株式会社MJE:TOKYO PRO MARKET上場(証券コード:433A)
株式会社MJE:TOKYO PRO MARKET上場(証券コード:433A)
お急ぎの方は、お電話でも承っております。
お見積もり無料!携帯からでもOK!
0120-843-660
通話料無料 受付時間:平日 10:00〜18:00
最短当日回答!
OA機器(コピー機)のプロにお任せください!
無料見積・相談する
「専任のIT担当者がいない」「予算に余裕がない」。こうした事情から、中小企業ではセキュリティ対策が後回しになりがちです。
しかし、対策が十分でない中小企業こそ、サイバー攻撃の標的になりやすいことをご存じでしょうか。
2025年の帝国データバンク調査によると、中小企業の約30%がサイバー攻撃を経験しています。また、警察庁の統計では、2024年の中小企業におけるランサムウェア※被害件数が前年比37%増加しました。
被害は自社だけでなく、取引先に広がるケースも報告されており、企業規模に関係なく備えが求められています。
本記事では、IPA(独立行政法人情報処理推進機構)のガイドラインをもとに、限られた予算と人材でも始めやすいセキュリティ対策の全体像を整理します。
経営者やIT業務を兼任している担当者の方が、「まず何から始めればよいか」を判断するための参考にしてください。
参考:帝国データバンク「サイバー攻撃に関する実態調査(2025年)」
※ランサムウェアとは、パソコンやサーバー内のデータを使えなくし、復旧と引き換えに金銭を要求するサイバー攻撃のことです。
\ まずは無料でセキュリティ相談! /
目次
「うちのような小さな会社は狙われないだろう」と考える方もいるのではないでしょうか。
しかし、経済産業省がIPAを通じて実施した実態調査では、約7割の中小企業で、組織としてのセキュリティ体制が整っていないことが明らかになっています。さらに、過去3年間にサイバー攻撃の被害を受けた中小企業のうち、約7割が取引先にも影響を及ぼしていたとされています。
一方で、普段からセキュリティ対策に取り組んでいる中小企業の約5割が、「取引先との取引につながった」と実感しているという調査結果もあります。セキュリティ対策は、単なる費用ではありません。取引先からの信頼を得るうえでも関わってくるテーマです。
セキュリティ体制が手薄な企業は、攻撃者にとって侵入しやすい入口になってしまうおそれがあります。ここからは、中小企業が狙われやすい背景を具体的に見ていきます。
参考:経済産業省「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」
大企業はセキュリティへの投資が比較的進んでいるため、正面からの攻撃では突破しにくい場合があります。そこで攻撃者が狙うのが、取引先である中小企業のシステムです。
中小企業のネットワークに侵入し、そこを経由して大企業のシステムにアクセスする。この手口はサプライチェーン攻撃と呼ばれています。2022年には、大手自動車メーカーの部品取引先がランサムウェアに感染し、国内工場の稼働が一時停止した事例がありました。
自社に大きな機密情報がなくても、取引先への侵入ルートとして利用される可能性があります。被害が発生すれば取引の見直しや損害賠償につながることもあり、経営に与える影響は小さくありません。
経済産業省はこうした被害の連鎖を「サイバードミノ」と名付け、中小企業に対しても対策を促しています。サプライチェーン全体でセキュリティレベルを底上げしなければ、個社の取り組みだけでは防ぎきれないという認識が広まりつつあります。
ランサムウェアとは、社内データを使えない状態にし、元に戻すことと引き換えに金銭を要求する悪意のあるソフトです。感染すると、業務システムが止まり、受発注処理や経理業務、メールのやり取りなどができなくなるおそれがあります。
警察庁が公表した統計によると、ランサムウェア被害の報告件数のうち、約6割を中小企業が占めています。主な侵入経路は、VPN機器のセキュリティ上の弱点や、リモートデスクトップの設定不備です。テレワークの広がりにより、社外から社内システムへ接続する環境を狙った被害が増える傾向にあります。
