【2026年最新】IPA「情報セキュリティ10大脅威」を中小企業目線で読み解く
IPA「情報セキュリティ10大脅威 2026」の全体像と、中小企業が特に注意すべきランサムウェア・サプライチェーン攻撃・BECの手口と対策をチェックリスト形式で解説します。
次のIPAの発表によると、2026年1月29日に「情報セキュリティ10大脅威 2026」が公表され、約250名の専門家が審議・投票して決定したランキングが発表されたとのことです。本記事では、この内容を中小企業目線で解説してみます。
| 記事タイトル | 発行メディア | 発行日 |
|---|---|---|
| 情報セキュリティ10大脅威 2026 | IPA 独立行政法人 情報処理推進機構 | 2026年1月29日 |
想定読者
- 中小企業の経営者・IT担当者の方
- 「うちは大企業じゃないから関係ない」と思っている方
- 10大脅威の内容を理解し、明日から対策を始めたい方
この記事で得られること
- IPA「情報セキュリティ10大脅威 2026」の全体像と、中小企業が特に注意すべきポイント
- ランサムウェア・サプライチェーン攻撃・BEC(ビジネスメール詐欺)の具体的な手口
- 明日から始められるチェックリスト形式の対策
- 2026年初選出「AIを悪用したサイバーリスク」への備え
目次
- なぜ中小企業こそ「10大脅威」を読むべきなのか?
- 本記事でピックアップする順序の根拠
- IPA「情報セキュリティ10大脅威 2026」組織編ランキング
- 10大脅威の全体構造を図で理解する
- 【第1位】ランサムウェア攻撃
- 【第2位】サプライチェーン攻撃
- 【第10位】ビジネスメール詐欺(BEC)
- 【第3位】AIの利用をめぐるサイバーリスク
- 明日から始める!セキュリティ対策アクションプラン
- よくある質問(FAQ)
- 【筆者の所感】10大脅威を見て感じたこと
- まとめ
なぜ中小企業こそ「10大脅威」を読むべきなのか?
「うちは大企業じゃないから関係ない」と思っていませんか?
実は、警察庁の調査によると、ランサムウェア被害の過半数は中小企業で発生しています。具体的な防御策は「ランサムウェア被害の5つの防御策」で詳しく解説しています。さらに、2025年12月から急増した「CEO詐欺(社長なりすまし詐欺)」では、東京都内だけで43社が被害に遭い、14社で計6億7,000万円がだまし取られたとの報道もあります。
本記事では、10大脅威の中から中小企業に特に影響の大きい 「ランサムウェア」「サプライチェーン攻撃」「BEC(ビジネスメール詐欺)」 の3つを重点的に解説し、明日から使えるチェックリストをお届けします。
本記事でピックアップする順序の根拠(第1位→第2位→第10位→第3位)
10大脅威は全10項目ありますが、本記事では 第1位・第2位・第10位・第3位 をこの順番で解説します。その根拠は以下の通りです。
| 順番 | 脅威 | 根拠 |
|---|---|---|
| 1番目 | 第1位:ランサムウェア | 11年連続1位の最大脅威。警察庁データでは被害の過半数が中小企業であり、中小企業が最も直面するリスクであるため、最優先で解説します。 |
| 2番目 | 第2位:サプライチェーン攻撃 | 8年連続2位。中小企業が大企業への「踏み台」として狙われる構造を理解することが、自社対策の動機づけになるため、ランサムウェアに次いで解説します。 |
| 3番目 | 第10位:BEC | ランキング順位は10位だが、2025年末から日本国内でCEO詐欺が急増しており、東京都内だけで43社・計6億7,000万円の被害が報道されるなど、時事的な緊急性が高いため、第3位のAIより先に取り上げます。 |
| 4番目 | 第3位:AIの利用をめぐるサイバーリスク | 初選出の新脅威。上記3つ(ランサムウェア・サプライチェーン・BEC)の攻撃を高度化する要因としてAIが関与しており、既存脅威の理解のうえでAIリスクを学ぶ構成としています。 |
