セキュリティ予算の相談で最も多い質問は「うちは月にいくらかけるべきか」である。しかし実際に被害と投資の実態を突き合わせると、成否を分けるのは金額ではなく着手順序だ。警察庁の最新レポートによれば、ランサムウェア被害企業の侵入経路の6割以上はVPN機器であり、被害企業の約6割は中小企業である。つまり、高価な監視サービスを契約する前に「境界機器の更新」「使われていないアカウントの削除」「復元できるバックアップ」という費用のほとんどかからない対策を終えているかどうかが、被害確率を大きく左右する。
本稿では、月額予算帯(ほぼゼロ〜10万円/10〜30万円/30万円〜)別に「先にやること」「後回しにできること」を判断軸つきで整理し、UTMやウイルス対策を導入して安心している会社に実際に残っている穴、公的支援と補助金の使いどころ、自社の現在地を測る15項目チェックリストまでを一気に示す。
結論:予算帯別「最初の一手」早見表
まず結論を示す。自社の月額予算がどの帯にあっても、上の帯の項目が未了なら先にそちらを終わらせるべきである。順番を飛ばして高額な対策から入るのが、中小企業のセキュリティ投資で最も多い失敗である。
横にスクロールして確認できます
| 月額予算帯 | 先にやること | 後回しにできること | 判断軸 |
|---|---|---|---|
| ほぼゼロ〜10万円 | MFA(多要素認証)の全社強制、VPN機器・ルーターのファームウェア更新、退職者・休眠アカウントの棚卸と削除、オフラインバックアップと復元テスト、IPA「5分でできる!情報セキュリティ自社診断」 | EDR、外部監視、脆弱性診断 | 攻撃者の主要な入口(VPN・認証・放置アカウント)を塞ぐことが最優先。ほぼ費用ゼロで被害確率を最も下げられる |
| 10〜30万円 | EDRの段階導入(サーバ・管理者端末から)、サイバーセキュリティお助け隊サービス等の外部相談・監視窓口、フィッシング訓練を含む従業員教育、インシデント初動手順書 | SOC/MDRの24時間監視、ペネトレーションテスト | 「侵入されても気づける・止められる」検知と初動に投資する段階。運用が回らない高機能製品より、回る体制を優先 |
| 30万円〜 | 外部SOC/MDRによる常時監視、脆弱性診断の定期化、IDaaS・IT資産管理による統制、委託先・サプライチェーン管理 | ― | 取引先要件・事業停止影響から逆算し、監視範囲と復旧目標(何日で戻すか)を明文化して投資する段階 |
この早見表の背景にある判断軸は3つだけである。
- 入口を塞ぐ:侵入経路の統計上の主流(VPN機器、窃取された認証情報、放置アカウント)から順に潰す。
- 被害の天井を下げる:侵入されても事業が止まらないよう、復元できるバックアップと初動手順を先に用意する。
- 気づける体制を作る:検知(EDR・監視)は入口と天井の手当てが済んでから。順序が逆だと「検知はしたが復旧できない」状態になる。
自社がどの帯から着手すべきか、いま入れている対策のどこに穴が残っているかを第三者視点で棚卸ししたい場合は、GXOのセキュリティ対策の優先順位整理で現状を持ち込んでいただければ、投資順序を一緒に組み立てる。
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
なぜ「いくらかけるか」より「何から守るか」なのか
被害の実態:中小企業が約6割、復旧費1,000万円超が5割超
警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等」によれば、令和7年(2025年)のランサムウェア被害報告件数は226件と高水準で推移しており、被害企業を規模別に見ると前年と同様に中小企業が約6割を占める。業種別では製造業が約4割で最多だが、卸売・小売、サービス、情報通信と幅広い業種で被害が確認されている。「うちは狙われるほどの会社ではない」という前提は、統計上すでに成り立たない。
さらに重要なのは被害後のコストである。同レポートの被害組織アンケートでは、調査・復旧に総額1,000万円以上を要した組織が全体の5割を超え、1か月未満で復旧できた組織は5割強にとどまる。つまり被害に遭った中小企業の相当数が、月額のセキュリティ予算とは桁の違う出費と、月単位の事業停止を同時に経験している。
- 出典:警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等」(PDF、2026年公表)
脅威の顔ぶれ:ランサムは11年連続1位、委託先経由が2位