また、仮に身代金を支払ったとしても、データが完全に復元されるとは限りません。復旧に数週間から数か月かかるケースもあり、その間の売上減少や対応費用が、経営を圧迫する原因になります。KPMGの調査(2026年)では、サイバー攻撃などの被害額が1億円以上に達した企業の割合が、年々増加していることも報告されています。
近年は、データを暗号化せずに盗み出し、公開をほのめかして金銭を要求する「ノーウェアランサム」と呼ばれる手口も確認されています。攻撃の方法が増えていることを考えると、データを使えなくされる被害への備えだけでなく、情報を外部に持ち出されないための対策にも目を向ける必要があります。
参考:KPMGジャパン「サイバーセキュリティサーベイ2026」
顧客情報が外部に流出した場合、企業は損害賠償を求められるおそれがあります。JNSAの調査レポートでは、個人情報漏えいにおける一人あたりの平均想定賠償額を、約28,000円と試算しています。仮に1,000人分の顧客情報が流出すれば、賠償額だけでも大きな負担になりかねません。
過去の判例を見ると、住所や氏名などの基本的な情報の流出であれば、一人あたり数千円程度の賠償にとどまるケースが多い傾向にあります。一方で、病歴やクレジットカード情報など、他人に知られると大きな不利益につながりやすい情報が含まれる場合は、賠償額が上がる傾向があります。
また、負担は賠償金だけではありません。原因調査やシステム改修、被害を受けた人への通知など、事故対応にも手間と費用がかかります。金額の大小にかかわらず、個人情報の流出は企業の信用にも影響するため、事前の対策が欠かせません。
金銭面の負担だけでなく、報道やSNSで情報が広がることによる評判の低下も見過ごせません。顧客離れや取引先からの信頼低下につながれば、その影響が長引く場合もあります。一度の個人情報流出が、経営に大きく響くリスクになり得る点は押さえておきましょう。
参考:JNSA「インシデント損害額調査レポート」
IPAが公表している「中小企業の情報セキュリティ対策ガイドライン」では、最初に着手すべき基本項目として「情報セキュリティ6か条」が示されています。どれも専門知識がなくても取り組める内容で、追加コストをかけずに始められるものが中心です。
| 項目 | 具体的な内容 |
|---|---|
| OSやソフトウェアの更新 | Windows Updateやアプリのアップデートを有効にし、既知の脆弱性を修正する |
| ウイルス対策ソフトの導入 | 法人向けアンチウイルスを全端末に導入し、定義ファイルは常に最新の状態にする |
| パスワードの強化 | 推測されにくいパスワードを設定し、サービスごとに異なるものを使い分ける |
| 共有設定の見直し | クラウドやネットワーク機器の共有範囲を確認し、不要な公開設定を解除する |
| バックアップを取る | 保存したデータが消えたり、暗号化されたりしてしまったときのために、バックアップを取得しておく |
| 脅威・手口を知る | IPAの注意喚起情報やセキュリティ関連ニュースを定期的に確認し、新しい攻撃手法を把握する |
この6か条は、基本的すぎる内容に見えるかもしれません。しかし、先述の経済産業省の調査で、約7割の中小企業がセキュリティ体制を整備できていない現状を考えると、こうした基本対策を一つずつ実行することが、リスクを下げる近道になります。
以下では、特に優先度の高い項目を掘り下げて解説します。
サイバー攻撃の多くは、古いOSやソフトウェアのセキュリティ上の弱点を狙って行われます。Windowsの修正プログラムやアップデートを適用しないまま放置すると、その弱点が攻撃の入口になることがあります。
まずは、以下の対応から始めましょう。
アップデートによって、業務ソフトが一時的に動かなくなることもあります。そのため、業務への影響が心配な場合は、いきなり全社に適用せず、まず1台のパソコンで確認してから進めると安心です。
あわせて、法人向けウイルス対策ソフトの導入も検討してください。無料ソフトでは管理機能が限られ、社内全体の感染状況を把握しにくいためです。法人向け製品は、管理画面からすべての端末の状態をまとめて確認できるタイプが多く、少人数でも運用しやすい場合があります。