IPA「情報セキュリティ10大脅威 2026」組織編ランキング
| 順位 | 脅威名 | 選出状況 |
|---|---|---|
| 1位 | ランサム攻撃による被害 | 11年連続11回目 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 8年連続8回目 |
| 3位 | AIの利用をめぐるサイバーリスク ⚡ | 初選出 |
| 4位 | システムの脆弱性を悪用した攻撃 | 6年連続9回目 |
| 5位 | 機密情報を狙った標的型攻撃 | 11年連続11回目 |
| 6位 | 地政学的リスクに起因するサイバー攻撃 | 2年連続2回目 |
| 7位 | 内部不正による情報漏えい等 | 11年連続11回目 |
| 8位 | リモートワーク等の環境や仕組みを狙った攻撃 | 6年連続6回目 |
| 9位 | DDoS攻撃(分散型サービス妨害攻撃) | 2年連続7回目 |
| 10位 | ビジネスメール詐欺 | 9年連続9回目 |
出典: IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2026」(2026年1月29日公開) https://www.ipa.go.jp/security/10threats/10threats2026.html
2026年版の注目ポイント
- 1位・2位は4年連続で変動なし — ランサムウェアとサプライチェーン攻撃は、依然として最大の脅威
- 3位に「AIの利用をめぐるサイバーリスク」が初選出 — AI時代の新たな脅威が一気にトップ3入り
- 10位のBECは、2025年末から日本国内で被害が急増中 — 中小企業も例外ではない
10大脅威の全体構造を図で理解する
以下のMermaid図で、10大脅威の中から中小企業に特に関係の深い脅威と、それぞれの関連性を示します。
graph TB
subgraph 外部からの攻撃
A[1位: ランサムウェア攻撃]
B[2位: サプライチェーン攻撃]
C[4位: 脆弱性を悪用した攻撃]
D[10位: ビジネスメール詐欺]
end
subgraph AI時代の新脅威
E[3位: AIを悪用したサイバーリスク]
end
subgraph 内部リスク
F[7位: 内部不正]
G[8位: リモートワーク環境の脆弱性]
end
E -->|攻撃の高度化| A
E -->|フィッシング精度向上| D
C -->|侵入経路| A
B -->|取引先経由で侵入| A
G -->|VPN等の脆弱性| C
style A fill:#e74c3c,stroke:#64748b,color:#fff
style B fill:#f39c12,stroke:#64748b,color:#fff
style E fill:#9b59b6,stroke:#64748b,color:#fff
style D fill:#e74c3c,stroke:#64748b,color:#fffポイント: 各脅威は独立しているわけではなく、互いに連鎖しています。たとえば、サプライチェーンの弱い部分からランサムウェアが侵入し、AIが攻撃メールの精度を高める——といった具合に、複合的な攻撃が増えているということです。
【第1位】ランサムウェア攻撃 — 11年連続1位の最大脅威
ランサムウェアとは?(初心者向け解説)
ランサムウェア(Ransomware) とは、「ランサム(Ransom=身代金)」+「ウェア(Software)」を組み合わせた言葉です。パソコンやサーバーに侵入して、ファイルを暗号化(=読めない状態にする)し、「元に戻してほしければお金を払え」と要求するコンピュータウイルスの一種ということですね。
