初回公開日:2025年1月24日
「うちは小さい会社だから、サイバー攻撃なんて関係ない」――そう思っていませんか?
でも実際には、近年の攻撃者は“防御の弱いところ”を自動で探し出し、規模に関係なく侵入を試みています。
2025年には、大手物流企業や飲料メーカーが相次いでランサムウェアの被害を受け、全国の流通が一時停止。その影響は、取引先の中小企業にまで広がりました。つまり、中小企業も「狙われる側」ではなく「巻き込まれる側」として、すでに攻撃の渦中にいるのです。情報セキュリティはもはや専門部署の問題ではなく、「経営を守るリスク対策」のひとつになっています。
この記事では、
- 2025年に実際に起きたサイバー攻撃の最新事例
- なぜ中小企業が狙われやすくなっているのか
- 明日から実践できる「多層防御」と「IT資産管理」
――この3つを、専門用語に頼らず、わかりやすく解説します。
読み終えるころには、「自社がどんなリスクにさらされ、何から手を打てばいいのか」が明確になります。それでは、今からできる現実的な防御策を一緒に見ていきましょう。
-
- 【関連資料のご紹介】
- 2025年版ランサムウェア攻撃の構造変化と中小企業の「実践的対策」
- 資料をダウンロード
1:2025年に発生した主要なサイバー攻撃事例
2025年も、日本国内外でサイバー攻撃による重大なインシデントが相次ぎました。
ランサムウェアや不正アクセスなど攻撃手法はさらに巧妙化し、その影響は一部の大企業にとどまらず、サプライチェーン全体に広がっています。
日本では、「止まるはずのないシステムが止まる」という事態が現実となり、社会インフラや流通網にまで影響を及ぼしました。
国内企業で発生したランサムウェア被害
2025年9月、国内大手飲料メーカーのグループ企業がランサムウェア攻撃を受け、基幹システムの一部が暗号化され、受注・出荷などの業務に支障をきたしました。全国の販売・物流を含むさまざまな拠点に影響が及び、被害の範囲は広がり、現場の従業員による迅速な対応が困難な状況となりました。同年10月には、大手通販企業でもランサムウェアによるシステム障害が発生し、商品配送業務が停止し、復旧には数週間を要しました。
いずれの事案も、「業務の継続を揺るがすレベルの被害」として注目を集めました。攻撃経路の多くは、古いシステムや更新漏れの脆弱性を突かれたものと見られています。
被害の直接的な影響はもちろん、取引先や顧客との信頼低下など、経営リスクとしてのダメージも無視できません。
サプライチェーンを介した情報流出事件
2025年、特に目立っていたのは「サプライチェーン攻撃」と呼ばれる手口です。これは、取引先や委託先といったセキュリティの弱い“外部の扉”を経由して侵入する攻撃です。
たとえば、ある製造業では、子会社のネットワークを踏み台に本社のサーバーへ侵入され、機密設計データが流出する事件が発生しました。
IPA(情報処理推進機構)や警察庁の公開資料でも、サプライチェーンや委託先を経由した攻撃が近年の主要な脅威として繰り返し指摘されており、「自社は守れていても、取引先を起点に侵入される」リスクが現実のものとなっています。
資料:IPA「情報セキュリティ10大脅威 2025 解説書(組織編)」
「自社が守れていても、取引先から侵入される」――それが今の攻撃のリアルです。企業単体ではなく、“つながり全体で守る”発想が求められています。
医療機関を狙ったシステムの脆弱性を突く不正アクセス
2025年も、医療機関を狙った不正アクセス被害が国内で確認されています。その一例が、大学病院で公表された外部からの不正アクセス事件です。
発表によると、病院が管理する情報システムに対し外部から不正なアクセスが行われ、患者や職員に関する個人情報が漏えいした可能性があることが判明しました。
病院側は、影響を受けたサーバーの遮断やネットワーク構成の見直し、認証方式の強化などの対策を実施しています。
近年、医療機関を標的としたサイバー攻撃はたびたび報じられるようになり、そのリスクは決して他人事ではなくなっています。被害は個人情報の漏えいにとどまらず、診療の停止など、私たちが日常的に受けている医療そのものに影響を及ぼすケースもあり、社会への影響は小さくありません。
システムの設定不備や脆弱性管理の遅れが、不正アクセスにつながるリスクが現実に存在するという点です。医療機関や自治体のように停止が許されないシステムほど、日常的な更新管理やアクセス制御の見直しといった基本対策の重要性が高まっています。
次章では、なぜ中小企業が特に狙われやすくなっているのか、その背景と構造をデータとともに解説します。
2:なぜ今、中小企業が狙われるのか?