IPA「情報セキュリティ10大脅威 2026」(2026年1月29日公開)の組織編では、「ランサム攻撃による被害」が11年連続11回目の1位、「サプライチェーンや委託先を狙った攻撃」が2位に入った。4位「システムの脆弱性を悪用した攻撃」、7位「内部不正による情報漏えい等」、8位「リモートワーク等の環境や仕組みを狙った攻撃」も、後述する「UTMを入れても残る穴」と直結する項目である。
それでも投資しない企業が3割ある
一方でIPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査」では、過去3期に情報セキュリティ対策投資を行っていない中小企業が33.1%に上り、投資しなかった理由の1位は「必要性を感じていない」(40.5%)だった。被害統計と投資実態のこの落差こそが、攻撃者にとっての市場である。警察庁レポートが指摘するとおり、攻撃者は金銭目的で「隙」のある標的を探す。裏を返せば、隙を先に塞いだ会社から狙われにくくなる。だから金額の多寡より順序が効く。
月額予算帯別の優先順位:何を先にやり、何を後回しにできるか
予算ほぼゼロ〜10万円/月:「入口と天井」を無料〜低コストで固める
この帯でやるべきことは、ほぼすべて既存資産の設定と運用の話であり、追加のライセンス費用がほとんど発生しない。
先にやること
- MFAの全社強制:Microsoft 365 / Google Workspace の標準機能で追加費用なしに有効化できる。窃取された認証情報による侵入は主要な攻撃手口であり、費用対効果はすべての施策の中で最大級である。「管理者だけMFA」「営業部門は除外」のような例外を残さないことが要点だ。
- VPN機器・ルーターの棚卸とファームウェア更新:警察庁の被害組織アンケートで侵入経路の6割以上を占めるのがVPN機器である。機器の型番・ファームウェアバージョン・サポート期限(EOL)を一覧化し、更新されていないものは即時更新、EOL到達機器は更新計画を立てる。
- 退職者・休眠アカウントの削除:退職処理とアカウント削除が連動していない会社は多い。全SaaS・VPN・社内システムのアカウント一覧と在籍者名簿を突き合わせる。これも費用はゼロで、内部不正(10大脅威7位)と認証情報悪用の両方に効く。
- 復元テスト済みバックアップ:バックアップを「取っている」ことと「戻せる」ことは別問題である(詳細は後述の落とし穴④)。ネットワークから切り離したオフライン保管を1系統確保し、実際にファイルを復元してみる。
- 現在地の自己診断:IPA「中小企業の情報セキュリティ対策ガイドライン」(第4.0版、2026年3月27日公開)付属の「5分でできる!情報セキュリティ自社診断」を経営者自身が実施する。第4.0版では「情報セキュリティ5か条」に「バックアップを取ろう!」が加わり6か条になった。国のガイドラインがバックアップを基本動作に格上げしたこと自体が、ランサム被害の実態を映している。
後回しにできること:EDR、外部監視、脆弱性診断。これらは「入口と天井」が固まっていない状態で入れても投資効率が悪い。
この帯の判断軸:迷ったら「攻撃者の統計上の入口に近い順」。VPN・認証・放置アカウントより先にやるべきものは、この帯には存在しない。
予算10〜30万円/月:「気づける・止められる」体制に投資する
基礎が固まったら、侵入の検知と初動に投資する段階に入る。
先にやること
- EDRの段階導入:従来型ウイルス対策が「既知のマルウェアを入口で止める」のに対し、EDRは「侵入後の不審な挙動を検知して隔離する」層である。全端末一斉ではなく、サーバと管理者権限を持つ端末から入れると、予算内で防御効果の高い部分を先に覆える。価格は製品と台数で幅があるため、複数見積もりで比較したい。
- 外部の相談・監視窓口の確保:ひとり情シス・兼任情シスの会社では、アラートを見る人がいなければEDRは機能しない。IPAの「サイバーセキュリティお助け隊サービス」制度は、相談窓口・異常監視・被害時の初動対応・簡易サイバー保険をワンパッケージにした中小企業向けサービスの国の登録制度で、この帯の「監視の外部化」の現実的な選択肢になる(使いどころと限界は次章)。
- 従業員教育とフィッシング訓練:メール経由の初期侵入・ビジネスメール詐欺(10大脅威10位)への対策は、訓練の反復でしか定着しない。年1回の座学より、四半期ごとの短い訓練のほうが効く。
