【連載第1回】今、中小企業が狙われている!サイバー攻撃の現実と対策の必要性
「うちみたいな小さな会社が狙われるわけがない」 ― そう思っていませんか?
残念ながら、それは大きな誤解です。IPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威 2025」によると、サプライチェーンを経由した攻撃が年々増加しており、攻撃者にとって中小企業は「本丸への侵入口」として格好のターゲットになっています。
本連載では、IPAの「中小企業の情報セキュリティ対策ガイドライン 第3.1版」をベースに、中小企業が今すぐ取り組めるサイバーセキュリティ対策を全10回にわたって解説していきます。
なぜ中小企業が狙われるのか
大企業はセキュリティ予算も人材も潤沢です。ファイアウォール、EDR、SOCと多層的な防御体制を敷いています。一方、中小企業はどうでしょうか。
多くの中小企業では、IT担当者が1人しかいない「ひとり情シス」、あるいはIT専任者がいない「ゼロ情シス」の状態が当たり前です。セキュリティ対策に割ける時間も予算も限られています。
攻撃者はこの構造をよく理解しています。セキュリティの弱い中小企業を踏み台にして、取引先の大企業に侵入する。これがサプライチェーン攻撃の典型的なパターンです。
実際に起きた被害事例
トヨタ自動車のサプライチェーン攻撃(2022年)
2022年3月、トヨタ自動車の仕入先である小島プレス工業がランサムウェア攻撃を受けました。この影響でトヨタの国内全14工場28ラインが丸1日停止。被害額は数百億円規模と推定されています。
攻撃の入口となったのは、小島プレス工業の子会社が使用していたリモート接続機器の脆弱性でした。
大阪急性期・総合医療センター(2022年)
ランサムウェア攻撃により電子カルテシステムが暗号化され、約2ヶ月間にわたり通常診療ができない状態に陥りました。侵入経路は、給食委託業者のVPN機器でした。
KADOKAWAグループ(2024年)
ランサムウェア攻撃によりニコニコ動画を含む複数サービスが長期停止。個人情報の漏洩も確認されました。復旧までに数ヶ月を要し、業績への影響も甚大でした。
中小企業のセキュリティの現状
IPAの調査によると、中小企業のセキュリティ対策の現状は深刻です。
- 約3割の中小企業が、情報セキュリティ対策を「特に実施していない」と回答
- 約5割の中小企業が、セキュリティに関する規程やルールを策定していない
- セキュリティ投資額が年間50万円未満の企業が過半数
「何かあったら考える」では遅いのです。サイバー攻撃は予告なくやってきます。
この連載で学べること
本連載は、IPAガイドラインの構成に沿いながら、以下の流れで進めます。
- 第1回(本記事): サイバー攻撃の現実と対策の必要性
- 第2回: 経営者が負う法的責任
- 第3回: 情報セキュリティ5か条と自社診断25項目
- 第4回: 基本方針の策定と管理体制の構築
- 第5回: リスク分析と情報セキュリティ関連規程
- 第6回: 委託先管理とサプライチェーン対策
- 第7回: テレワークとクラウド安全利用
- 第8回: インシデント対応と初動マニュアル
- 第9回: 点検・監査とPDCAサイクル
- 第10回: 総まとめとSECURITY ACTION二つ星への道
連載を最後まで読み進めることで、IPAが推進する「SECURITY ACTION」の二つ星宣言に必要な取り組みを理解できるよう設計しています。
まとめ:最初の一歩を踏み出そう
サイバー攻撃は他人事ではありません。中小企業だからこそ、被害を受けたときのダメージは致命的になり得ます。
しかし、悲観する必要はありません。IPAのガイドラインに沿って一歩ずつ対策を進めれば、限られたリソースでも十分な防御体制を構築できます。
次回は、サイバーセキュリティに関して経営者が知っておくべき法的責任について解説します。「知らなかった」では済まされない時代に、経営者として最低限押さえておくべきポイントをお伝えします。
この連載について: 本連載は、IPAの「中小企業の情報セキュリティ対策ガイドライン 第3.1版」をベースに、中小企業が実践できるサイバーセキュリティ対策を全10回で解説するシリーズです。
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。