6% |
| フォレンジック調査費用 | 310万円 | 13.5% |
| 信用毀損・顧客離脱による損失 | 280万円 | 12.2% |
| 法的対応費用(弁護士・通知) | 180万円 | 7.8% |
| 身代金支払い(支払った場合) | 150万円 | 6.5% |
| その他(保険適用外費用) | 80万円 | 3.5% |
| 合計 | 2,300万円 | 100% |
復旧期間と事業継続への影響
JNSA(日本ネットワークセキュリティ協会)の調査によると、サイバー攻撃を受けた中小企業の15%が「1年以内に廃業」している。これは攻撃そのものの被害だけでなく、信用毀損による取引先の離反、復旧費用による資金繰り悪化が複合的に作用した結果である。
4. なぜ中小企業の被害が急増しているのか——5つの構造的要因
要因1:専任セキュリティ担当者の不在
IPAの調査では、従業員100人以下の企業でセキュリティ専任担当者を設置しているのはわずか8.3%である。多くの中小企業では情報システム担当者が1〜2名で兼任しており、セキュリティ対策に割ける時間は週に数時間程度に留まる。
要因2:VPN機器・ネットワーク機器の脆弱性放置
警察庁の分析によると、ランサムウェア感染経路の第1位は「VPN機器の脆弱性」で全体の63%を占める。中小企業ではネットワーク機器のファームウェアアップデートが放置されているケースが多く、既知の脆弱性が修正されないまま長期間インターネットに露出している。
要因3:「うちは大丈夫」という正常性バイアス
中小企業の経営者の61%が「自社がサイバー攻撃の対象になる可能性は低い」と考えているというIPAの調査結果がある。しかし実態は真逆であり、攻撃者は「防御が薄い企業」を自動スキャンツールで探索し、無差別に攻撃を仕掛けている。
要因4:サプライチェーンの一部として狙われる
前述のとおり、大企業への侵入経路として中小企業が踏み台にされるケースが急増している。攻撃者にとって、堅牢な大企業を直接攻撃するよりも、その取引先の中小企業を経由する方が遥かに効率的である。
要因5:AI悪用による攻撃の高度化・大量化
生成AIの普及により、フィッシングメールの大量生成、マルウェアの自動改変、脆弱性スキャンの自動化が容易になった。かつては高度な技術力が必要だった攻撃が、AIツールによって「誰でも」実行可能になりつつある。
5. 今すぐできる対策5選——コスト別に実行する
対策1:多要素認証(MFA)の全社導入【コスト:無料〜月額500円/人】
最もコストパフォーマンスが高い対策が多要素認証(MFA)の導入である。Microsoftの調査では、MFAを導入するだけでアカウント乗っ取りの99.9%を防止できると報告されている。
Google Workspace、Microsoft 365、Slack、kintoneなど、主要な業務ツールはすべてMFAに標準対応しており、追加コストなしで有効化できる。認証アプリ(Google Authenticator、Microsoft Authenticator)を使えば、SMS認証よりも安全かつ無料で運用可能だ。
実施手順:
- 全社で利用している業務ツールをリストアップ
- 各ツールのMFA設定画面から有効化
- 全従業員に認証アプリのインストールと設定を指示
- 設定完了後、パスワードのみのログインを無効化
対策2:VPN機器・ネットワーク機器のファームウェア更新【コスト:無料(自社対応)〜5万円(業者委託)】
ランサムウェア感染経路の63%を占めるVPN機器の脆弱性対策は最優先事項である。FortiGate、Pulse Secure、SonicWallなど、主要メーカーの機器で深刻な脆弱性が継続的に発見されており、アップデートを放置することは「玄関の鍵を開けっぱなしにする」のと同義だ。
実施手順:
- 自社で使用しているネットワーク機器のメーカー・型番・現在のファームウェアバージョンを確認
- メーカーの公式サイトで最新バージョンを確認
- 業務時間外にアップデートを実施(15〜30分程度の通信断が発生する場合あり)
- 今後は月次でアップデート確認するスケジュールを設定
対策3:自動バックアップの導入と復旧テスト【コスト:月額3,000円〜2万円】