最新の手口:「二重脅迫型」が主流に
近年のランサムウェアは、単にファイルを暗号化するだけでなく、「二重脅迫型(ダブルエクストーション)」 が主流になっています。
flowchart TB
A[攻撃者が<br>ネットワークに侵入] --> B[機密データを<br>外部にコピー]
B --> C[ファイルを<br>暗号化]
C --> D{身代金を<br>要求}
D -->|払わない場合| E[盗んだデータを<br>ネット上に公開]
D -->|払った場合| F[復号キーを渡す<br>※保証なし]
style A fill:#e74c3c,stroke:#64748b,color:#fff
style E fill:#e74c3c,stroke:#64748b,color:#fffつまり、「ファイルを使えなくする」と「盗んだデータをバラす」の二重で脅迫されるのです。
中小企業での被害ユースケース
ケース1:製造業A社(従業員50名) VPN装置(社外から社内ネットワークに接続するための装置)のソフトウェアを更新していなかったため、攻撃者がその脆弱性(=セキュリティ上の弱点)を突いて侵入。社内の設計図データが暗号化され、納品が2か月遅延。取引先からの信頼を大きく損なったという事例です。
ケース2:小売業B社(従業員30名) 従業員がフィッシングメール(偽サイトに誘導するメール)のリンクをクリックし、ランサムウェアに感染。POSシステム(レジ管理システム)のデータが暗号化され、3日間営業停止に。
ケース3:会計事務所C社(従業員15名) リモートデスクトップ(遠隔でパソコンを操作するサービス)のパスワードが簡易的だったため、攻撃者が不正ログイン。顧客企業の財務データが外部に持ち出され、二重脅迫を受けたケースです。
主な侵入経路
警察庁の調査によると、ランサムウェアの侵入経路の上位は次の通りです。
pie title ランサムウェア主要侵入経路
"VPN機器の脆弱性" : 47
"リモートデスクトップ" : 36
"フィッシングメール" : 10
"その他" : 7VPN機器とリモートデスクトップだけで80%以上を占めています。 ここを押さえることが最優先ということですね。VPNの脆弱性対策に加え、VPNそのものから脱却してゼロトラスト型のリモートアクセスへ移行する方法は「VPN脱却ガイド ── SASE/SSEで実現するセキュアなリモートアクセス」で詳しく解説しています。
✅ ランサムウェア対策チェックリスト
| # | 対策項目 | 対象 | 難易度 | チェック |
|---|---|---|---|---|
| 1 | VPN機器・ルーターのファームウェア(内蔵ソフト)を最新版に更新する | IT担当 | ★☆☆ | ☐ |
| 2 | リモートデスクトップのパスワードを12文字以上の複雑なものに変更する | 全員 | ★☆☆ | ☐ |
| 3 | 多要素認証(MFA:パスワード+スマホ認証など二段階の認証)を導入する | IT担当 | ★★☆ | ☐ |
| 4 | 重要データのバックアップを「3-2-1ルール」で実施する(後述) | IT担当 | ★★☆ | ☐ |
| 5 | 不要なリモートアクセスポート(外部からの接続口)を閉じる | IT担当 | ★★☆ | ☐ |
| 6 | ウイルス対策ソフトを最新状態に保つ | 全員 | ★☆☆ | ☐ |
| 7 | 不審なメールの添付ファイルやリンクを開かない教育を実施する | 全員 | ★☆☆ | ☐ |
| 8 | インシデント対応計画(被害時の連絡先・手順)を作成する | 経営者 | ★★★ | ☐ |
被害発生時の初動対応については「インシデント対応マニュアルの作り方」でテンプレート付きで解説しています。体制づくり(誰が対応するか)については「中小企業のCSIRT構築ガイド」もあわせてご参照ください。
💡 「3-2-1ルール」とは?
