「うちのような小さな会社が、わざわざ攻撃される理由はない」――もしそう考えているなら、それが今もっとも危険な経営判断かもしれません。
警察庁が公表した2025年のランサムウェア(身代金要求型ウイルス)被害は226件にのぼり、そのうち中小企業が143件と全体の約6割を占めました。被害はもはや大企業だけの問題ではありません。本記事では、不安をあおるためではなく、決裁者が「どこまで備え、どこから先は割り切るか」を冷静に判断するための材料を整理します。技術の詳細ではなく、経営判断の軸として読んでください。
数字で見る現実――「狙われない」前提はすでに崩れている
まず、執筆時点(2026年6月時点)で公開されている警察庁の2025年通年データを正確に押さえます。
・被害報告件数: 226件(前年比+4件)
・中小企業の被害: 143件(全体の約6割)
・大企業の被害: 64件
・団体等の被害: 19件
中小企業が約6割を占めているという事実は、「規模が小さいから狙われない」という前提がすでに崩れていることを示しています。しかも、ここに挙げた226件はあくまで警察に報告された数であり、公表をためらって表に出ていない被害を含めれば、実態はさらに多いと考えるのが自然です。
なぜ中小企業の割合が高いのか。警察庁は、RaaS(サービスとして売買される攻撃ツール。ランサムウェアを作る技術がない者でも攻撃を仕掛けられる仕組み)の裾野が広がり、対策が比較的手薄な中小企業が狙われやすくなっていると分析しています。攻撃側は「どの会社を狙うか」を吟味しているのではなく、「守りが甘い入り口」を機械的に探しているのです。会社の規模や知名度は、狙われるかどうかとほとんど関係がありません。むしろ、対策が手薄なほど狙われやすい、という逆の関係すらあります。
この傾向は単年の偶然ではありません。2025年上半期だけで見ても被害は116件、うち中小企業が77件と約3分の2を占めており、件数・割合ともに過去最多の水準でした。年を追うごとに中小企業の被害が積み上がっている、というのが実態です。「これまで何も起きなかったから今後も大丈夫」という経験則は、攻撃の構図が変わった今では根拠になりません。過去の無事故は、たまたま順番が回ってこなかっただけ、と捉えるほうが安全です。
経営判断の本質は「被害額」より「事業が止まる時間」
ランサムウェアの被害というと身代金の金額に目が向きがちですが、決裁者が本当に向き合うべきは「事業が止まる時間」です。
警察庁データでは、復旧費用について有効回答89件のうち1000万円以上が46件、1億円以上が5件にのぼります。さらに、復旧に1か月以上を要したケースが約4割を占めています。中小企業にとって、1か月の業務停止は資金繰りや取引先との関係に直結する死活問題です。受注が止まり、納品ができず、信用を失う――この連鎖は、身代金の有無にかかわらず会社の存続を揺るがします。
つまり経営判断の軸は「身代金を払うかどうか」ではありません。「事業が何日止まったら自社は持ちこたえられないか」を起点に、その日数以内に復旧できる備えがあるかを問うことです。ここが定まれば、どこまで投資すべきかが見えてきます。
この「許容できる停止日数」は、業種や取引構造によって大きく異なります。日々の受注・出荷で回している会社なら数日でも致命的ですが、月次のまとまった処理が中心の会社なら、もう少し猶予があるかもしれません。まずは自社の場合を具体的な日数で言語化することが、過剰投資も過小投資も避ける第一歩になります。漠然と「とにかく心配だから対策を」と進めると、必要のないところに費用をかけ、肝心の生命線が手薄なまま、という事態になりがちです。数字を起点にすれば、投資の優先順位が自然と定まります。
PR
経営者のための 情報セキュリティQ&A45(北條孝佳/日本経済新聞出版)
元警察庁の技術系職員でサイバー攻撃分析に長く携わった著者が、経営者目線で「何をどう判断すべきか」を一問一答で整理した一冊です。技術ではなく経営判断の軸を持ちたい決裁者の出発点として向いています。
