中小企業は日本経済の基盤であり、多くの雇用を支えています。しかし、サイバー攻撃の脅威に対して十分な対策を取れていない企業も少なくありません。本章では、限られたリソースの中で中小企業が実践できるランサムウェア対策について包括的に解説します。
中小企業がランサムウェアに狙われる理由
「大企業ではないから狙われない」という考えは危険です。実際には、中小企業こそがランサムウェア攻撃の主要な標的となっています。
被害実態
警察庁の調査によると、2023年のランサムウェア被害報告件数197件のうち、中小企業が102件(約52%)を占めています。この数字は、中小企業がいかに狙われているかを示しています。
また、被害に遭った中小企業の中には、復旧に1か月以上を要したケース、復旧費用が1,000万円を超えたケース、そして廃業に追い込まれたケースも報告されています。
狙われる理由
- セキュリティ対策の手薄さ
- 大企業と比較して、セキュリティへの投資が十分でない場合が多い。専任のIT担当者がいない企業も多く、対策が後回しになりがち
- 「狙われない」という誤解
- 「うちは小さいから狙われない」という誤解から対策を怠り、結果的に脆弱な状態が放置される
- サプライチェーンの一部として
- 大企業への攻撃の踏み台として、取引先である中小企業が狙われることがある。サプライチェーン攻撃の増加
- 身代金支払いへの期待
- 事業継続のために身代金を支払う可能性が高いと見なされ、攻撃対象になりやすい
低コストで実践できる対策10選
限られた予算の中でも効果的なセキュリティ対策は可能です。費用対効果の高い対策を優先的に実施しましょう。
対策一覧
| 順位 | 対策項目 | コスト | 効果 | 難易度 |
|---|---|---|---|---|
| 1 | バックアップのオフライン化 | 数千円〜 | ★★★★★ | 低 |
| 2 | OSおよびソフトウェアの更新 | 無料 | ★★★★★ | 低 |
| 3 | パスワード管理の強化 | 無料〜数百円/月 | ★★★★☆ | 低 |
| 4 | ウイルス対策ソフトの導入・更新 | 年間数千円/台〜 | ★★★★☆ | 低 |
| 5 | VPN機器のパッチ適用 | 無料〜数万円 | ★★★★★ | 中 |
| 6 | 従業員向けセキュリティ教育 | 無料〜数万円 | ★★★★☆ | 低 |
| 7 | 不要なサービス・ポートの停止 | 無料 | ★★★☆☆ | 中 |
| 8 | 管理者権限の制限 | 無料 | ★★★★☆ | 中 |
| 9 | ファイアウォールの設定見直し | 無料 | ★★★☆☆ | 中 |
| 10 | インシデント対応計画の策定 | 無料(人件費) | ★★★☆☆ | 中 |
各対策の詳細
- 1. バックアップのオフライン化
- 最も重要な対策。重要データを定期的にバックアップし、ネットワークから切り離した状態(外付けHDD、USBメモリなど)で保管する。クラウドバックアップも有効だが、オフラインバックアップと併用することが望ましい。詳細はバックアップ戦略を参照
- 2. OSおよびソフトウェアの更新
- Windows Update、アプリケーションの更新を確実に実施する。多くのランサムウェアは既知の脆弱性を悪用するため、更新だけで防げる攻撃も多い。自動更新の設定を有効にしておく
- 3. パスワード管理の強化
- 推測されやすいパスワードの禁止、使い回しの禁止、定期的な変更を徹底する。可能であれば多要素認証を導入する。パスワードマネージャーの活用も有効
- 4. ウイルス対策ソフトの導入・更新
- 全PCにウイルス対策ソフトを導入し、定義ファイルを常に最新に保つ。Windows標準のWindows Defenderでも基本的な保護は可能
- 5. VPN機器のパッチ適用
- VPN機器の脆弱性を突いた攻撃が急増している。メーカーが公開するパッチを確認し、速やかに適用する。古い機器は更新または交換を検討する
- 6. 従業員向けセキュリティ教育
- フィッシングメールの見分け方、不審な添付ファイルへの対応、パスワード管理など、基本的なセキュリティ意識を全従業員に教育する
- 7. 不要なサービス・ポートの停止
- 使用していないサービスやポートを停止し、攻撃対象となりうる面を減らす。特にRDP(リモートデスクトップ)は、使用しない場合は無効化する
- 8. 管理者権限の制限
- 日常業務に管理者権限は不要。通常は一般ユーザー権限で作業し、管理者権限は必要な時だけ使用する。不正アクセスや権限昇格の被害を軽減する
- 9. ファイアウォールの設定見直し
- ルータのファイアウォール設定を確認し、不要な通信をブロックする。外部からの不要なアクセスを遮断する
- 10. インシデント対応計画の策定
- 万が一被害を受けた場合の対応手順を事前に定めておく。連絡先リスト、初動対応手順、バックアップからの復旧手順などを文書化する
IT担当者不在でも始められる対策
多くの中小企業にはIT専任者がいません。しかし、専門知識がなくても始められる対策はあります。