バックアップの基本ルールで、以下を守ることでデータ消失リスクを大幅に低減できます。
- 3: データのコピーを3つ持つ(元データ+バックアップ2つ)
- 2: 2種類以上の異なる記録媒体に保存する(例:社内サーバー+外付けHDD)
- 1: 1つはオフサイト(社外・クラウドなど物理的に離れた場所)に保管する
特に重要なのは、バックアップをネットワークから切り離して保管することです。 ネットワーク上にあるバックアップは、ランサムウェアによって一緒に暗号化されてしまうリスクがあります。
【第2位】サプライチェーン攻撃 — 中小企業が「踏み台」にされる時代
サプライチェーン攻撃とは?(初心者向け解説)
サプライチェーン攻撃 とは、セキュリティ対策が手薄な取引先や委託先(=サプライチェーン上の弱い部分)を最初に攻撃し、そこを「踏み台」にして、本来のターゲット企業に侵入する攻撃手法です。
つまり、「大企業を直接攻撃するのは難しいから、セキュリティの甘い取引先の中小企業から入ろう」 という発想ということですね。
攻撃の流れ
flowchart TD
A[攻撃者] -->|1. セキュリティの弱い<br>中小企業を攻撃| B[中小企業<br>取引先・委託先]
B -->|2. 社内ネットワークに侵入<br>メールアカウントを乗っ取り| C[中小企業の<br>メール・システム]
C -->|3. 正規のメールを装い<br>大企業にアクセス| D[大企業<br>発注元]
D -->|4. 大企業のネットワークに<br>侵入・情報窃取| E[機密情報・顧客データ<br>の流出]
B -.->|中小企業自身も<br>被害を受ける| F[業務停止<br>信用失墜<br>損害賠償]
style A fill:#e74c3c,stroke:#64748b,color:#fff
style F fill:#f39c12,stroke:#64748b,color:#fff中小企業での被害ユースケース
ケース1:IT保守委託先D社(従業員20名) 大企業のシステム保守を受託していたD社のVPN経由で攻撃者が侵入。D社のアカウントを使って大企業のネットワークにアクセスされ、顧客データが流出。D社は損害賠償請求を受けるとともに、契約を打ち切られたという事例です。
ケース2:部品製造業E社(従業員80名) E社がランサムウェアに感染し、部品の出荷が停止。E社の部品を使っていた自動車メーカーの工場が稼働停止に追い込まれ、サプライチェーン全体に甚大な影響を与えました。
ケース3:SaaS利用企業F社(従業員40名) F社が利用していたクラウドサービス(SaaS)がサイバー攻撃を受け、F社を含む多数の顧客企業のデータが流出。F社自身のセキュリティには問題がなかったが、利用サービスの脆弱性から被害を受けたケースです。
なぜ中小企業が狙われるのか
graph TB
A[大企業] -->|強固な<br>セキュリティ| B[攻撃者にとって<br>突破が困難]
C[中小企業] -->|セキュリティ投資が<br>不十分な場合が多い| D[攻撃者にとって<br>侵入しやすい]
D -->|取引関係を悪用| A
style C fill:#f39c12,stroke:#64748b,color:#fff
style D fill:#e74c3c,stroke:#64748b,color:#fff調査によれば、約58%の企業が取引先に起因するセキュリティインシデントを経験しているというデータもあります。中小企業のセキュリティ対策は、自社だけでなく取引先全体を守ることにつながるということですね。セキュリティ投資の負担を抑えたい場合は「サイバーセキュリティ対策の補助金ガイド」で補助金の活用方法を確認してみてください。
✅ サプライチェーン攻撃対策チェックリスト
| # | 対策項目 | 対象 | 難易度 | チェック |
|---|---|---|---|---|
| 1 | 取引先・委託先との間でセキュリティ要件を契約に明記する | 経営者 | ★★☆ | ☐ |
| 2 | 委託先に預けるデータの範囲を必要最小限にする | 経営者 | ★★☆ | ☐ |
| 3 | 利用しているクラウドサービスのセキュリティ対策状況を確認する | IT担当 | ★★☆ | ☐ |