なお、サポートが終了したOSを使い続けると、セキュリティ上の弱点が見つかっても修正プログラムが提供されなくなります。対象となる端末がある場合は、計画的にOSの移行を進めておきましょう。
「123456」「password」「会社名+設立年」のような推測しやすいパスワードは、攻撃ツールを使えば短時間で突破されてしまいます。パスワードの脆弱さは、不正アクセスの身近な原因の一つです。
まずは、以下の対応から始めましょう。
パスワードは、英大文字・小文字・数字・記号を組み合わせた12文字以上を基本ルールにしましょう。サービスごとに異なるパスワードを設定し、使い回しをやめることも大切です。管理が大変な場合は、法人向けのパスワード管理ツールの利用も選択肢に入ります。
さらに有効な対策が、多要素認証(MFA)の導入です。多要素認証とは、パスワードだけでなく、スマートフォンに届く使い捨ての確認コードや認証アプリなどを使って本人確認を行う仕組みです。仮にパスワードが外部に漏れても、不正ログインのリスクを下げられます。
Microsoft 365やGoogle Workspaceなど、主要なインターネット上の業務サービスには、多要素認証の機能が標準で備わっている場合があります。追加費用なしで設定できることも多いため、まずは現在利用しているサービスの設定を確認してみましょう。
ただし、近年は「リアルタイム型フィッシング」と呼ばれる、使い捨ての確認コードをすぐに盗み取る手口も報告されています。多要素認証を導入したからといって安心しきらず、偽メールや偽サイトでログイン情報を入力しないよう、社内で注意を促すことも必要です。
セキュリティ対策は、機器やソフトを入れれば終わりではありません。どれだけ対策をしていても、従業員が不審なメールの添付ファイルを開いたり、偽のログイン画面にIDとパスワードを入力したりすると、情報漏えいや不正アクセスにつながるおそれがあります。
IPAの調査でも、サイバー被害の起点として「ビジネスメール詐欺」がランクインしています。
※参考:IPA「情報セキュリティ10大脅威 2026」
| テーマ | 具体的な施策例 |
|---|---|
| フィッシングメール対策 | 差出人、URL、添付ファイルを確認する。少しでも怪しい場合は開かず、上長やIT担当者に報告する。 |
| シャドーITの防止 | 個人のUSBメモリ、私物スマートフォン、許可していないインターネット上のサービスを業務で使わない。 |
| トラブル時の報告フロー | 「怪しい」と感じたらすぐ上長やIT担当に報告する手順を整備する。報告者を責めない雰囲気をつくる。 |
社員への周知は、一度だけではなかなか定着しません。年に1回の長い研修よりも、短い内容を定期的に伝える方が続けやすくなります。IPAが無料公開している啓発資料や動画教材を活用すれば、外部講師を呼ばなくても、社内で基本的な研修を始められます。
余裕があれば、フィッシングメールの訓練を行うのも有効です。実際の攻撃に近い模擬メールを送り、どのような点に気をつけるべきだったかを後から共有します。訓練の目的は「引っかかった人を罰する」ことではありません。「組織全体で怪しいと気づく力を高めること」が目的だと、事前に伝えておきましょう。
\ まずは無料でセキュリティ相談! /
どれだけ対策を講じても、サイバー攻撃や情報漏えいなどのトラブルを完全に防ぐのは簡単ではありません。そのため、「攻撃を受けた場合に、被害を最小限にとどめて事業を継続する仕組み」をあらかじめ準備しておくことが大切です。
ここでは、被害を抑えるための具体的な備えを紹介します。
ランサムウェアに感染してデータが暗号化されても、バックアップから復元できれば業務への影響を抑えられます。ただし、バックアップの取り方によっては、バックアップデータまで暗号化されてしまうリスクがあるため、保管方法を工夫する必要があります。
3-2-1ルールとは、データを3つ用意し、2種類の異なる保存先に分けて保管し、そのうち1つは会社から離れた場所に置いておく方法です。
| ルール | 内容 | 具体例 |
