「うちみたいな小さい会社が狙われるわけがない」——中小企業の経営者から、いまだに一番よく聞く言葉です。ですが、警察庁が公表したランサムウェアの被害報告のうち、過半数を占めるのは中小企業です。攻撃者は規模ではなく「守りが甘いところ」を狙います。大企業より対策が手薄で、取引先の大企業へ侵入する踏み台にもなりやすい中小企業は、むしろ格好の標的です。
とはいえ、専任のIT担当者もいない、セキュリティに割ける予算も限られている、という会社がほとんどでしょう。高価な製品を導入する話ではありません。実際の被害の多くは、推測されやすいパスワード・放置された古いソフト・添付ファイルの不用意な開封といった、基本的な穴から起きています。
この記事では、従業員30名規模の中小企業を想定し、お金をかけずに今日から始められる対策を、優先順位の高い順に整理します。すべてを一度にやる必要はありません。上から順に潰していくだけで、被害に遭う確率は大きく下がります。
なぜ中小企業がサイバー攻撃の標的になるのか
「守りが甘い会社」が狙われる時代
かつてのサイバー攻撃は、特定の大企業を狙い撃ちする手間のかかるものでした。いまは違います。攻撃の多くは自動化されており、インターネット上の脆弱なサーバーやメールアドレスを機械的に探し回ります。規模の大小は関係なく、穴が空いていれば誰でも引っかかる仕組みです。
中小企業が狙われやすい理由は、主に次の3つです。
- 対策が手薄:専任担当がおらず、OSやソフトの更新が放置されがち
- 取引先への踏み台になる:大企業のサプライチェーンに組み込まれており、取引先経由で本丸を狙われる
- 身代金を払いやすい:バックアップがなく、事業を止められると交渉に応じてしまう
被害は「金銭」だけでは終わらない
ランサムウェア(データを暗号化して身代金を要求する攻撃)に遭うと、業務システムが丸ごと使えなくなります。復旧に数週間かかれば、その間の売上はゼロです。さらに深刻なのは、顧客情報が漏えいした場合の信用失墜と、取引先への損害賠償です。1回の事故で廃業に追い込まれる中小企業も珍しくありません。
最優先でやるべき3つの対策
限られた時間で効果が大きい順に並べると、最初に着手すべきはこの3つです。いずれも追加コストはほぼかかりません。
1. 多要素認証(MFA)を全アカウントに設定する
パスワードが漏れても、スマホアプリのワンタイムコードなどがなければログインできない仕組みが多要素認証です。これだけで不正ログインの大半は防げます。Microsoft 365、Google Workspace、各種クラウドサービスのほとんどが標準で対応しているので、管理者設定から全社で「必須」にしてください。
特に、メール・会計・顧客管理など、漏えいすると致命的なサービスから優先的に有効化します。
2. バックアップを「3-2-1」で取る
ランサムウェアに対する最強の防御は、人質を取られても困らない状態、つまりバックアップです。世界標準の考え方が「3-2-1ルール」です。
- 3:データのコピーを3つ持つ(本番+バックアップ2つ)
- 2:2種類の異なる媒体に保存する(クラウドと外付けHDDなど)
- 1:そのうち1つはネットワークから切り離した場所(オフライン)に置く
クラウドストレージだけに頼ると、暗号化されたファイルがそのまま同期されてバックアップごと使えなくなる事故があります。「オフラインのコピーを1つ持つ」がここでの肝です。
3. OS・ソフトウェアを最新に保つ
攻撃の入り口で最も多いのが、修正パッチが当てられていない古いソフトの脆弱性です。WindowsやMacの自動更新は必ずオンにし、業務で使うアプリも放置しないでください。すでにサポートが終了したOS(古いWindows等)を使い続けているなら、それ自体が穴です。買い替えやアップグレードを最優先で計画してください。
次に取り組みたい対策とツールの選び方
パスワード管理ツールを全社で使う
「同じパスワードを使い回している」「付箋に書いて貼っている」状態は、対策の前提が崩れています。パスワード管理ツールを導入すれば、サービスごとに複雑なパスワードを自動生成・保存でき、社員はマスターパスワード1つだけ覚えれば済みます。退職者のアクセス権を管理者がまとめて剥奪できる点も、中小企業には実用的です。
主要なセキュリティ対策の費用感