- インシデント初動手順書:被害に気づいた瞬間に「誰が・何を・どの順で」動くかを1枚にしておく。警察庁レポートによれば、被害企業・団体のうちサイバー攻撃を想定したBCPを策定済みだった組織は約18%にすぎない。手順書の作り方はインシデント対応のフロー・テンプレート解説にまとめている。
この帯で問題になるのは「入れたが運用が回らない」ことである。脆弱性情報の確認、EOL機器の更新、アカウント棚卸といった地味な月次運用を外部に定額で任せたい場合は、GXOのセキュリティ運用伴走(月額パッケージ)が該当する。ツールを売るのではなく、回る運用を作ることが目的のサービスである。
後回しにできること:24時間有人SOC、ペネトレーションテスト、SIEM。検知したアラートに日中対応できる体制すらない段階で24時間監視を買っても、費用だけが先行する。
この帯の判断軸:「導入する製品」ではなく「アラートを誰が見て、誰が判断するか」を先に決める。運用者が決まらない投資は保留してよい。
予算30万円〜/月:事業停止影響から逆算して統制を広げる
先にやること
- 外部SOC/MDRによる常時監視:夜間・休日の攻撃に対応できる体制。従業員100名規模以上、または夜間も稼働するシステム・ECを持つ会社では優先度が上がる。
- 脆弱性診断の定期化:外部公開資産(Webサイト、VPN、クラウド設定)を年1〜2回、第三者に診断させる。10大脅威4位「システムの脆弱性を悪用した攻撃」への直接の対抗策である。
- IDaaS・IT資産管理:入退社とアカウント発行・削除を仕組みで連動させ、手作業の棚卸から卒業する。
- 委託先・サプライチェーン管理:10大脅威2位への対応。自社が固くても、保守委託先や取引先経由で侵入される(落とし穴③)。委託先のセキュリティ要件を契約に明記し、確認する運用を作る。ガイドライン第4.0版にもサプライチェーン対策評価制度の考え方が反映されており、今後は発注側から要求される項目になっていく。
この帯の判断軸:「何日で事業を復旧させるか」「取引先にどこまで説明責任を負うか」から逆算する。復旧目標が決まれば、監視範囲・バックアップ設計・診断頻度は自動的に決まる。逆に復旧目標のないままメニューを増やすのは、予算消化であって対策ではない。
経営者が知らない4つの穴:UTMとウイルス対策で「安心している」会社の実際
セキュリティ相談の現場で最も危ういのは、無対策の会社ではなく「UTMとウイルス対策を入れたから大丈夫」と考えている会社である。統計が示す実際の侵入経路は、その安心の外側にある。
穴①:VPN機器の放置
前述のとおり、ランサムウェア被害の侵入経路の6割以上はVPN機器である。導入時は最新でも、ファームウェア更新が止まった瞬間からVPN機器は「外に公開された脆弱性」になる。UTMを入れていても、そのUTM自体やVPN機能の更新が放置されていれば意味がない。「うちのVPN機器の型番とファームウェア更新日を今すぐ答えられるか」——答えられないなら、この記事のどの投資よりも先に確認すべき項目である。
穴②:退職者アカウントと共有パスワード
退職者のVPNアカウント、共有で使い回されるID、初期パスワードのままの管理画面。攻撃者は脆弱性を突くより先に、漏えいした認証情報や簡易なパスワードでの正面突破を試みる。ウイルス対策ソフトは「正しいIDとパスワードでログインしてくる攻撃者」を止められない。
穴③:委託先・取引先経由の侵入
自社の防御を固めても、システム保守業者の接続経路、取引先とのファイル共有、グループ会社のネットワークが入口になる。令和7年下半期には、グループ内のネットワーク機器を経由してデータセンターに侵入されたランサムウェア事案(個人情報約191万件が漏えいまたはそのおそれ)が公表されており、IPA 10大脅威でもサプライチェーン攻撃は2位である。委託先に「セキュリティは大丈夫ですか」と口頭で聞くだけの管理は、管理とは呼べない。
穴④:バックアップ未検証
警察庁レポートが明記するとおり、攻撃者はネットワーク内部を探索してバックアップを物色し、復旧を妨害するためバックアップも一緒に暗号化することが多い。ネットワーク上のNASに取っているだけのバックアップは、ランサム攻撃の前では「暗号化されるファイルが1か所増えただけ」になり得る。オフライン(切り離し)保管の系統があるか、そして実際に復元テストをしたことがあるか。「取っている」と「戻せる」の間には、事業停止1か月分の距離がある。
この4つの穴に共通するのは、製品を買っても塞がらないという点だ。必要なのは棚卸と運用であり、だからこそ第三者の目で現状を評価する価値がある。GXOのセキュリティ診断は、この「導入済み対策の外側に残る穴」を洗い出すことを目的にしている。