|---|---|---|
| 3つのコピー | 本番データ+バックアップ2つを用意する | 業務サーバー、NAS、クラウド |
| 2種類のメディア | 異なる記録媒体に分散して保存する | 外付けHDD+クラウドストレージ |
| 1つはオフサイト | 物理的に離れた場所にも保管する | 遠隔データセンターやクラウド |
バックアップは、取るだけでは不十分です。定期的に復元テストを行い、実際にデータを戻せるかどうかを確認しておきましょう。月に1回程度のテストを業務スケジュールに組み込んでおくと、いざというときも慌てずに対応しやすくなります。
また、ランサムウェアの中には、社内の通信環境上にあるバックアップ先まで探して、データを使えなくしようとするタイプもあります。バックアップ用の外付けHDDは使うとき以外は社内の通信環境から切り離しておく、インターネット上のバックアップでは過去の複数時点のデータを残す機能を有効にするなど、バックアップ自体を守る工夫も検討しましょう。
バックアップと並んで準備しておきたいのが、サイバー攻撃を受けた直後の対応手順です。感染が疑われる端末をネットワークから切り離す、社内の報告ルートに沿って経営層へ共有する、外部の専門業者や警察への連絡先を確認しておくといった初動の流れを、あらかじめ文書化しておきましょう。
インシデント発生時は焦りから判断を誤りやすく、感染端末を再起動してログが消えてしまう、被害範囲の確認前にシステムを復旧してしまうなどの対応ミスが起きがちです。手順書が一枚あるだけで、こうした混乱を抑えやすくなります。
IPAでは「中小企業のためのセキュリティインシデント対応の手引き」を無料公開しています。自社の体制に合わせてカスタマイズし、担当者だけでなく経営層や関連部門にも共有しておくことをお勧めします。
基本的な対策を一通り進めた企業が、次の段階で検討したいのがUTMです。UTMとは、ファイアウォール、ウイルス対策、不正な侵入の防止、危険なWebサイトへのアクセス制限など、複数のセキュリティ機能を一台にまとめた機器のことです。社内の通信の出入口をまとめて管理しやすくなります。
個別にセキュリティ機器を導入・運用するのが難しい中小企業にとって、UTMは管理の手間を抑えながら、複数の方法で攻撃に備えられる選択肢です。ただし、機種によって対応できる通信量や機能に差があります。導入前にITに詳しい外部の業者へ相談し、自社の社内通信の規模や利用しているサービスに合った製品を選びましょう。
なお、UTMは万能ではありません。メール経由のフィッシングや内部不正への対策は、別に考える必要があります。UTMは「社内通信の入口を守る対策」と位置づけたうえで、端末の保護や従業員への周知と組み合わせ、複数の対策で守る考え方が基本です。
基本的な対策の必要性はわかっていても、日々の管理まで社内で対応するのは簡単ではありません。
特に中小企業では、総務や経理の担当者がIT管理を兼任しているケースもあります。パソコンの設定、ウイルス対策ソフトの更新確認、ネットワーク機器の管理、社員からの問い合わせ対応まで行うとなると、本来の業務に支障が出ることもあります。
このような場合は、セキュリティ対策やIT機器の運用を外部に相談するのも一つの方法です。専門業者に相談することで、自社に必要な対策を整理しやすくなり、優先順位をつけて進められます。
中小企業のセキュリティ対策は、できることから始めるだけでもリスクを下げられます。ただ、専任のIT担当者がいない企業では、パソコンや社内通信機器の管理、セキュリティソフトの更新、バックアップの確認まで社内だけで対応するのは大きな負担です。
ビズオールでは、中小企業向けにOA機器・IT機器の導入から、社内の通信環境づくり、セキュリティ対策、日常のトラブル対応まで支援しています。現在の環境を確認したうえで、必要な対策を整理し、優先順位をつけながら段階的に進められるようサポートします。
このようなお悩みがあれば、まずはお気軽にご相談ください。限られた予算の中で無理なく対策を進めるためにも、現在のIT環境を見直すことから始めてみましょう。
\ まずは無料でセキュリティ相談! /