近年のサイバー攻撃は「大企業を守る防御網」をすり抜け、サプライチェーンを構成する中小企業を標的にしています。一見、大企業ほど大きな情報資産を持たない中小企業ですが、攻撃者にとっては、効率よく侵入できる最短ルートとなっています。取引先として大企業のネットワークに接続していたり、顧客データや決済情報を扱っていたりと、攻撃の“踏み台”にされるケースが増加しています。
実際、警察庁の統計を見てもその傾向は明らかです。
下のグラフは、企業規模別・業種別にまとめたランサムウェア被害の割合です。どちらも中小企業が被害の中心となっていることがわかります。
資料:警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」
警察庁が公表した上記の資料によると、ランサムウェア被害の報告件数のうち、およそ6割(77件/116件中)が中小企業によるものでした。さらに、業種別では「製造業」「卸売・小売業」が上位を占めており、日々の業務やサプライチェーンに直接影響するケースが目立っています。このデータは、「うちは関係ない」と思っている企業ほど、実は最も危険な立場にあることを示しています。「規模が小さい=安全」ではなく、防御が手薄な企業ほど攻撃の踏み台にされやすい現実があります。
さらに、IPAの「情報セキュリティ白書2025」によると、「2024年度中小企業等実態調査」では、調査対象の中小企業(約4191社)のうち975社(約23.3%)が、2023年度に何らかのサイバーインシデントを経験したと報告されています。いまや、「うちは小さい会社だから大丈夫」と言える時代ではなくなりました。
資料:IPA「情報セキュリティ白書2025」
では、実際に攻撃者はどんな手口で企業の防御を突破しているのでしょうか?
セキュリティの「甘い隙」を突く攻撃手口
中小企業が標的になる背景には、セキュリティ体制のわずかな“隙”があります。
攻撃者はその油断を逃しません。代表的な手口としては、以下のようなものが挙げられます。
- OSやソフトウェアの更新遅れ:サポートが終了した古いバージョンを狙い、既知の脆弱性を突く。
- アカウント管理の不備:退職者アカウントや共通パスワードを放置し、認証情報を奪取。
- メールを利用した侵入:業務連絡を装ったフィッシングメールを送り、添付ファイルやURLからマルウェア感染させる。
IPAの調査「2024年度 中小企業等における情報セキュリティ実態調査」によると、約7割の中小企業で情報セキュリティの専任担当者や専門部署が存在していません。
その結果、脆弱性対応やアカウント管理が後手に回り、攻撃者にとって“入りやすい環境”が生まれてしまうのです。
攻撃は多くの場合、自動スキャンツールによる無差別な探索から始まります。つまり、特定の企業を狙うというより、「防御が甘い場所」を機械的に見つけて侵入しているのです。防御レベルが低いというだけで、攻撃対象になってしまう──これが現実です。被害の広がりは、単なる数字の問題ではありません。企業の信頼や取引にも直接影響しています。
資料:IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査-報告書-」
おすすめ
警察庁データが示す被害増加と経営的損失
警察庁が発表した資料「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー攻撃に関する被害報告は前年同期比で22%増加しています。特に中小企業では、ランサムウェア被害が深刻化しており、一度感染すると「業務停止」「顧客データの暗号化」「取引先情報の流出」といった、事業継続に直結する被害が発生します。
資料:警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」
IPAの公開情報によると、2023年度にサイバーインシデントの被害を受けた企業975社のうち、約7割(68.5%)が取引先に影響があったと回答しています。
