「中小企業だから大丈夫」は2026年には通用しない
「うちのような小さな会社は狙われない」——そう思っている経営者の方は今でも少なくありません。しかし、現実はまったく逆です。
IPA(情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威 2026」では、ランサムウェアや標的型攻撃が引き続き上位を占めています。そして警察庁の調査によると、2025年に報告されたランサムウェア被害のうち、約60%が中小企業でした。
なぜ中小企業が狙われるのか。理由は明快です。大企業に比べてセキュリティ対策が手薄であり、しかもサプライチェーン(取引先・下請け)として大企業とつながっているため、攻撃者にとって「侵入の足がかり」として非常に魅力的なのです。
サイバー攻撃による被害は、データの流出や業務停止だけにとどまりません。顧客からの信頼喪失、取引先との契約解除、そして復旧費用という三重苦が企業を襲います。被害を受けた中小企業の中には、そのまま廃業に追い込まれたケースも報告されています。
この記事では、IT専任担当者がいない中小企業でも今日から実行できる、最低限やるべき10のセキュリティ対策を優先順位と費用目安付きで解説します。
中小企業のセキュリティ対策が遅れる3つの理由
対策が進まない背景には、構造的な課題があります。現場の実態を正直に整理しましょう。
理由1:人が足りない(専任担当者の不在)
大企業にはCISO(最高情報セキュリティ責任者)やセキュリティ専門チームがいます。しかし中小企業の多くは、総務や経理の担当者がIT業務を兼任しているのが現実です。セキュリティに割ける時間は限られており、「後でやろう」が積み重なります。
理由2:予算が組めない(コスト感覚の欠如)
「セキュリティはコストがかかる」というイメージが先行し、経営層に投資判断が下せないケースが多く見られます。しかし実際には、基本的な対策の多くは無料か月額数百円〜数千円で実施できます。問題はコストではなく、「何にいくらかければよいかわからない」という情報不足です。
理由3:何から始めればいいかわからない(知識の不足)
セキュリティの情報は専門用語が多く、中小企業の経営者や兼任担当者には難解に映ります。「ゼロトラスト」「SIEM」「SOC」などの言葉が飛び交う記事を読んでも、自社にどう適用すればよいかがわからないのです。
だからこそ、この記事では優先順位と費用を明確にして、今日から動ける形で整理します。
最低限やるべき10項目【優先度・費用一覧】
まず全体像を表で確認してください。
# | 対策 | 優先度 | 概算費用(月額) | 難易度 |
|---|---|---|---|---|
1 | MFAの全社展開 | ★★★ 最高 | 無料〜 | 低 |
2 | OSとソフトウェアの自動更新 | ★★★ 最高 | 無料 | 低 |
3 | EDRの導入 | ★★★ 最高 | 数千円〜/台 | 中 |
4 | バックアップの3-2-1ルール | ★★★ 最高 | 数千円〜 | 中 |
5 | メールフィルタリング | ★★☆ 高 | 数百円〜/人 | 低 |
6 | VPN機器のファームウェア更新 | ★★☆ 高 | 無料 | 低 |
7 | 退職者アカウントの即時無効化 | ★★☆ 高 | 無料 | 低 |
8 | 管理者権限の最小化 | ★★☆ 高 | 無料 | 低 |
9 | インシデント対応手順書の整備 | ★☆☆ 中 | 工数のみ | 低 |
10 | 年1回のセキュリティ診断 | ★☆☆ 中 | 30万円〜/回 | 低(外注) |
対策1:MFA(多要素認証)の全社展開【優先度:最高/費用:無料〜】
MFA(Multi-Factor Authentication)とは、パスワードに加えてスマートフォンへの通知や認証アプリのコードを組み合わせることで、不正ログインを防ぐ仕組みです。
パスワードは流出します。フィッシングメール、パスワードリスト攻撃、ダークウェブでの売買——ルートは多岐にわたります。しかしMFAを有効にしていれば、パスワードが漏れても攻撃者はログインできません。
今すぐできる設定:
- Microsoft 365 / Google Workspace:管理コンソールからMFAを強制有効化(無料)
- Microsoft 365はEntra IDの「セキュリティデフォルト」を有効にするだけで全社展開可能
MFAは無料で導入でき、かつ効果が最も高い対策の一つです。これを最初にやらない理由はありません。
対策2:OSとソフトウェアの自動更新【優先度:最高/費用:無料】
