「最近、不正アクセスのニュースをよく見るけど、うちのような中小企業は大丈夫だろうか……。」
「もし被害に遭ったら、どんな損害が出て、どう対応すればいいのか全くわからない……。」
情報システム部の担当者として、自社のセキュリティに漠然とした不安を抱えていませんか?大手企業だけでなく、取引先や同規模の中小企業が被害に遭ったという話を聞くたび、その不安は増すばかりかもしれません。
この記事は、最新の不正アクセス事例から具体的な対策、予算獲得のノウハウ、そして万が一の際の対応フローまで、担当者として知るべき情報を紹介します。
最新の公的機関の調査報告や実際の被害事例に関する報道を網羅的に分析し、中小企業の担当者が本当に知りたい情報と今すぐ実行すべきことに焦点を当てて解説しているので、ぜひ最後までご覧ください。
目次
不正アクセスはもはや大企業の問題ではない
「うちは小さい会社だから狙われないだろう」という考えは、非常に危険な思い込みです。むしろ、セキュリティ対策が手薄になりがちな中小企業こそ、攻撃者にとって格好の標的となっています。
この脅威の矛先が中小企業に向かう最大の理由がサプライチェーン攻撃です。これは、まずセキュリティ対策が比較的脆弱な中小企業や関連会社を攻撃し、そこを踏み台として利用して、取引先である大企業へ侵入するという手口です。経済産業省の調査によれば、サイバー攻撃被害に遭った中小企業の約7割が、取引先にも影響を及ぼすサイバードミノを引き起こしています。
参考:経済産業省「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」
実際に中小規模の組織が深刻な被害を受けた事例
- 徳島県・半田病院の事例:
- VPN機器の脆弱性を突かれ、電子カルテシステムが2ヶ月間停止。復旧に2億円以上の費用が発生しました(参考:日本経済新聞「身代金払わず2億円で新システム 徳島サイバー被害病院」)。
- 建設コンサルタントの事例:
- ランサムウェア攻撃を受け、行政から受託した機密情報が漏洩。対応に7.5億円もの特別損失を計上しました(参考:ITmedia NEWS「ランサムウェア攻撃で7億円超の特別損失、建設コンサル大手のオリエンタルコンサルタンツが発表」)。
- 三菱電機子会社の事例:
- 中国の関連子会社が踏み台となり、親会社のネットワークへ侵入されるサプライチェーン攻撃の典型的な被害に遭いました(参考:ITmediaNEWS「中国拠点を踏み台にマルウェア侵入 三菱電機、布施各背筋件の詳細を明らかに」)。
これらの事例は、企業の規模や業種に関わらず、すべての組織が攻撃対象であるという事実を示しています。
攻撃者の手口を知ろう。企業を狙う6つの主要な不正アクセス手法【2025年版】
効果的な防御策を講じるには、まず攻撃者の手口を理解することが不可欠です。ここでは、企業を狙う主要な6つの不正アクセス手法を解説します。
1.ランサムウェア:データを人質に取る凶悪な身代金要求
企業のデータを勝手に暗号化し、解除と引き換えに身代金を要求するマルウェアです。KADOKAWAや徳島県の半田病院がこの手口で甚大な被害を受けました。侵入経路はメールの添付ファイルやシステムの脆弱性など、ごくありふれたものです。
参考:KADOKAWA Group「ランサムウェア攻撃による情報漏洩のお知らせ」
2.VPN・リモートワークの脆弱性:新たな働き方を狙う攻撃
テレワークで利用するVPN装置の脆弱性を狙った攻撃が急増しています。ゲーム大手カプコンの事例では、管理から漏れていた古いVPN装置が侵入口となり、15,000件以上の個人情報が流出しました。
参考:株式会社カプコン「不正アクセスに関する調査結果のご報告【第4報】」
3.フィッシング・標的型攻撃メール:人の心理的な隙を突く騙しの手口
金融機関や取引先などを装った偽メールで偽サイトに誘導し、IDやパスワードを盗み取る詐欺の手口です。特に、特定の組織を狙うスピアフィッシングは巧妙で、日本年金機構では職員がウイルス付きメールを開封したことで125万件の個人情報が流出しました。
参考:日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告」
4.パスワードへの攻撃:最も安易な侵入経路
パスワードの使い回しや、単純で短いパスワードの設定が主な原因です。脆弱なパスワードは、あらゆるセキュリティ対策を無力化します。主な攻撃手法は2つです。
- パスワードリスト攻撃: 他のサービスから漏洩したIDとパスワードのリストを使い、ログインを試みる手口です。
- ブルートフォース攻撃(総当たり攻撃): 考えられる全ての文字列の組み合わせを機械的に試す手口です。
5.サプライチェーン攻撃:取引先を踏み台にする連鎖的攻撃
自社のセキュリティが強固でも、取引先の脆弱性を突かれて被害が及ぶのがサプライチェーン攻撃です。前述の三菱電機の事例のように、セキュリティが手薄な関連会社が侵入口となり、自社が意図せず取引先への攻撃に加担してしまうリスクがあります。
6.Webアプリケーションの脆弱性:自社の玄関からの侵入
自社サイトのセキュリティ上の欠陥(脆弱性)も主要な侵入経路です。代表的なものに、入力フォームに不正な命令文を注入してデータベースを操作するSQLインジェクションや、ECサイトの決済ページを改ざんしてクレジットカード情報を盗み取る手口があります。