被害額は約73万円(100万円以上の被害も9.4%存在)であり、最大で1億円のケースも報告されています。
引用:IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査- 報告書 -」
これらのデータが示すのは、サイバー攻撃がもはやIT部門だけの問題ではなく、経営リスクそのものだということです。「セキュリティ投資はコストではなく、事業継続のための経営戦略」──そう捉える時代に変わりつつあります。
そしてもう一つ見逃せないのが、「セキュリティ投資の格差」です。
大企業との「セキュリティ格差」が狙われる理由
中小企業と大企業では、セキュリティ対策への投資規模や体制の違いが明確になっています。経済産業省が実施した「中小企業等におけるサイバーセキュリティの実態調査」では、約7割の中小企業で組織的なセキュリティ体制が整備されていないという実態が明らかになっています。また、過去3年間に被害を受けた中小企業の約7割が、取引先にも影響が及ぶ「サイバードミノ」現象につながっていると報告されています。
出典:経済産業省「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」
大企業との「防御力の差」は、攻撃者にとって非常に合理的な侵入ルートになります。堅牢なセキュリティを備えた大企業の本社システムに直接侵入するよりも、防御の弱い取引先や委託先を突破口として利用する方が、全体の侵入成功率を高められるからです。
実際、攻撃者はまず以下のような“入口”を狙います:
- セキュリティ担当者が不在で脆弱性対応が遅れているネットワーク
- 更新漏れや古いパッチが放置された機器・サービス
- セキュリティ投資が限定的で監視体制が脆弱な端末
そして一度侵入経路が確立されると、そこから取引先ネットワークへ横展開し、最終的には大企業の基幹システムにまで影響を与えるケースも報告されています。
このような連鎖的な侵入は、サプライチェーン全体の弱点として悪用されやすく、中小企業が被害の「踏み台」となるリスクを高めています。
中小企業自身が直接狙われるだけでなく、大企業の攻撃を成功させるための“経路”として標的にされる可能性があるのです。
おすすめ
3:知っておくべきサイバー攻撃の主要な種類
ニュースやSNSで「ランサムウェア」「フィッシング詐欺」といった言葉を目にすることが増えました。でも実際、それぞれの攻撃がどんな仕組みで、どうやって企業に被害を与えるのかまでは、なかなかピンと来ないものです。
ここでは、最近のサイバー攻撃を「目的別」に3つのタイプに分けて整理します。どんな攻撃でも、仕組みを知ることが、最初の防御です。敵の『手口』を正しく理解することで、被害のリスクはぐっと減らすことができます。
1.侵入・感染型攻撃―ランサムウェア/標的型攻撃
サイバー攻撃の中でも最も被害が深刻なのが、システム内部への「侵入」や「感染」を目的とする攻撃です。システムの脆弱性を突いたり、標的型メールを送付したりすることで内部へ侵入し、マルウェアを利用して攻撃を展開します。一度内部に入り込まれると、データの暗号化・窃取・改ざんなどを通じて、業務の停止や情報漏えいといった直接的な損害を引き起こします。代表的な手法として、次の2つが挙げられます。
| 攻撃の種類 | 手法 |
|---|---|
| ランサムウェア | 企業のサーバーや端末上のデータを暗号化し、「身代金(ランサム)」を要求する攻撃。復旧まで業務が完全停止するケースが多く、2025年も最も多い被害類型となっています。 |
| 標的型攻撃 | 特定の企業や組織を狙い、偽メールや業務通知を装って従業員を騙し、マルウェアを実行させる手口。情報漏えいや取引停止など、経営への影響が長期化する傾向があります。 |
これらの攻撃は侵入を許した瞬間から被害が進行し、復旧まで数週間〜数か月を要することもあります。
業務の停止だけでなく、顧客・取引先からの信頼低下など、事業継続にも深刻な影響を与えます。
- 社内ネットワークの外部通信を常時監視し、不審な挙動を早期に検知する。