ランサムウェアや不正アクセスの多くは、既知の脆弱性(セキュリティの穴)を悪用して侵入します。メーカーは発見された脆弱性に対してパッチ(修正プログラム)を定期的にリリースしています。これを適用しないまま放置することは、玄関の鍵を壊れたままにしているのと同義です。
設定ポイント:
- Windows:「Windows Update」の自動更新をオン(推奨)
- macOS:「自動アップデート」をオン
- ブラウザ(Chrome、Edge等):自動更新をオン
- VPNやルーターなどのネットワーク機器:定期的に確認(後述)
「再起動が面倒」「業務への影響が心配」という声をよく聞きますが、業務時間外に自動再起動するよう設定すれば支障は最小化できます。
対策3:EDR(エンドポイント検知・対応)の導入【優先度:最高/費用:数千円〜/台・月】
EDR(Endpoint Detection and Response)は、PCやサーバーの「行動監視カメラ」です。従来のウイルス対策ソフト(アンチウイルス)が「既知のウイルスをブロックする」のに対し、EDRは「怪しい動きをリアルタイムで検知し、被害を封じ込める」ことができます。
2026年現在、ランサムウェアを含む高度な攻撃はアンチウイルスをすり抜けるように設計されています。EDRなしでは、侵入されても気づけない状況が続きます。
中小企業向け主要EDR製品の費用感:
製品 | 概算費用 | 特徴 |
|---|---|---|
Microsoft Defender for Business | 約440円/ユーザー・月 | M365 Business Premiumに含む |
CrowdStrike Falcon Go | 約1,000円〜/台・月 | 業界最高水準の検知精度 |
SentinelOne Singularity | 約800円〜/台・月 | 自動修復機能が優秀 |
Sophos Intercept X | 約600円〜/台・月 | 国内サポートが充実 |
Microsoft 365 Business Premiumを利用している企業は、すでにMicrosoft Defender for Businessが含まれています。まずはこれを有効化するところから始めましょう。
対策4:バックアップの3-2-1ルール【優先度:最高/費用:数千円〜/月】
ランサムウェアに感染した場合、最終的な防衛線はバックアップです。しかし「バックアップを取っていたのに、それも暗号化された」という被害が後を絶ちません。適切な方法でバックアップを取ることが重要です。
3-2-1ルールとは:
- 3:データのコピーを3つ持つ(オリジナル+バックアップ2つ)
- 2:2種類の異なるメディア・場所に保存(例:ローカルNAS+クラウド)
- 1:1つはオフサイト(インターネット非接続またはオフライン)に保管
クラウドバックアップの費用感(参考):
- Microsoft Azure Backup:約4円〜/GB・月
- AWS Backup:約3円〜/GB・月
- Acronis Cyber Backup(SMB向け):月額数千円〜(端末数・容量による)
バックアップがあれば、ランサムウェア被害に遭っても身代金を払わずに復旧できる可能性が格段に上がります。
対策5:メールフィルタリング【優先度:高/費用:数百円〜/人・月】
サイバー攻撃の入口として最も多いのがメールです。フィッシングメール、マルウェア添付ファイル、なりすましメール(BEC:ビジネスメール詐欺)——これらはすべてメールを起点とします。
メールフィルタリングサービスを導入することで、不審なメールを受信前にブロックまたは警告表示できます。
主な選択肢:
- Microsoft Defender for Office 365(Plan 1):約220円/ユーザー・月。M365 Business Premiumに含まれる場合あり
- Google Workspace:標準でフィルタリング機能あり。強化する場合は追加設定
- Proofpoint Essentials:中小企業向けに特化したメールセキュリティ
Microsoft 365ユーザーは「Exchange Online Protection(EOP)」が標準搭載されています。設定を確認し、スパムフィルターと添付ファイルのスキャンを有効にしてください。
対策6:VPN機器のファームウェア更新【優先度:高/費用:無料】
テレワークの普及とともに、VPN(仮想プライベートネットワーク)機器が中小企業にも広まりました。しかし、VPN機器の脆弱性は攻撃者に特に狙われます。理由は、VPN機器はインターネットに常時接続されており、一度侵入されると社内ネットワーク全体へのアクセスを許してしまうためです。