すぐに実施できること
- Windows Updateの自動化
- 各PCの設定で、Windows Updateを自動的にインストールする設定を有効にする。[設定] → [更新とセキュリティ] → [Windows Update] で確認できる
- 強固なパスワードの設定
- 全従業員に、12文字以上の複雑なパスワードを設定させる。名前や生年月日など推測されやすいものは禁止する
- 重要データのバックアップ
- 週に1回、重要なファイルを外付けHDDにコピーし、USBケーブルを抜いて保管する。これだけでも、ランサムウェア被害時のデータ復旧に役立つ
- 不審メールへの注意喚起
- 「不審なメールの添付ファイルは開かない」「リンクは安易にクリックしない」という基本ルールを全従業員に周知する
チェックリスト
| 項目 | 確認内容 | チェック |
|---|---|---|
| Windows Update | 自動更新が有効になっているか | □ |
| ウイルス対策 | ウイルス対策ソフトが有効で最新か | □ |
| パスワード | 推測されにくいパスワードを使用しているか | □ |
| バックアップ | 重要データを定期的にバックアップしているか | □ |
| バックアップ保管 | バックアップをオフラインで保管しているか | □ |
| 不審メール | 不審メールへの対応ルールを周知しているか | □ |
| 退職者対応 | 退職者のアカウントを速やかに削除しているか | □ |
無料で使えるセキュリティツール
予算に制約がある中小企業でも、無料または低コストで利用できるセキュリティツールがあります。
無料ツール一覧
| カテゴリ | ツール名 | 概要 |
|---|---|---|
| ウイルス対策 | Windows Defender | Windows標準搭載。基本的な保護を提供 |
| パスワード管理 | Bitwarden(無料版) | パスワードの安全な管理・生成 |
| バックアップ | Windows標準バックアップ | ファイル履歴機能でバックアップ |
| 脆弱性診断 | IPA 脆弱性対策情報 | 最新の脆弱性情報を確認 |
| フィッシング対策 | フィッシング対策協議会 | フィッシング事例の確認 |
活用のポイント
- Windows Defenderの活用
- Windows 10/11に標準搭載されているWindows Defenderは、基本的なマルウェア対策として十分な機能を持つ。有料のウイルス対策ソフトを導入する予算がない場合は、まずWindows Defenderを有効にし、定義ファイルを最新に保つことが重要
- クラウドバックアップの活用
- Google Drive、OneDrive、Dropboxなどのクラウドストレージサービスには、無料プランがある。容量に制限はあるが、最も重要なファイルのバックアップには活用できる
- 情報収集
- IPA(情報処理推進機構)、JPCERT/CCなどの公的機関が、最新の脅威情報、対策情報を無料で公開している。定期的にチェックすることで、最新の脅威に備えられる
外部サービスの選び方
自社だけで対策を行うことが難しい場合、外部のセキュリティサービスを活用する選択肢があります。
サービスの種類
- マネージドセキュリティサービス(MSS)
- セキュリティ監視、インシデント対応などを外部に委託するサービス。24時間365日の監視を自社で行うのは困難なため、MSSの活用は有効
- クラウドバックアップサービス
- データを安全にクラウド上にバックアップするサービス。オフサイトバックアップとして機能し、ランサムウェア対策に有効
- UTM(統合脅威管理)サービス
- ファイアウォール、ウイルス対策、不正侵入検知などの機能を統合したアプライアンスをレンタルで利用できるサービス
- サイバー保険
- サイバー攻撃による損害を補填する保険。万が一の際の経済的負担を軽減できる。詳細はサイバー保険の活用を参照
選定のポイント
| 確認項目 | 内容 |
|---|---|
| 費用 | 月額費用、初期費用、追加費用の有無を確認 |
| 対応範囲 | 監視のみか、インシデント対応まで含むか |
| 対応時間 | 24時間対応か、営業時間内のみか |
| サポート | 日本語サポートの有無、問い合わせ方法 |
| 契約期間 | 最低契約期間、解約条件 |
| 実績 | 同規模・同業種での導入実績 |
取引先からのセキュリティ要求への対応
近年、大企業が取引先に対してセキュリティ対策を求めるケースが増えています。サプライチェーン全体でのセキュリティ強化の流れです。
求められる対策の例
- セキュリティチェックシートへの回答
- 取引先から送付されるセキュリティに関するチェックシートに回答を求められる。対策状況を正確に把握し、回答する必要がある
- 特定の対策の実施
- ウイルス対策ソフトの導入、データの暗号化、アクセス制御など、特定の対策の実施を求められることがある
- セキュリティ認証の取得