「何にいくらかかるのか」が見えないと着手しづらいものです。代表的な対策のおおよその費用感を整理します。
対策 | 費用の目安(1人あたり月額) | 優先度 |
|---|---|---|
多要素認証(MFA) | 0円(既存サービスの標準機能) | 最優先 |
OS・ソフトの更新 | 0円(設定のみ) | 最優先 |
クラウドバックアップ | 数百〜1,000円程度 | 高 |
パスワード管理ツール | 300〜600円程度 | 高 |
EDR(端末監視ツール) | 500〜1,500円程度 | 中 |
表のとおり、上位2つはコストゼロです。まずここを固めてから、予算と相談して下に進むのが現実的な順番です。
社員教育——技術より「人」が穴になる
どれだけツールを入れても、社員が偽メールのリンクを踏めば終わりです。実際の侵入経路で最も多いのは、取引先を装ったメール(標的型攻撃メール)の添付ファイルやリンクです。年に1〜2回でいいので、次のような最低限のルールを全社で共有してください。
- 身に覚えのない添付ファイル・リンクは開かず、送信元に電話で確認する
- パスワードやコードを入力する画面は、URLが正規のものか必ず確認する
- 不審なメールを受け取ったら、自分で判断せず情報共有する窓口を決めておく
クラウドサービスの整理が進んでいない場合は、まず社内で使っているSaaSの棚卸しから始めると、誰がどのサービスにアクセスできるかが見え、対策の抜け漏れを防げます。
テレワーク環境のセキュリティで見落としがちな点
自宅Wi-Fiと私物端末のリスク
在宅勤務が定着した会社では、オフィスの外が新たな穴になります。家庭用ルーターのパスワードが初期設定のまま、私物のPCに業務データを保存している、といった状態は危険です。会社支給の端末を使う、業務データはクラウド上に置いてローカルに残さない、といったルールを決めておきます。
これから在宅勤務を整える段階なら、テレワーク環境の作り方でセキュリティを含めた準備項目を確認しておくと、後から穴を塞ぐ手間が省けます。
退職者のアカウントを放置しない
意外と多いのが、退職した社員のアカウントが生きたまま残っているケースです。クラウドサービスごとにアクセス権が散らばっていると、棚卸しが追いつきません。退職時にどのアカウントを止めるか、チェックリストを1枚用意しておくだけで、内部からの情報流出リスクを大きく減らせます。
まとめ:中小企業のセキュリティは「無料の基本」から固める
中小企業のサイバーセキュリティは、高価な製品の話ではありません。被害の多くは、多要素認証・バックアップ・更新管理という基本の穴から起きています。まずはコストゼロでできるこの3つを全社で徹底し、次にパスワード管理と社員教育、テレワークと退職者管理へと順に広げていく——この優先順位を守るだけで、被害に遭う確率は大きく下がります。完璧を目指すより、上から1つずつ潰すことが先決です。
よくある質問
Q. 専任のIT担当がいなくても対策できますか?
A. 最優先の3つ(多要素認証・バックアップ・更新管理)は、いずれも各サービスの管理画面での設定が中心で、専門知識がなくても着手できます。判断に迷う部分や全体設計だけ外部の専門家に相談する、という分け方が現実的です。
Q. セキュリティ製品はどれくらいの予算を見ておくべきですか?
A. 最優先の対策はコストゼロです。その先のクラウドバックアップやパスワード管理ツールでも、1人あたり月数百円程度から始められます。まず無料でできる範囲を固めてから、予算に応じて広げるのが無駄のない順番です。
Q. すでにウイルス対策ソフトを入れていれば十分ですか?
A. ウイルス対策ソフトは必要ですが、それだけでは不十分です。近年の攻撃はメールの偽装やパスワードの不正利用など、ソフトでは防ぎきれない経路が中心です。多要素認証・バックアップ・社員教育を組み合わせて、多層で守る考え方が必要です。
Q. 何から手をつけるべきか優先順位がわかりません。
A. 多要素認証を全アカウントに設定する、バックアップを3-2-1で取る、OS・ソフトを最新に保つ——この3つを上から順に進めてください。いずれも追加コストがほぼかからず、効果が大きい対策です。
「自社の対策がどこまでできていて、次に何をすべきか」を整理したい方は、30分の無料相談でご状況を聞かせてください。現状の穴を一緒に洗い出し、予算と優先順位に合わせた進め方をご提案します。