2025年以降も、Ivanti・Fortinet・Palo Alto Networksなど主要ベンダーのVPN製品に重大な脆弱性が相次いで発見されています。
今すぐ確認すること:
- 使用しているVPN機器のメーカーサイトで最新ファームウェアを確認
- 管理画面のデフォルトパスワードを変更
- 管理インターフェースをインターネットから直接アクセスできないよう設定
これはすべて無料でできます。機器のマニュアルまたはメーカーサポートに問い合わせれば対応できます。
対策7:退職者アカウントの即時無効化【優先度:高/費用:無料】
退職した元従業員のアカウントが有効なまま放置されているケースは、中小企業に非常に多く見られます。これは内部不正・情報漏洩のリスクとなるだけでなく、不正アクセスの経路にもなりえます。
退職時のセキュリティチェックリスト:
- ☐ 社内システム(Active Directory / Entra ID等)のアカウント無効化
- ☐ メールアカウントの無効化・転送設定の解除
- ☐ クラウドサービス(Slack、Notion、Salesforceなど)からの削除
- ☐ 支給デバイス(PC・スマートフォン)の回収とリモートワイプ
- ☐ 会社の入退室カード・鍵の返却
退職手続きと連動した「ITアカウント無効化チェックリスト」を人事部門と情シス担当で共有し、退職日当日に実行する運用を確立してください。
対策8:管理者権限の最小化【優先度:高/費用:無料】
「全員をPCの管理者にしている」という中小企業は珍しくありません。管理者権限があると、ソフトウェアを自由にインストールしたり、システム設定を変更したりできます。これは利便性が高い反面、マルウェアに感染した際の被害範囲が格段に広がります。
最小権限の原則(Principle of Least Privilege)とは、各ユーザーに業務に必要な最低限の権限のみを付与する考え方です。
具体的な対応:
- 一般ユーザーは「標準ユーザー」権限で運用
- 管理者権限が必要な作業は、専用の管理者アカウントを使用(日常業務には使わない)
- Microsoft 365のEntra IDで「グローバル管理者」ロールを最小限の人数に絞る
設定変更のみで実現でき、追加費用は発生しません。
対策9:セキュリティインシデント対応手順書の整備【優先度:中/費用:工数のみ】
「もしサイバー攻撃を受けたら、誰が何をするか」——この答えを持っている中小企業はほとんどありません。インシデント発生時にパニックになると、誤った対応(例:感染PCをネットワークにつなぎ続ける、ログを消してしまう)が被害を拡大させます。
手順書に盛り込むべき最低限の内容:
- 初動対応:異常を発見したら誰に連絡するか、PCをどうするか(ネットワーク切断の手順)
- 連絡先リスト:社内の担当者、取引先のITベンダー、警察(サイバー犯罪相談窓口)、IPA
- 証拠保全の方法:ログの保存、スクリーンショットの取り方
- 情報公開の判断基準:個人情報漏洩の場合の個人情報保護委員会への報告義務
A4で2〜3枚程度の簡易な手順書でも、ないよりはるかに効果的です。作成後は社内で周知し、年1回は内容を見直しましょう。
対策10:年1回のセキュリティ診断【優先度:中/費用:30万円〜/回】
上記9つの対策を実施した上で、「本当にそれが機能しているか」を確認するのがセキュリティ診断です。自社のネットワークやWebシステムに対して、専門家が擬似的な攻撃を試みて脆弱性を発見します。
中小企業向けの診断サービスの種類:
診断の種類 | 概算費用 | 目的 |
|---|---|---|
外部ネットワーク脆弱性診断 | 10万〜30万円 | インターネットから見えるシステムの確認 |
Webアプリケーション診断 | 30万〜80万円 | 自社Webサイト・Webシステムの脆弱性確認 |
ペネトレーションテスト(侵入テスト) | 50万〜200万円 | 実際の攻撃シナリオで侵入可能か検証 |
「毎年全部やる必要があるのか」と思われるかもしれませんが、外部ネットワーク診断だけでも年1回実施するだけで、見落としていたリスクを発見できます。IPAの「セキュリティ診断等普及促進」制度や補助金を活用することで、費用を抑えられる場合もあります。
IPAのセキュリティ対策ベンチマーク・中小企業向け支援制度
IPA(独立行政法人 情報処理推進機構)は、中小企業向けにさまざまな無料・低コストの支援を提供しています。
活用できる主なリソース