侵入がもたらす代償とは?不正アクセスが企業に与える壊滅的影響
不正アクセスは単なるITトラブルではなく、企業の存続を脅かす経営災害です。その影響は金銭的、事業的、社会的な多岐にわたります。
直接的な金銭的損害:目に見えるコストと隠れたコスト
インシデントが発生すると、即座に多額の費用が発生します。
- 調査・復旧費用: 専門家への依頼やシステムの再構築には莫大なコストがかかります。前述の半田病院の事例では2億円以上、オリエンタルコンサルタンツでは7.5億円の特別損失が計上されました。
- 損害賠償・慰謝料: 情報漏洩の被害者から訴訟を起こされるリスクがあります。
- 行政からの罰金: 改正個人情報保護法では、法人に対して最高1億円の罰金が科される可能性があります。
【実例】情報漏洩における損害賠償判例
| 事件名 | 1人あたりの賠償額(目安) | 判決のポイント | 出典 |
| エステティックTBC事件 | 35,000円 | 氏名・住所等に加え、アンケートの回答という秘匿性の高い情報が含まれていたため、プライバシー侵害の度合いが大きいと判断され、高額になった。 | https://xtech.nikkei.com/it/article/NEWS/20070208/261427/ |
| 自治体住民情報売却事件 | 15,000円 | 委託先の従業員が情報を不正に持ち出し、名簿業者に売却・転売されたという悪質性が考慮された。 | https://www.soumu.go.jp/main_content/000156784.pdf |
| Yahoo! BB事件 | 6,000円 | 氏名・住所・電話番号といった基本的な個人情報の漏洩に対する標準的な判例の一つ。 | https://web.archive.org/web/20060521143340/http://www.asahi.com/national/update/0519/OSK200605190079.html |
| ベネッセ事件 | 3,300円 | 子供の情報が含まれていたが、財産的被害が生じていないこと、企業側がお詫びとして金券(500円相当)を配布したことなどが考慮された。 | https://web.archive.org/web/20180620152031/https://www.asahi.com/articles/ASL6N5QCBL6NUTIL042.html |
事業停止と売上損失
システムの停止は直接的な売上の逸失を意味します。前述のKADOKAWAの事例では2ヶ月以上、半田病院は2ヶ月間、主要事業がストップしました。IPAの調査では、サイバーインシデントからの平均復旧日数は5.8日と報告されており、これは多くの中小企業にとって致命的です。
参考:IPA「「2024年度中小企業等実態調査結果」速報版を公開」
顧客・取引先からの信頼失墜(レピュテーションダメージ)
情報漏洩は、長年かけて築いた信頼関係を一瞬で破壊します。特にサプライチェーン攻撃の踏み台となった場合、取引停止につながる可能性は極めて高いでしょう。
法令遵守とコンプライアンス対応
個人情報漏洩が発生した場合、個人情報保護法に基づき、個人情報保護委員会への報告(速報:3~5日以内)と、本人への通知が義務付けられています。混乱の最中、非常にタイトなスケジュールでの対応が求められます。
【多層防御】不正アクセス対策構築プラン
具体的な防御策として、対策を3つの階層に分け、優先順位をつけて実行できるプランを提示します。
第1層:今すぐ始めるべきセキュリティ衛生管理(土台となる必須対策)
これらは、最小限のコストで直ちに実施できる最も基本的な対策です。
- OS・ソフトウェアの最新化: 既知の脆弱性をなくすため、常に最新の状態に保ちます。
- 強固なパスワードポリシーの徹底: 複雑なパスワードを義務付け、パスワードの使い回しを厳禁にします。
- 従業員へのセキュリティ教育: 不審なメールを開かないなど、全従業員のセキュリティ意識を高めます。
- アクセス権限の最小化: 業務上、本当に必要な情報だけにアクセス権限を付与します。
第2層:入口対策の強化 – UTM(統合脅威管理)の導入
次にネットワークの入口を固めるため、中小企業に最適なUTM(Unified Threat Management)の導入を検討します。UTMは、ファイアウォールやアンチウイルスなど複数のセキュリティ機能を1台に統合したオールインワン・セキュリティ装置です。コスト効率が良く、専門担当者がいなくても運用管理がしやすいのが大きなメリットです。
第3層:侵入前提の内部対策 – EDR(Endpoint Detection and Response)の採用
100%の防御は不可能なため、侵入はいつか起きることを前提とした対策が重要です。その中核がEDR(Endpoint Detection and Response)です。EDRは、PCやサーバーに侵入してしまった未知の脅威や不審な挙動を検知し、迅速な対応を可能にする仕組みです。従来のウイルス対策ソフトでは防げない攻撃への対抗策となります。
【比較表】UTMとEDR – どちらを優先すべきか?