経営者のための判断軸――どこまで備え、どこで割り切るか
すべてのリスクをゼロにすることはできません。決裁者の役割は、限られた予算の中で優先順位を決めることです。次の3つの軸で考えると整理しやすくなります。
1. 「止まったら困る業務」から守る
自社の業務をすべて同じ重さで守る必要はありません。受注・出荷・請求など、止まると即座に売上や信用を失う業務はどれかを特定し、そこを優先的に守ります。すべてを完璧にではなく、事業の生命線から固めるのが、限られた予算での正しい順序です。社内の業務を「止まると即日困る」「数日なら耐えられる」「しばらく止まっても問題ない」の3段階に仕分けるだけでも、どこに予算を集中すべきかが見えてきます。この仕分けは現場の担当者ではなく、事業全体を見渡せる決裁者にしかできません。
2. 「戻せる仕組み」があるかを最優先で確認する
ランサムウェアに対して最も効くのは、攻撃を受けても元に戻せる仕組み、すなわちバックアップです。ただし、バックアップが社内ネットワークにつながったままだと、それごと暗号化される事故が起きます。ネットワークから切り離した場所にも控えを持つ「分離したバックアップ」があるか、そして実際にそこから復旧できるかを試したことがあるか――この2点を必ず確認してください。「バックアップを取っている」と「そこから戻せる」は別物です。実際に被害に遭った会社の中には、バックアップは取っていたものの、それも同じネットワーク上にあったために一緒に暗号化され、結局戻せなかったという例が少なくありません。決裁者が確認すべきは「取っているか」ではなく「攻撃を受けても無事に残り、そこから業務を再開できるか」までです。年に一度でよいので、実際に復旧手順を試す機会を設けることを担当者に指示してください。
3. 「止まったときの段取り」を決めておく
攻撃を受けてから対応を考えるのでは遅すぎます。誰に連絡し、どの業務を手作業に切り替え、取引先にどう伝えるか――この段取りを事前に決めておくのが事業継続計画(BCP)です。警察庁データでは、サイバー攻撃を想定したBCPを策定している企業はわずか18%にとどまります。逆に言えば、ここを決めておくだけで多くの会社より一歩前に出られます。被害に遭った会社の混乱の多くは、「誰が何を判断するか」が決まっていないことから生じます。経営者が不在のときに誰が初動を指揮するか、警察や専門業者にいつ連絡するか、顧客への説明を誰が担うか――こうした役割を1枚の紙にまとめておくだけで、いざというときの動きはまったく変わります。完璧な計画を作る必要はなく、まず最低限の段取りを文書にすることが大切です。
比較表:3つの備えのレベル
自社がどのレベルを目指すかを、経営判断として選ぶための比較表です。
| 項目 | 無防備 | 最低限 | 事業継続まで設計 |
|---|---|---|---|
| バックアップ | なし/社内のみ | 分離した控えあり | 分離+復旧テスト済み |
| 復旧見込み | 不明 | 数日~ | 許容時間内に復旧 |
| 止まったときの段取り | なし | 連絡先のみ | BCPとして文書化 |
| 初期コスト | なし | 小 | 中 |
| 向いている会社 | なし(推奨しない) | 小規模・業務停止に強い | 受注/納品が止められない |
無防備は推奨しません。受注や納品が止められない会社は、迷わず「事業継続まで設計」を選ぶべきです。どこに線を引くかは、先に決めた「何日止まったら持ちこたえられないか」で判断します。
「情報を外に出さない」発想との関係
近年、顧客情報や社内文書を外部のクラウドサービスに預けず、情報を外に出さない社内専用AI(ローカルLLM)を自社内に置く中小企業が増えています。これは「重要な情報を社外に出さない」という発想ですが、ランサムウェア対策にも通じる考え方があります。