公的支援とサイバー保険の使いどころ
サイバーセキュリティお助け隊サービス:最初の「見てくれる人」として
IPAのサイバーセキュリティお助け隊サービス制度は、相談窓口・ネットワークや端末の監視・被害時の初動対応支援・簡易サイバー保険を、中小企業向けにワンパッケージで安価に提供するサービスの登録制度である。専任情シスのいない会社が「異常に気づく目」と「駆け込み先」を月額で確保できる点で、10〜30万円帯の有力な選択肢になる。ただし監視範囲や駆けつけ対応の内容はサービスごとに差が大きく、「入れば安心」ではない。契約前に確認すべき項目はお助け隊サービス検討前の確認事項で詳しく解説している。
補助金:お助け隊の利用料は最大2年分・上限150万円まで補助対象
デジタル化・AI導入補助金2026(旧IT導入補助金)のセキュリティ対策推進枠では、お助け隊サービスリスト掲載サービスのうち事務局登録されたものの利用料(最大2年分)が補助対象で、補助率は中小企業1/2以内・小規模事業者2/3以内、補助額は5万〜150万円である。2026年度は3月30日から交付申請が始まっており、締切は複数回設定されている(回次ごとの締切と残り回数は公式サイトで最新情報を確認してほしい)。小規模事業者なら実質1/3の自己負担で監視・相談体制を2年間確保できる計算であり、「予算がないから何もしない」の言い訳を消す制度と言ってよい。
SECURITY ACTION:取引先への説明材料として
IPAのSECURITY ACTION(自己宣言制度)は、ガイドラインの基本対策に取り組むことを自己宣言する仕組みで、費用はかからない。補助金申請の要件になる場合があるほか、取引先からのセキュリティ調査票に対する最初の回答材料にもなる。
サイバー保険:対策の代わりではなく「復旧費の天井」として
サイバー保険(日本損害保険協会)は、事故時の調査費用・損害賠償・利益損害などをカバーする。復旧総額1,000万円超が5割を超える被害実態を踏まえると、キャッシュに余裕のない中小企業ほど検討価値がある。ただし保険は被害確率を1%も下げない。MFA・バックアップ・VPN更新という被害確率を下げる施策を済ませた上で、それでも残るテールリスク(高額復旧費)を移転する道具として位置づけるのが正しい順序である。近年は加入時に対策状況を問われることも多く、基礎対策は保険の前提条件にもなりつつある。
自社の現在地チェックリスト(15項目)
以下を「はい/いいえ/わからない」で答えてほしい。「わからない」は「いいえ」と同じである——把握していない対策は、経営上は存在しないのと変わらない。
横にスクロールして確認できます
| # | 確認項目 |
|---|---|
| 1 | 全従業員のクラウドサービスログインにMFAを強制している(例外なし) |
| 2 | VPN機器の型番・ファームウェア版数・サポート期限を一覧で把握している |
| 3 | VPN機器・ルーターのファームウェアを過去3か月以内に更新確認した |
| 4 | 退職者のアカウントが全システムで削除されていることを直近で確認した |
| 5 | 共有ID・使い回しパスワードでの運用を廃止している |
| 6 | バックアップにオフライン(ネットワーク分離)系統がある |
| 7 | バックアップからの復元テストを過去1年以内に実施した |
| 8 | 社外に公開しているシステム・ドメインの一覧を持っている |
| 9 | OS・主要ソフトウェアの更新が自動適用または月次で確認されている |
| 10 | 従業員向けのフィッシング訓練・教育を過去1年以内に実施した |
| 11 | 被害に気づいたとき最初に連絡する先(社内・外部)が文書で決まっている |
| 12 | サイバー攻撃を想定したBCP(業務継続計画)または初動手順書がある |
| 13 | システム保守委託先のリモート接続経路と権限を把握している |
| 14 | 取引先・委託先とのセキュリティ要件を契約書で確認している |
| 15 | セキュリティ対策の年間予算と責任者が明示的に決まっている |
目安:「はい」が12以上なら、次は検知体制と診断の定期化へ。8〜11なら、10〜30万円帯の投資より先に「いいえ」の項目を潰すべき段階。7以下なら、費用のかからない項目(1〜7)だけで被害確率を大幅に下げられる状態であり、逆に言えばいま最も危険な状態でもある。
FAQ:セキュリティ費用と優先順位のよくある質問
Q1. 従業員20名で専任の情シスがいない。月いくらから始めるべきか?