| 4 | 委託先とのデータ連携ルート(接続方法)を定期的に見直す | IT担当 | ★★★ | ☐ |
| 5 | インシデント発生時の連絡体制を取引先と事前に合意する | 経営者 | ★★☆ | ☐ |
| 6 | 自社が利用するソフトウェアを定期的にアップデートする | IT担当 | ★☆☆ | ☐ |
| 7 | 取引先からの不審なメール・依頼にはメール以外の手段で確認する | 全員 | ★☆☆ | ☐ |
【第10位】ビジネスメール詐欺(BEC)— 2025年末から日本で急増
BECとは?(初心者向け解説)
BEC(Business Email Compromise:ビジネスメール詐欺) とは、企業の経営者や取引先になりすまして偽のメールを送り、不正な送金をさせる詐欺です。「企業版オレオレ詐欺」とも呼ばれています。
一般的なフィッシングメール(無差別にばらまかれるもの)とは異なり、BECは ターゲット企業を事前に調査し、取引内容や人間関係を把握した上で、巧妙ななりすましメールを送る という特徴があります。
2025年末~2026年の最新動向:「CEO詐欺」が急増
2025年12月頃から、日本国内で社長・代表取締役になりすますタイプの「CEO詐欺」が急増しています。業種を問わず、病院、銀行、IT企業、メディアなど多くの組織が被害に遭っています。
攻撃の特徴として、AIを活用して企業情報をWebから自動収集し、大量のなりすましメールを送信していることが指摘されているようです。
BECの主な手口
flowchart TD
subgraph 手口1: CEO詐欺
A1[攻撃者が社長に<br>なりすます] --> A2[経理担当に<br>緊急送金を指示]
A2 --> A3[至急・秘密厳守<br>のプレッシャー]
end
subgraph 手口2: 取引先なりすまし
B1[取引先の担当者に<br>なりすます] --> B2[振込先口座の<br>変更を依頼]
B2 --> B3[偽の請求書を<br>送付]
end
subgraph 手口3: メールアカウント乗っ取り
C1[メールアカウントを<br>ハッキング] --> C2[本人のアドレスから<br>偽の指示を送信]
C2 --> C3[受信者は<br>本物と信じてしまう]
end
style A1 fill:#e74c3c,stroke:#64748b,color:#fff
style B1 fill:#f39c12,stroke:#64748b,color:#fff
style C1 fill:#9b59b6,stroke:#64748b,color:#fff中小企業での被害ユースケース
ケース1:商社G社(従業員25名) 海外取引先を装ったメールで「振込先口座が変わりました」と連絡が来た。普段からやり取りしている相手のメールアドレスに酷似しており、経理担当が気づかず約500万円を振り込んでしまったという事例です。
ケース2:建設業H社(従業員60名) 社長名義で「機密案件のため、至急100万円を指定口座に振り込むように。他の人には言わないで」というメールが経理部長に届いた。社長に電話で確認したところ、送っていないと判明し、被害を免れました。
ケース3:不動産業I社(従業員10名) 取引先の弁護士を名乗る人物からメールが届き、不動産取引の決済金の振込先変更を依頼された。正規の弁護士に電話確認して偽メールと判明したが、もし確認していなければ数千万円の被害になるところだったケースです。
BECメールの見分け方
| チェックポイント | 詐欺メールの特徴 |
|---|---|
| 送信元アドレス | 正規アドレスと微妙に違う(例:@company.com → @c0mpany.com、@cornpany.com) |
| 件名・本文 | 「至急」「秘密厳守」「他の人には言わないで」など、緊急性と秘密性を強調 |
| 振込先 | 普段と異なる口座への変更を依頼 |
| 連絡手段 | 電話やFAXでの確認を避けようとする(「メールのみで対応してください」) |
| 文面 | 以前と文体や敬語の使い方が微妙に異なる |
✅ BEC対策チェックリスト
| # | 対策項目 | 対象 | 難易度 | チェック |