- 感染が疑われる端末はすぐにネットワークから隔離する。
- “入口(侵入)”と“出口(流出)”の両方を監視し、攻撃の拡大を防ぐ。
2.脆弱性・負荷型攻撃―ゼロデイ攻撃/SQLインジェクション/DDoS攻撃
次に紹介するのは、システムの脆弱性や処理能力の限界を狙うタイプの攻撃です。
直接侵入を試みるわけではありませんが、サービス停止やデータ改ざんを引き起こし、企業の信頼や事業継続に大きな影響を与えるケースが増えています。
| 攻撃の種類 | 手法 |
|---|---|
| ゼロデイ攻撃 | ソフトウェア開発者が脆弱性に気づく前に悪用される攻撃。修正パッチが存在しないため、防御が難しいのが特徴。2025年は自治体や医療機関などの公共領域でも多発しています。 |
| SQLインジェクション | Webサイトの入力フォームなどに悪意あるコードを仕込み、データベースの情報を不正取得・改ざんする攻撃。設計が脆弱なシステムでは、顧客情報の漏えいリスクが高まります。 |
| DDoS攻撃 (分散型サービス妨害) |
複数の端末から大量の通信を一斉に送りつけ、サーバーやネットワークを過負荷状態にして停止させる攻撃。オンラインサービスやECサイト、金融機関などで被害が増加しています。 |
特に中小企業では、古いシステムを使い続けているケースも多く、「更新が後回し」「担当者が不在」といった隙が攻撃の入口となります。こうした攻撃を防ぐには、ソフトウェアの更新やアクセス制御の運用を“日常業務の一部”として定着させることが重要です。
- 使用しているシステムやアプリケーションのバージョンを定期的に確認する。
- 更新漏れや古いバージョンをチェックする仕組みを整える。
- 外部アクセスできるサーバーや管理画面には、アクセス制限ルールを設定する。
3.心理型攻撃―フィッシング/サポート詐欺
最後に紹介するのは、人の心理を利用する「ソーシャルエンジニアリング型攻撃」です。
どんなに堅牢なシステムを導入しても、人の判断ミスを突かれると一瞬で突破されるのがこの手口の怖いところです。「セキュリティの穴」は機械だけじゃなく、人の心にもある。
攻撃者はそこを巧みに狙ってきます。代表的な攻撃手法は次の通りです。
| 攻撃の種類 | 手法 |
|---|---|
| フィッシング | 実在の企業や金融機関を装い、偽サイトに誘導してIDやパスワードを盗み取る手口。最近では生成AIを悪用した非常に精巧なメール文面や偽サイトが増え、見分けがつきにくくなっています。 |
| サポート詐欺 | パソコン画面に「ウイルス感染」などの偽警告を表示し、サポートセンターを名乗って金銭や情報を奪う詐欺。特に中小企業の総務・経理担当者が狙われやすい傾向があります。 |
警察庁の統計によれば、2025年上半期に報告されたサイバー犯罪の約3割がフィッシング関連であり、「人への攻撃」が依然として高い割合を占めています。
技術的な防御だけでなく、人を守る仕組み(教育・報告体制)を組織全体で整えることが欠かせません。
- 年2回を目安に、全社員向けのセキュリティ研修を実施する。
- 疑わしいメールは「開かない・報告する」をルール化する。
- 経営層や管理職も教育対象に含め、全社で“報告しやすい空気”を作る。
4:企業向けの効果的なサイバー攻撃対策
2025年のサイバー攻撃は、単一の防御策をすり抜けるほど巧妙になっています。
「ウイルス対策ソフトを入れているから大丈夫」という時代は、すでに終わりました。
いま求められているのは、一枚の盾ではなく、何重もの壁”で企業を守る考え方=多層防御(Defense in Depth)です。
ここでは、攻撃の流れに沿って「入口」「内部」「出口」の3つの視点から、企業が取るべき防御ステップを整理します。
【入口対策】――侵入させない仕組みをつくる
最初の防御線は、ウイルスやマルウェアなどの脅威を社内ネットワークに入れないこと。
そのためには、ウイルス対策ソフト、ファイアウォール、メールフィルタリング、UTM、IDS/IPS(不正侵入検知・防止)などの基本対策が欠かせません。