金額から入らないほうがよい。MFA強制・VPN更新・退職者アカウント削除・バックアップ復元テストは、既存のツールと数日の作業でほぼゼロ円で終わる。それが済んだ段階で、お助け隊サービス等の外部窓口(補助金活用で自己負担を圧縮可能)+段階的なEDR導入という月額数万円〜10万円台の構成が現実解になる。「ゼロ円の宿題」を飛ばして月額サービスから契約するのが最も典型的な順序ミスである。
Q2. UTMとウイルス対策はすでに入れている。追加投資は必要か?
その2つが守るのは「ネットワークの境界」と「端末のマルウェア」だけである。統計上の主要侵入経路であるVPN機器の脆弱性、窃取された正規アカウントでのログイン、委託先経由の侵入、バックアップの暗号化は、どちらでも防げない。追加投資の前に、まず本稿の15項目チェックで「導入済み対策の外側」に残る穴を確認してほしい。追加すべきは多くの場合、製品ではなく棚卸と運用である。
Q3. セキュリティ投資の稟議が通らない。経営層を説得する材料は?
3点を並べるのが有効だ。第1に被害時コスト:復旧に総額1,000万円以上を要した組織が5割超、1か月未満で復旧できたのは5割強という警察庁の一次データと、自社が1か月止まった場合の売上影響の対比。第2に取引継続リスク:サプライチェーン攻撃が10大脅威2位となり、発注側が委託先のセキュリティを問う流れは強まっている。第3に自己負担の圧縮:セキュリティ対策推進枠で対象サービス利用料の1/2〜2/3が補助される。金額の妥当性ではなく「やらない場合に何を失うか」で構成するのが要点である。
Q4. EDRとお助け隊サービス、予算が限られるならどちらが先か?
「アラートを見る人がいるか」で決まる。社内に日中でも対応できる担当者がいるならEDR先行でよい。誰も見られないなら、監視と相談窓口を含むお助け隊サービスが先だ。検知ツールは運用者がいて初めて機能する。なお両者は排他ではなく、お助け隊サービスの中にはEDR相当の監視を含むものもあるため、IPAの登録サービス一覧で監視範囲を比較してから決めるとよい。
Q5. サイバー保険に入れば、対策費用は減らせるか?
減らせない。保険は被害確率を下げず、被害後の費用の一部を補填するだけである。むしろ基礎対策の状況が加入条件や保険料に影響する。順序としては、被害確率を下げる投資(MFA・バックアップ・VPN管理)→検知と初動→残るテールリスクの保険移転、である。
Q6. 毎月の運用(脆弱性対応やアカウント棚卸)まで手が回らない。どうすべきか?
それが中小企業のセキュリティで最大のボトルネックであり、正直な認識である。選択肢は、(1) 兼任担当の業務を明示的に割り当てる、(2) お助け隊等の監視サービスで「見る」部分を外部化する、(3) 脆弱性対応・EOL管理・棚卸まで含めて月額で外部に任せる、の3段階。GXOのセキュリティ運用伴走は(3)に該当し、ツール販売ではなく運用の代行・伴走を目的にしている。
GXOに相談すべきタイミング
すべての会社に外部支援が必要なわけではない。予算ほぼゼロ帯の項目は、本稿を読めば自社だけで完了できるはずだ。一方で、次のいずれかに当てはまるなら、第三者を入れたほうが早くて安い。
- 15項目チェックで「わからない」が4つ以上ある(現状把握そのものが必要な状態)
- UTM・ウイルス対策は導入済みだが、それ以外に何が足りないか判断できない
- 取引先からセキュリティ調査票・監査要求が来ており、回答の裏付けが必要
- 月次の脆弱性対応・アカウント棚卸・EOL管理を回す人がいない
- ベンダーから複数の提案を受けているが、どれが自社の順序として正しいか判断できない
GXOは特定製品の販売を目的としないため、「その投資はまだ早い」「先にこの無料の宿題を」という順序の助言から入る。現状の棚卸と投資順序の整理はセキュリティ対策の優先順位整理から、導入済み対策の穴の洗い出しはセキュリティ診断から、まず話だけ聞きたい場合はお問い合わせ(無料相談)から連絡してほしい。相談したからといって何かを契約する必要はない。
参考資料(一次ソース)
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等」2026年公表(PDF)
- IPA「情報セキュリティ10大脅威 2026」2026年1月29日公開
- IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」2026年3月27日公開
- IPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査」
- IPA「サイバーセキュリティお助け隊サービス ユーザー向けサイト」
- IPA「SECURITY ACTION(自己宣言制度)」
- 中小企業基盤整備機構「デジタル化・AI導入補助金2026 セキュリティ対策推進枠」
- 日本損害保険協会「サイバー保険」