|---|---|---|---|---|
| 1 | 振込先変更の依頼は、必ずメール以外の手段(電話等)で本人に確認する | 全員 | ★☆☆ | ☐ |
| 2 | 確認時は、メールに記載の電話番号ではなく、名刺や自分のアドレス帳の番号を使う | 全員 | ★☆☆ | ☐ |
| 3 | 一定金額以上の送金は、ダブルチェック(複数人の承認)を必須にする | 経営者 | ★★☆ | ☐ |
| 4 | 送信元メールアドレスを必ず確認する(似た文字の置換に注意) | 全員 | ★☆☆ | ☐ |
| 5 | 「至急」「秘密厳守」などの文言があるメールは特に警戒する | 全員 | ★☆☆ | ☐ |
| 6 | メールアカウントに多要素認証(MFA)を設定する | IT担当 | ★★☆ | ☐ |
| 7 | 不審なメールを受け取った際の社内報告ルールを整備する | 経営者 | ★★☆ | ☐ |
| 8 | BECの最新手口について、定期的に社内で情報共有する | 全員 | ★☆☆ | ☐ |
【第3位】AIの利用をめぐるサイバーリスク — 初選出の新脅威
概要
2026年版で初めて選出され、いきなり3位にランクインしたのが「AIの利用をめぐるサイバーリスク」です。AIは業務効率化を大きく進めてくれる一方で、攻撃者にとっても強力な武器になっているということですね。AIを安全に業務活用するためのルール整備は「生成AI利用ガイドラインの作り方」、AIエージェント導入を検討している場合は「AIエージェント導入前のセキュリティ対策」もあわせてご参照ください。
AI関連リスクの3つの側面
graph TD
A[AIの利用をめぐる<br>サイバーリスク] --> B[利用者としてのリスク]
A --> C[攻撃の高度化リスク]
A --> D[データ・プライバシーリスク]
B --> B1[機密情報をAIに<br>入力してしまう]
B --> B2[AIの生成結果を<br>鵜呑みにしてしまう]
C --> C1[フィッシングメールの<br>文面が巧妙化]
C --> C2[ディープフェイク<br>音声・動画での詐欺]
C --> C3[脆弱性発見の<br>自動化]
D --> D1[学習データからの<br>情報漏えい]
D --> D2[AIサプライチェーンの<br>脆弱性]
style A fill:#9b59b6,stroke:#64748b,color:#fff
style C1 fill:#e74c3c,stroke:#64748b,color:#fff
style C2 fill:#e74c3c,stroke:#64748b,color:#fff中小企業での具体的リスク
リスク1:AIに機密情報を入力 従業員が業務効率化のために、顧客データや契約情報をAIチャットサービスに入力。そのデータがAIの学習に利用され、他のユーザーへの回答に含まれてしまう可能性があるということです。
リスク2:AIが作成したフィッシングメール 従来のフィッシングメールは不自然な日本語が多く、比較的見抜きやすいものでした。しかし、AIの活用により、自然な日本語で、取引先の文体を模倣したメールが大量に生成されるようになっています。
リスク3:ディープフェイクによるなりすまし AIで社長の音声を模倣し、電話で送金指示をする手口も海外で報告されています。今後、日本語での被害も増加が懸念されます。
✅ AI関連リスク対策チェックリスト
| # | 対策項目 | 対象 | 難易度 | チェック |
|---|---|---|---|---|
| 1 | AI利用に関する社内ルール(ポリシー)を策定する | 経営者 | ★★☆ | ☐ |
| 2 | AIに入力してよい情報・入力してはいけない情報を明確にする | 全員 | ★☆☆ | ☐ |
| 3 | AIの生成結果は必ず人間が確認・検証してから使用する | 全員 | ★☆☆ | ☐ |
| 4 | フィッシングメールが巧妙化していることを全社員に周知する | 経営者 | ★☆☆ | ☐ |
| 5 | 電話やビデオでの送金指示も、別ルートで本人確認する習慣をつける | 全員 | ★★☆ | ☐ |
明日から始める!セキュリティ対策アクションプラン