また、初歩的な設定ミスやパスワードの弱さも、攻撃者にとっては“開いた玄関”です。OSやソフトウェアの更新、IoT機器やプリンターの管理者パスワードの強化といった「小さな対策の積み重ね」こそが最大の防御になります。
- パスワードは使い回さず、10桁以上・英数字+記号で構成
- OS・アプリケーション・機器の更新を定期スケジュール化
- メールの添付・URLを自動検知・隔離できる仕組みを導入
【内部対策】――侵入されても被害を広げない
どんなに対策をしても、100%侵入を防ぐことはできません。重要なのは、「侵入されても被害を最小限に抑える」仕組みを持つことです。
内部対策では、EDR(Endpoint Detection & Response)やログ監視を活用し、ネットワーク内の不審な挙動をいち早く検知します。さらに、ネットワーク分離やアクセス権限の最小化を行うことで、攻撃が広がる前に食い止めることができます。
- 社内LANと機密情報系ネットワークを物理的・論理的に分離
- 重要データは複数世代のバックアップを保持
- 管理者権限を限定し、退職者アカウントを速やかに無効化
【出口対策】――情報の持ち出しを防ぐ最後の砦
「出口対策」は、外部への不正な情報流出を防ぐ最後の壁です。
社内からの不審通信やデータ持ち出しを監視し、万が一感染しても「外部との通信を遮断」できる環境を整えることが目的です。
具体的には、プロキシサーバー、DLP(データ損失防止)、ファイル暗号化、通信ログの監視などが有効です。また、ランサムウェア被害に備えて、定期的なバックアップと復旧訓練も欠かせません。
- 通信ログを自動で監視・アラート設定を導入
- 機密データは暗号化し、持ち出しを権限者のみに限定
- クラウドバックアップを別回線・別サーバーに保持
【多層防御 × ゼロトラスト】――“境界のない時代”の新常識
多層防御と並んで注目されているのが、ゼロトラスト(Zero Trust)の考え方です。
その基本理念はシンプルにして強力──「誰も、何も、信頼しない」。
従来の多層防御は、社内と社外を分けて防御を重ねる“境界型モデル”でしたが、ゼロトラストは境界を前提とせず、すべてのアクセスを検証するモデルです。クラウドサービスやリモートワークが当たり前になった今、「常に検証し続ける防御」が現実的な選択肢になっています。
ポイント比較:
| 観点 | 多層防御 | ゼロトラスト |
|---|---|---|
| 基本理念 | 段階的な防御でリスクを最小化 | 全アクセスを疑い、常に検証 |
| 対象 | 主に外部からの攻撃 | 内外問わずすべてのアクセス |
| 管理の仕方 | 静的(防御層を積み重ねる) | 動的(アクセスごとに認証・検証) |
| 柔軟性 | 境界防御中心で変化に弱い | クラウド・リモート環境に強い |
多層防御とゼロトラストは対立する概念ではなく、補完関係にあります。複数の防御層で時間を稼ぎながら、ゼロトラストで継続的に検証する。この組み合わせこそが、現代のサイバー攻撃に最も強い防御構造です。
おすすめ
【まとめ】―継続的なアップデートが最大の防御
サイバー攻撃対策は「一度導入して終わり」ではありません。脅威は日々進化し、昨日の安全が今日のリスクになることもあります。だからこそ、“継続的に見直し・アップデートする姿勢”が最大の防御になります。
小さな対策でも、始めることに価値がある。
そして、守りを止めないことが、企業の信頼を守る最善の方法です。
「守りを支える基盤」IT資産管理の重要性
多層防御の仕組みを整えても、どの端末にどんなソフトが入っているのか、どの機器が更新されていないのか──自社の“守る対象”が把握できていなければ、防御は機能しません。
実際、IPAや警察庁の調査でも、サイバー攻撃被害を受けた企業の多くが「資産の把握漏れ」「脆弱な機器の放置」を共通課題として挙げています。つまり、防御の第一歩は“敵を知る”ではなく、“自分を知る”ことなのです。