それは、「重要なものは自社の管理下に、確実に控えを持つ」という発想です。社内専用AIで情報を内部に保つのと同じように、事業の生命線となるデータは、攻撃を受けても自社で取り戻せる状態にしておく。守る対象が「情報の機密」か「事業の継続」かの違いはありますが、どちらも「自社の重要資産を自分の管理下に置く」という一貫した姿勢の表れです。情報を守る投資と、事業を止めない投資は、別物ではなく地続きだと捉えてください。
PR
中小企業のIT担当者必携 本気のセキュリティ対策ガイド(佐々木伸彦/技術評論社)
専任のIT担当を置けない規模の会社が、バックアップや復旧体制をどう整えるかを実務目線でまとめた一冊です。本記事で触れた「戻せる仕組み」を社内に作りたい会社の具体的な参考になります。
よくある質問
Q. 身代金は払えば解決しますか
払っても復旧できる保証はなく、再び狙われる対象として記録される懸念もあります。警察庁や専門機関も支払いを推奨していません。経営判断としては、払うかどうかを論点にするより、払わずに自社で復旧できる備えを持つことに投資するほうが合理的です。
Q. 小さな会社でも本当に狙われますか
警察庁データで中小企業が被害の約6割を占めている以上、規模は守りの理由になりません。攻撃側は守りの甘い入り口を機械的に探すため、対策が手薄な会社ほど狙われやすいのが実情です。
Q. まず何から手を付ければよいですか
最優先はバックアップの確認です。ネットワークから切り離した控えがあるか、そこから実際に戻せるかを点検してください。その次に、止まったときの連絡・代替手段の段取りを決めます。高価な製品の導入より先に、この2つを固めるのが費用対効果の高い順序です。
Q. BCPは大企業のものではないのですか
規模に関係なく必要です。むしろ予備の人員や拠点が少ない中小企業ほど、止まったときの段取りを決めておく効果は大きくなります。立派な文書である必要はなく、連絡先・代替手段・優先業務を1枚にまとめるだけでも出発点になります。
Q. 取引先から対策状況を聞かれることはありますか
増えています。大手企業が取引先のセキュリティを確認する動きが広がっており、対策の有無が取引継続の条件になる場合があります。自社を守るだけでなく、取引を維持するためにも備えは必要です。
導入前チェックリスト
決裁者が自社・委託先に確認すべき項目です。
・確認1: 「何日業務が止まったら持ちこたえられないか」を数字で把握したか
・確認2: ネットワークから分離したバックアップを持っているか
・確認3: そのバックアップから実際に復旧できるか試したことがあるか
・確認4: 止まったときの連絡先・代替手段・優先業務を決めてあるか
・確認5: 受注・出荷・請求など事業の生命線を優先的に守れているか
・確認6: 取引先からの対策状況の確認に答えられる状態か
本記事のまとめ
警察庁の2025年データで、ランサムウェア被害の約6割を中小企業が占めました。「うちは狙われない」という前提はすでに通用しません。経営判断の軸は身代金の額ではなく、「事業が何日止まったら自社は持ちこたえられないか」です。その日数以内に戻せる仕組み(分離したバックアップと復旧テスト)と、止まったときの段取り(BCP)を備えることが、規模を問わず最も効く対策になります。すべてを完璧に守る必要はありません。事業の生命線から優先的に固める――この判断こそ、決裁者にしかできない仕事です。技術的な作業は担当者や委託先に任せられますが、「自社にとって何が生命線で、どこまで止まりを許容できるか」を決められるのは経営の立場にいる人だけです。今回の数字を「他人事」ではなく「自社の備えを見直す合図」として受け止め、まずはバックアップの確認という小さな一歩から始めてください。
自社のバックアップ体制や、情報を外に出さない社内専用AIの導入を含めた事業継続の備えについて整理したい場合は、お気軽にご相談ください。
事業を止めないための備え・社内専用AI導入のご相談
「バックアップから本当に戻せるか不安」「止まったときの段取りを決めたい」――中小企業の決裁者の視点で、事業継続を守るIT体制づくりをご支援します。初回ヒアリング(60分以内・オンライン)は無料です。