- ISMS認証(ISO 27001)、Pマークなどの認証取得を求められる場合がある
対応のポイント
- 現状の把握
- まず自社のセキュリティ対策状況を把握する。チェックシートに正確に回答するためにも、現状把握が出発点
- 優先順位を付けた対応
- すべての対策を一度に実施することは困難。取引先の要求を確認し、優先度の高いものから対応する
- 相談・交渉
- 対応が困難な要求については、取引先と相談・交渉する。代替案の提示や、対応期限の調整など、現実的な落としどころを探る
被害を受けた場合の対応
万が一ランサムウェア被害を受けた場合、迅速かつ適切な対応が重要です。
初動対応
- ネットワークからの切り離し
- 感染が疑われる端末をすぐにネットワークから切り離す。LANケーブルを抜く、Wi-Fiを無効にするなど。被害の拡大を防ぐ
- 状況の記録
- 画面のスクリーンショット、発生時刻、感染端末の情報などを記録する。後の調査に役立つ
- 専門家への連絡
- セキュリティベンダー、システム管理会社など、専門家に連絡する。自社だけで対応しようとせず、早期に専門家の支援を受ける
相談先
| 相談先 | 連絡先 | 内容 |
|---|---|---|
| 警察(サイバー犯罪相談) | #9110 または最寄りの警察署 | 被害届の提出、捜査協力 |
| IPA | 03-5978-7509 | 技術的な相談、情報提供 |
| JPCERT/CC | https://www.jpcert.or.jp/ | インシデント報告、情報共有 |
| 消費生活センター | 188 | 被害相談 |
詳細は被害時の対応を参照してください。
よくある質問(FAQ)
- Q: 本当に小さな会社でも狙われるのですか?
- A: はい、狙われます。警察庁の統計では、ランサムウェア被害の約半数が中小企業で発生しています。攻撃者は、セキュリティ対策が手薄で、かつ事業継続のために身代金を支払う可能性が高い企業を狙います。「小さいから狙われない」という考えは危険です。また、大企業のサプライチェーンの一部として、取引先である中小企業が狙われるケースも増えています。
- Q: セキュリティ対策にかけられる予算がありません
- A: 予算がなくても始められる対策はあります。Windows Updateの実施、パスワード管理の強化、重要データのオフラインバックアップ、従業員への注意喚起——これらは無料または低コストで実施できます。まずは、費用対効果の高い基本対策から始めてください。「予算がないから何もしない」のではなく、「できることから始める」姿勢が重要です。
- Q: IT担当者がいないのですが、どうすればよいですか?
- A: IT専任者がいなくても、基本的な対策は実施できます。Windows Updateの自動化、パスワードの強化、バックアップの実施などは、専門知識がなくても対応可能です。より高度な対策については、外部のITサポートサービスやマネージドセキュリティサービスの活用を検討してください。また、IPAなどの公的機関が公開している情報を参考にすることもできます。
- Q: バックアップさえあれば大丈夫ですか?
- A: バックアップは最も重要な対策の一つですが、それだけでは不十分です。バックアップがあればデータの復旧は可能ですが、業務停止による損失、復旧にかかる時間と費用、情報漏洩のリスク(二重恐喝型の場合)などは防げません。バックアップは「被害を受けた後の復旧手段」であり、「被害を防ぐ対策」と組み合わせることが重要です。
- Q: サイバー保険に入っていれば安心ですか?
- A: サイバー保険は万が一の際の経済的負担を軽減しますが、それだけで安心とは言えません。保険は被害発生後の損害を補填するものであり、被害そのもの(業務停止、データ喪失、信用失墜など)を防ぐことはできません。また、多くの保険は、一定のセキュリティ対策を講じていることを加入条件としています。保険は対策の一部として位置づけ、予防策と組み合わせて活用することが重要です。
まとめ
中小企業へのランサムウェア攻撃は、業務停止、データ喪失、信用失墜という深刻な事態を招き、最悪の場合は廃業につながることもあります。「小さいから狙われない」という考えは危険であり、限られたリソースの中でも対策を講じることが重要です。
対策の第一歩は、バックアップのオフライン化、OSの更新、パスワード管理の強化など、費用対効果の高い基本対策から始めることです。IT専任者がいなくても、これらの対策は実施可能です。
取引先からのセキュリティ要求が増える中、サプライチェーンの一員として、自社のセキュリティ対策を強化することは、事業継続と取引関係の維持に不可欠です。
ランサムウェアの基礎知識に立ち返りながら、予防対策を一歩ずつ進めていくことが重要です。
関連リンク
免責事項
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化している可能性があります
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