次章では、多層防御を効率的かつ継続的に運用するための基盤=IT資産管理に焦点を当て、中小企業でもすぐに始められる実践ステップを紹介します。
5:効率的な対策を実現する「IT資産管理」の重要性
どれだけ強固なセキュリティ対策を導入しても、「何を」「どこまで」守るかを把握していなければ、対策は形だけのものになります。そのために欠かせないのが、IT資産管理です。
手動管理の限界と、自動化の必要性
多くの中小企業では、まだ「Excelで管理」「担当者の記憶頼み」といった形でIT資産を把握しています。しかし、この方法では、機器の増減・更新漏れ・パッチ適用状況などを正確に追跡することができません。結果として、「気づかないまま古いバージョンを放置」→「脆弱性を突かれる」というパターンが多発しています。
IT資産管理ツールを導入すれば、ネットワークに接続されたすべての端末を自動で検出し、ソフトウェアのバージョン・利用状況・脆弱性の有無を一元管理できます。これにより、更新漏れや不正端末の早期発見が可能になります。
IT資産管理 × 多層防御
多層防御を運用するには、入口・内部・出口すべての層で、「何が守られていて、どこが脆弱か」を把握する必要があります。IT資産管理は、この防御全体の“土台”となる存在です。
たとえば、脆弱性診断ツールやEDRを導入しても、どの端末が未対応なのかを把握していなければ、守りに穴が空いたままになります。
資産管理が徹底されていれば、パッチ未適用の端末を即座に特定したり、不審なデバイスを遮断したり、古いソフトを自動で更新したりと、多層防御の「精度とスピード」を一気に高めることができます。
ISM CloudOneが実現する資産管理のスマート化
ISM CloudOneでは、IT資産の可視化から脆弱性診断、エンドポイント監視までを一体化して提供しています。企業は「どの端末が危険か」を即時に把握でき、対策をすることができます。統合管理ツールのため、組織全体での防御を実現できます。
特に中小企業では、専任のセキュリティ担当を置けないケースも多いため、“自動で可視化し、アラートを出す仕組み”が経営を守る要になるのです。
詳しくはこちら
まとめ:継続的なアップデートが最大の防御
2025年のサイバー攻撃は、これまで以上に巧妙で、そして静かです。気づかないうちに侵入し、業務の中で少しずつ被害を広げていく――そんな“見えない脅威”と、私たちは今、共に仕事をしています。
ここまで見てきたように、中小企業が狙われる背景には「セキュリティ格差」や「資産の可視化不足」があります。そして被害の多くは、対策をしていなかったわけではなく、“守りが途切れていた”ことが原因です。
今からできる3つのアクション
セキュリティは「導入」ではなく「習慣」です。完璧を目指すより、止めずに続けることこそが、企業を守り抜く一番の方法です。
-
- 1.現状を把握する
- すべての端末・システムを洗い出し、更新状況を確認しましょう。「知らないリスク」を減らすことが、最初の防御です。
-
- 2.多層防御を実践する
- 入口・内部・出口の3層で、侵入・拡散・流出を防ぐ仕組みを整えましょう。小さな施策の積み重ねが、最も確実な盾になります。
-
- 3.継続的に見直す
- 脅威は進化を止めません。IT資産管理や定期的な脆弱性診断を通じて、“昨日の安全”を“今日の安心”に更新し続けることが重要です。
ISM CloudOneが支える、続けられるセキュリティ
多層防御の考え方と、IT資産管理の自動化を組み合わせることで、中小企業でも無理なく“守りを続ける仕組み”を実現できます。
ISM CloudOneは、IT資産の可視化から脆弱性管理、エンドポイントの挙動監視までをワンストップで提供しています。人手やコストの負担を最小限にしながら、「見える」「気づける」「すぐ動ける」セキュリティ体制を支援します。
-
- 2025年版ランサムウェア攻撃の構造変化と中小企業の「実践的対策」
- 年々激化するサイバー攻撃。事業停止リスクと経営者の法的責任を解説し、侵入前提の多層防御をISM CloudOneで行う対策についてご紹介します。