ランサムウェアに感染してもデータが復旧できれば、業務停止期間と被害額を大幅に抑えられる。重要なのは「3-2-1ルール」の実践である。
- 3:データのコピーを3つ持つ(本番 + バックアップ2つ)
- 2:2種類以上の異なるメディアに保存(クラウド + 外付けHDD等)
- 1:1つはオフサイト(物理的に離れた場所)に保管
クラウドバックアップサービス(Acronis Cyber Protect、Veeam、BackBlaze等)であれば月額3,000円〜2万円程度で導入でき、自動で日次バックアップが実行される。
最も重要な注意点:バックアップが「取れているか」ではなく「復旧できるか」を必ずテストすること。四半期に1回は復旧テストを実施し、手順を文書化しておく。
対策4:従業員向けセキュリティ教育の実施【コスト:無料〜年間10万円】
フィッシングメールによる被害の90%以上は「従業員がメール内のリンクをクリックした」ことが起点である。技術的対策だけでなく、人的対策としてのセキュリティ教育は不可欠だ。
| 教育方法 | コスト | 効果 | 推奨頻度 |
|---|---|---|---|
| IPA提供の無料教材での自社研修 | 無料 | △ | 四半期に1回 |
| フィッシング訓練メールサービス | 年間5〜10万円 | ◎ | 月1回 |
| eラーニング(KnowBe4等) | 年間10〜30万円 | ○ | 月1回 |
| 外部講師による集合研修 | 1回10〜30万円 | ○ | 年2回 |
対策5:EDR(Endpoint Detection and Response)の導入【コスト:月額500〜2,000円/端末】
従来のウイルス対策ソフトは「既知のマルウェアのパターンマッチング」で検知する仕組みであり、未知のマルウェアや「ファイルレス攻撃」には対応できない。EDRは端末の挙動を常時監視し、不審な動作をリアルタイムで検知・遮断する次世代型のセキュリティソリューションである。
| 製品 | 月額(1端末あたり) | 特徴 |
|---|---|---|
| Microsoft Defender for Business | 約500円 | M365ユーザーは追加コスト低、中小企業に最適 |
| CrowdStrike Falcon Go | 約1,200円 | 検知精度最高水準、クラウド完結 |
| SentinelOne Singularity | 約1,500円 | AI自動対応、インシデント自動修復 |
| Cybereason MDR | 約2,000円 | 日本語SOC(監視センター)付き |
6. セキュリティ対策チェックリスト20項目
以下のチェックリストで自社の対策状況を確認し、未対応の項目から優先的に着手する。
【認証・アクセス管理】
- [ ] 全業務ツールで多要素認証(MFA)を有効化している
- [ ] 退職者のアカウントを即日無効化する運用がある
- [ ] 管理者アカウントと一般アカウントを分離している
- [ ] パスワードポリシー(12文字以上、複雑性要件)を設定している
- [ ] 共有アカウントの使用を禁止している
【ネットワーク・インフラ】
- [ ] VPN機器のファームウェアが最新である
- [ ] ファイアウォールのルールを半年以内にレビューしている
- [ ] Wi-Fiのパスワードを定期的に変更している
- [ ] リモートデスクトップ(RDP)をインターネットに直接公開していない
- [ ] 不要なポートを閉じている
【データ保護】
- [ ] 自動バックアップが毎日実行されている
- [ ] バックアップの復旧テストを四半期に1回実施している
- [ ] 機密データの暗号化を行っている
- [ ] USBメモリの使用を制限・管理している
- [ ] クラウドストレージの共有設定を定期的にレビューしている
【人的対策】
- [ ] 全従業員にセキュリティ教育を年2回以上実施している
- [ ] フィッシング訓練メールを実施している
- [ ] インシデント発生時の連絡先・手順を全員が知っている
- [ ] セキュリティポリシーを文書化し、全員に周知している