すべての対策を一度に行うのは現実的ではありません。以下の優先順位で、段階的に取り組みましょう。
ステップ1:今週中に実施(コストゼロ・すぐできる)
- ☐ VPN機器・ルーターのファームウェアが最新か確認する
- ☐ リモートデスクトップのパスワードを複雑なものに変更する
- ☐ 「振込先変更はメール以外で確認」を全社員に周知する
- ☐ AI利用時に入力してはいけない情報(顧客名、契約金額等)をリスト化する
ステップ2:今月中に実施(少しの時間投資)
- ☐ メールアカウント・VPNに多要素認証(MFA)を導入する
- ☐ 重要データのバックアップ体制を「3-2-1ルール」に沿って見直す
- ☐ 一定金額以上の送金にダブルチェック(複数承認)ルールを導入する
- ☐ 不審メールの社内報告ルールを決める
ステップ3:今四半期中に実施(組織的な取り組み)
- ☐ セキュリティポリシー(AI利用ルール含む)を策定・更新する
- ☐ 全社員向けセキュリティ研修を実施する(フィッシングメール訓練等。詳細は「セキュリティ教育の年間計画の作り方」を参照)
- ☐ 取引先とのセキュリティ要件・インシデント対応の連絡体制を整備する
- ☐ インシデント対応計画を作成する
- ☐ 外部機関(IPA「セキュリティプレゼンター」等)にセキュリティ対策を評価してもらう
最新のセキュリティトレンドを把握したい方は「Gartner 2026年セキュリティトレンド」、補助金を活用した対策の始め方は「サイバーセキュリティ対策の補助金ガイド」をご覧ください。
よくある質問(FAQ)
Q1. うちは小さい会社だけど、本当にサイバー攻撃のターゲットになるの?
A. はい、なります。警察庁の調査では、ランサムウェア被害の半数以上が中小企業です。また、サプライチェーン攻撃では、大企業への侵入口として中小企業が狙われるケースが増えています。「小さいから大丈夫」ではなく、「小さいからこそ狙われる」時代になっているということですね。
Q2. セキュリティ対策にどれくらいの費用をかけるべき?
A. まずは費用ゼロでできる対策から始めましょう。パスワードの強化、ソフトウェアの更新、社員教育など、お金をかけなくても効果の高い対策はたくさんあります。その上で、IT投資予算の一部をセキュリティに充てることを検討してみてください。セキュリティ対策は「費用」ではなく「投資」です。補助金を活用する方法は「サイバーセキュリティ対策の補助金ガイド」で解説しています。被害に遭った場合の損失(業務停止、信用失墜、損害賠償)と比較すれば、予防にかけるコストは十分に合理的かと思います。
Q3. 身代金を要求されたら、払うべき?
A. 原則として払うべきではありません。身代金を払ってもデータが復元される保証はなく、再び攻撃される可能性もあります。また、資金がサイバー犯罪組織に渡ることで、さらなる犯罪を助長することにもなります。まずは日頃からバックアップを取り、万が一の際に復旧できる体制を整えることが最善です。被害に遭った場合は、速やかに警察と専門機関(IPA等)に相談してください。
Q4. セキュリティ対策をすると業務効率が落ちるのでは?
A. トレードオフの関係はあります。多要素認証の導入でログインにひと手間増える、データのアクセス権限を絞ることで柔軟性が下がる、といった面は確かにあります。大切なのは、経営者が「どこまで対策するか」を判断し、バランスを取ることです。すべてを完璧に防ぐことは不可能ですので、リスクの大きさと対策コスト(手間含む)を天秤にかけて、優先順位をつけていただけたらと思います。
Q5. 社員のセキュリティ意識が低い場合、どうすればいい?
A. 継続的な啓蒙活動が必要です。一度の研修だけでは効果は持続しません。月1回のセキュリティニュース共有、四半期ごとのフィッシングメール訓練、不審メール報告の「ヒヤリハット共有会」など、日常業務に組み込む形で意識を維持してみましょう。セキュリティは「一人でもルールを守らない人がいると、会社全体に被害が広がる」性質を持っています。全員参加が不可欠ということですね。年間計画の具体的な立て方は「セキュリティ教育の年間計画の作り方」でテンプレート付きで解説しています。
Q6. 外部のセキュリティ支援を受けるにはどうすればいい?