IPAが無料で提供している「5分でできる!情報セキュリティ自社診断」を試してみてください。25問のチェックリストに回答するだけで、自社のセキュリティレベルと改善が必要なポイントが可視化されます。その結果をもとに、本記事で紹介した「情報セキュリティ6か条」を優先度の高い項目から進めていくのが効率的です。
macOSだから安全ということはありません。近年はmacOS向けのマルウェアも確認されていますし、フィッシング詐欺やWebブラウザ経由の攻撃はOSの種類に関係なく有効です。Macであっても、エンドポイント保護製品の導入とOSの定期アップデートは必要と考えておいてください。
業種や企業規模によって適正な金額は異なります。IPAのガイドラインでは「まずはコストのかからない対策から始める」ことが推奨されています。OS更新の徹底やパスワードルールの見直しは費用をかけずに実行可能です。そのうえで、法人向けウイルス対策ソフト(月額数百円程度/端末)やUTM機器(月額数千円程度のリース型もあり)を段階的に導入し、予算に応じて防御の層を増やしていく進め方が現実的です。
サプライチェーン全体のセキュリティ強化を目的に、取引先に対策状況の確認を求める企業が増えています。チェックシートへの回答は、自社の対策を棚卸しする良い機会と捉えてください。本記事で紹介した「情報セキュリティ6か条」やIPAの自社診断の結果をもとに、現状を正直に記入しましょう。対応が十分でない項目については、改善計画とおおまかなスケジュールを添えて回答すると、誠実な姿勢が伝わります。
ウイルス対策ソフトはセキュリティ対策の一つではありますが、それだけで十分とはいえません。近年の攻撃はメールやWebサイトを経由したフィッシング、VPN機器の脆弱性を突いた侵入など多様化しています。ウイルス対策ソフトに加え、OS更新の徹底、多要素認証の導入、バックアップの整備、従業員への教育など、複数の対策を組み合わせる「多層防御」の考え方が基本です。
中小企業を取り巻くサイバー脅威は年々変化しており、被害の報告件数も増える傾向にあります。取引先を経由して攻撃を広げる手口や、ランサムウェアによる被害の拡大を見ると、企業規模に関係なく備えが必要だといえます。
一方で、すべての対策に高度な専門知識や多額の費用が必要なわけではありません。IPAの「情報セキュリティ6か条」を出発点に、OS更新の徹底、パスワード管理の見直し、多要素認証の設定、従業員への周知、バックアップ体制づくりなど、できるところから一つずつ進めることがリスクを下げる近道です。
最初から完璧を目指す必要はありません。まずは自社の現状を把握し、優先度の高いリスクから順に対処していくことが大切です。対策を継続的に見直す姿勢そのものが、自社と取引先の安全を守る土台になります。
「何から始めればよいかわからない」「社内だけで対応できるか不安」という場合は、ビズオールにご相談ください。現在のIT環境を確認したうえで、必要な対策を整理し、無理なく進められる方法をご提案します。
【全国対応】お見積り依頼や無料相談は、24時間365日受付中!
お急ぎの方はお電話にてお問い合わせください
0120-843-660受付時間 平日 10:00~18:00
理由
1
メーカー直だから
コスパ抜群
理由
2
月々の保守料金まで
しっかり抑えられる
理由
3
安心の
メーカー+自社メンテ
理由
4
おかげさまで
取引実績5万社以上
理由
5
新規開業や個人事業主の
実績も豊富
理由
6
場所も納期も
柔軟に対応可能
※ 業界最安価格は京セラ製複合機が対象です。他メーカーの複合機も特別価格でご提案いたします。
※ 当社は、京セラ複合機の国内販売台数No.1の実績を持つ一次代理店です。
※ 一部の離島などは対応できない場合がございます。また、納期「2日」は確約ではございません。詳しくはお問い合わせください。
お急ぎの方は、お電話でも承っております。
お見積もり無料!携帯からでもOK!
0120-843-660
通話料無料 受付時間:平日 10:00〜18:00
最短当日回答!
OA機器(コピー機)のプロにお任せください!
無料見積・相談する
0120-843-660