- [ ] 経営層がセキュリティ対策に予算を確保している
対応率の目安:16項目以上(80%以上)対応済みであれば基本的な対策水準を満たしている。10項目未満の場合は早急な改善が必要だ。
7. 活用できる補助金と支援制度
補助金一覧
| 制度名 | 補助率 | 上限額 | 対象 |
|---|---|---|---|
| デジタル化・AI導入補助金2026(セキュリティ対策推進枠) | 1/2 | 100万円 | EDR、UTM、クラウドバックアップ等 |
| サイバーセキュリティお助け隊サービス | — | 月額1万円〜 | IPA認定のMDRサービスパッケージ |
| 各都道府県のセキュリティ対策補助金 | 1/2〜2/3 | 50〜200万円 | 自治体により異なる |
| 中小企業基盤整備機構 無料セキュリティ診断 | 無料 | — | 従業員300人以下 |
IPAの無料支援サービス
IPAは中小企業向けに以下の無料サービスを提供している。
- SECURITY ACTION制度:自社のセキュリティ対策状況を自己宣言し、認定ロゴを取得できる制度。IT導入補助金の申請要件にもなっている
- 5分でできる!情報セキュリティ自社診断:25項目の質問に答えるだけで自社のセキュリティレベルを診断できる
- 中小企業の情報セキュリティ対策ガイドライン:具体的な対策手順を網羅した無料ガイド
8. よくある質問(FAQ)
Q1. ランサムウェアの身代金は支払うべきか?
原則として支払うべきではない。支払っても完全にデータが復旧する保証はなく(復旧率64%)、支払い実績が「この企業は払う」という情報として攻撃者間で共有され、再攻撃のリスクが高まる。また、反社会的勢力への資金提供に該当する可能性もある。最善の対策は、事前のバックアップ体制を構築し、身代金を支払う必要がない状態を作ることである。ただし、人命に関わるケース(医療機関等)では、経営判断として支払いを検討せざるを得ない場合もある。
Q2. セキュリティ対策にどの程度の予算をかけるべきか?
IPAは「IT投資額の10〜15%をセキュリティに充てる」ことを推奨している。年間IT投資額が500万円の企業であれば、50〜75万円がセキュリティ対策の目安となる。ただし、これは最低ラインであり、顧客の個人情報や機密データを大量に扱う企業はより高い投資が必要だ。重要なのは「投資額」ではなく「リスクに対して適切な対策が取れているか」であり、前述のチェックリストで自社の状況を把握した上で優先順位をつけて投資することが合理的である。
Q3. サイバー保険は必要か?
加入を強く推奨する。サイバー保険は、サイバー攻撃による損害賠償、フォレンジック調査費用、事業中断による逸失利益、復旧費用などをカバーする。年間保険料は年商や業種によるが、中小企業であれば年間15〜50万円程度で加入可能だ。ただし、保険はあくまで「被害発生後の経済的ダメージを軽減する」ものであり、攻撃そのものを防ぐわけではない。基本的なセキュリティ対策を実施した上で、残存リスクへの備えとして加入するのが正しい位置づけである。
Q4. テレワーク環境のセキュリティ対策で最も重要なことは何か?
最優先は「VPN接続の徹底」と「端末のEDR導入」の2つである。テレワークでは社内ネットワークの防御壁の外で業務を行うため、端末レベルでのセキュリティが極めて重要になる。加えて、「私用端末(BYOD)の業務利用を原則禁止する」「クラウドストレージの共有範囲を最小限にする」「Webカメラ越しの画面情報漏洩(ショルダーハック)に注意する」といった運用ルールの整備も必要だ。
Q5. 取引先からセキュリティ体制について質問されたらどう対応すべきか?
近年、大企業がサプライチェーンリスク管理の一環として取引先のセキュリティ体制を確認するケースが急増している。対応のポイントは3つある。①IPAの「SECURITY ACTION」二つ星を取得し、客観的な対策実施の証明を持つ。②セキュリティポリシーを文書化し、求められた際にすぐ提出できるようにする。③具体的な対策内容(MFA導入済み、EDR導入済み、バックアップ体制確立済み等)をリスト化しておく。これらが準備できていれば、取引先からの信頼を維持し、取引継続の判断において有利に働く。