A. まずはIPAの「中小企業の情報セキュリティ」ページを確認してください。IPAでは、中小企業向けのガイドラインやツール、相談窓口を提供しています。また、「SECURITY ACTION」制度で自社のセキュリティ対策の自己宣言を行うこともできます。地域の商工会議所や自治体が提供するIT・セキュリティ支援制度も活用してみてください。第三者にセキュリティ対策を評価してもらうことで、自社では気づけない弱点を発見できるかと思います。
【筆者の所感】10大脅威を見て感じたこと
最後に、今年の10大脅威を見て感じたことをお伝えします。
AIは「攻めの武器」であり「守りの課題」でもある
AIで業務効率化や利便性が向上する一方で、攻撃者もAIを武器にしています。たとえば、以前は不自然な日本語で見抜けたフィッシングメールが、AIの力によって本物と見分けがつかないレベルになりつつあります。AIを「使う側」としてだけでなく、「AIを悪用した攻撃から守る側」としても考える必要があると感じました。
セキュリティは「全員参加」の経営課題
サイバー攻撃は、たった一人の不注意から会社全体に広がります。いくら高価なセキュリティ製品を導入しても、一人の社員がフィッシングメールのリンクをクリックすれば、すべてが台無しになりかねません。セキュリティ対策は、IT部門だけの仕事ではなく、全社員で取り組む経営課題だと思います。継続的にセキュリティ意識を啓蒙していくことが必要不可欠ですね。
中小企業もターゲットになっている現実
サプライチェーン攻撃の増加によって、「うちは中小だから関係ない」という時代は完全に終わったと思います。**むしろ、大企業より対策が手薄な中小企業こそ、攻撃者にとって「入りやすい入り口」**なのです。自社を守ることが、取引先全体を守ることにつながるということですね。
完璧な防御はない。だからこそ経営者の判断が重要
セキュリティ対策には、どこまでやっても「100%安全」はありません。また、対策を強化すればするほど、利便性の低下や業務の手間が増えるというトレードオフがあります。このバランスを最終的に判断するのは経営者の責任だと思います。「どの情報を、どこまで守るか」「どのリスクを許容するか」を明確にし、優先順位をつけて対策を進めていただけたらと思います。
セキュリティは「費用」ではなく「投資」
セキュリティ対策にかけるお金は、一見すると利益を生まない「費用」に見えるかもしれません。しかし、実際には 「事業の継続性」「取引先からの信頼」「顧客情報の保護」を守るための投資 だと思います。サイバー攻撃による被害額は、対策費用の何十倍にもなることがあります。事後に後悔するのではなく、積極的にセキュリティ投資に取り組んでいただきたいと思います。
第三者の目を入れることが大切
自社だけでセキュリティ対策を進めていると、どうしても「見落とし」が生まれます。外部機関(IPA、地域の情報セキュリティ支援機関、セキュリティ専門企業など)に第三者チェックとして評価してもらうこと を強くお勧めします。行政や業界団体が提供する中小企業向けの無料・低価格のセキュリティ診断サービスもありますので、ぜひ活用してみてください。
まとめ:中小企業経営者が今すぐ意識すべき3つのこと
本記事の内容をまとめると、こんな感じになります。
- 「うちは関係ない」はもう通用しない — サプライチェーン攻撃やAI悪用により、中小企業もサイバー攻撃の最前線にいます。
- まずはコストゼロの対策から始める — パスワード強化、ソフトウェア更新、送金時のルール整備など、今日からできることを確実に実行しましょう。
- セキュリティは経営者自らがリードする — 全社員の意識を高め、投資としてセキュリティに取り組む姿勢が、会社の存続と成長を守ります。
以上となります。
最後まで読んでいただき、ありがとうございました。
参考: IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2026」、2026年1月29日