「5分でできる!情報セキュリティ自社診断」
IPAが提供する無料の自己診断ツールです。25の質問に回答するだけで、自社のセキュリティレベルを確認できます。まず現状把握のために活用しましょう。
→ https://www.ipa.go.jp/security/keihatsu/sme/
「中小企業の情報セキュリティ対策ガイドライン」
IPAが作成した中小企業向けの実践ガイドラインです。経営者向けの基本方針から、現場の担当者が使えるチェックリストまで無料でダウンロードできます。
IT導入補助金(セキュリティ対策推進枠)
中小企業がセキュリティソフトウェアやサービスを導入する際、費用の一部を補助する制度です(補助率1/2〜2/3、上限100万円程度)。毎年公募があるため、経済産業省や中小企業庁のサイトで最新情報を確認してください。
サイバーセキュリティお助け隊サービス
IPAが認定した低価格のセキュリティ支援サービスです。月額数千円〜数万円程度で、セキュリティ監視・インシデント対応支援を受けられます。中小企業に特化したプランが多く、「何から始めればよいか分からない」という企業に最適です。
予算別のセキュリティ対策ロードマップ
「全部一気にはできない」という企業のために、予算に応じた優先順位を整理します。
月額0〜5万円:まず無料でできることを完璧に
この段階では、追加コストなしで実施できる対策を完了させます。
対策 | 具体的なアクション |
|---|---|
MFAの全社展開 | Entra ID / Google Workspaceでポリシー設定 |
自動更新の有効化 | Windows Update・macOS設定を確認 |
管理者権限の最小化 | ユーザーアカウントを「標準ユーザー」に変更 |
退職者アカウント管理 | 退職時チェックリストを人事と共有 |
VPNファームウェア更新 | 現在の機器バージョンを確認・更新 |
インシデント対応手順書 | A4・2枚程度の手順書を作成・共有 |
目安期間:1〜2か月
月額5〜20万円:検知・防御の仕組みを作る
無料対策が完了したら、エンドポイント保護とバックアップに投資します。
対策 | 具体的なアクション | 概算費用 |
|---|---|---|
EDRの導入 | Microsoft Defender for Business等を全端末に展開 | 3〜8万円/月(20台規模) |
クラウドバックアップ | 3-2-1ルールに沿ったバックアップ設計と運用開始 | 1〜3万円/月 |
メールフィルタリング強化 | Defender for Office 365 Plan 1等を設定 | 1〜2万円/月 |
目安期間:3〜6か月
月額20〜50万円:専門家の力を借りて自走できる体制に
この段階では、外部専門家を活用しながら継続的なセキュリティ運用体制を構築します。
対策 | 具体的なアクション | 概算費用 |
|---|---|---|
MDR(マネージドEDR)の活用 | SOCアナリストによる24時間監視を外部委託 | 10〜30万円/月 |
年1回のセキュリティ診断 | 外部ネットワーク診断・Webアプリ診断を実施 | 30〜80万円/回 |
従業員向けセキュリティ研修 | フィッシング訓練・年1回のeラーニング実施 | 1〜5万円/回 |
目安期間:6〜12か月以降、継続的に実施
まとめ:「完璧」を目指すより「対策済み」を目指す
サイバーセキュリティには「完全なゴール」がありません。攻撃手法は日々進化し、新しい脆弱性は毎日のように発見されます。
しかし、中小企業に求められているのは完璧なセキュリティではありません。攻撃者にとって「コストのかかる標的」になることです。基本的な対策を実施しているだけで、攻撃者は「もっと楽な標的」を探して移動します。
まずは本記事で紹介した10項目のうち、無料でできる対策(MFA・自動更新・権限管理・退職者管理・VPN更新・手順書整備)から始めてください。これだけで、何も対策していない状態と比べてリスクは大きく下がります。
「どこから手を付ければよいかわからない」「自社の現状を客観的に評価してほしい」という方は、ぜひAEVUSにご相談ください。
AEVUSにセキュリティ対策を相談する
AEVUSは、中小企業を含む幅広い規模の企業に対して、ペネトレーションテスト・脆弱性診断・セキュリティアセスメントを提供しています。
「何から始めればよいかわからない」という段階からでも、現状のリスク評価と優先度付きのロードマップを提案します。まずはお気軽にご相談ください。
AEVUSのセキュリティ診断・ペネトレーションテストサービスを見る →