| 比較項目 | UTM(統合脅威管理) | EDR(Endpoint Detection and Response) |
| 主な目的 | 脅威がネットワークに侵入するのを防ぐ(境界防御) | 侵入してしまった脅威を検知し、対応する(侵入後対策) |
| 防御する場所 | ネットワークの入口・出口(ゲートウェイ) | PCやサーバーなどの末端(エンドポイント) |
| 得意な脅威 | 既知のマルウェア、不正アクセス、危険なWebサイトへの接続 | 未知のマルウェア、ファイルレス攻撃、内部不正、侵入後の活動 |
| 例えるなら | 城の城壁や門 | 城内を巡回する警備員 |
| 中小企業の導入 | 幅広い脅威から防御するための最初の戦略的投資として最適。 | より成熟したセキュリティ体制を目指すための次の重要な一手。ゼロトラストの要。 |
まずはUTMで全体の防御力を底上げし、次にEDRで万が一の侵入に備える、という段階的な導入が現実的です。
明日から実践できる不正アクセス対策については『すぐに実践できる不正アクセス対策とは?原因と種類、対策費用まで徹底解説』にて解説しています。
予算獲得のための最終兵器:経営層を動かす稟議書作成フレームワーク
担当者が直面する最大の壁は、経営層を説得し、予算を確保することです。ここでは、その壁を突破するための稟議書作成フレームワークを解説します。
ステップ1:問題を技術ではなく経営リスクとして定義する(Why)
経営者が関心を持つ事業リスクとお金の話から始めます。例えば、当社の顧客情報5,000件が漏洩した場合、賠償責任額は最大7,500万円にのぼる可能性があります(1人あたり15,000円で試算)。また、事業が5.8日停止した場合の売上損失は1,740万円です。こういった数字を丁寧に示すことは効果的です。
ステップ2:解決策をリスク低減策として提示する(How)
提案するソリューションが、どのようにリスクを解決するかを明確に結びつけます。例えば、「UTMの導入により、ランサムウェア等の主要な侵入経路をブロックし、事業停止リスクを大幅に低減します」といった説明が考えられます。
ステップ3:明確な費用対効果を示す(What)
投資額と、それが回避する潜在的損失額を比較します。例えば「年間XXX万円の投資で、XX万円を超える経営リスクを回避できるため、事業継続のための合理的な保険と考えられます」といった形で説明できます。
ステップ4:段階的な導入計画と明確な次のステップを示す
現実的な導入計画を提示します。例えば、「まずは最優先事項として、今年度中にUTMの導入と全社的なセキュリティ研修を実施します。つきましては、XXX万円の予算承認をお願いいたします」といった形です。
このフレームワークに沿えば、セキュリティ対策はコストから戦略的投資へと変わり、承認を得られる可能性が高まります。
最悪の事態に備える:インシデント発生時の対応フローチャート
万が一インシデントが発生した際に、冷静かつ迅速に行動するための緊急時対応フローです。
発覚後60分以内:初動対応
- 隔離 (Isolate): 感染が疑われる端末をネットワークから切り離します。
- 電源は切らない (Don’t Power Off): 攻撃の痕跡(証拠)が消える可能性があるため、専門家の指示があるまで電源はそのままにします。
- パスワード変更 (Change Passwords): 重要システムのパスワードを安全な端末から変更します。
- 内部報告 (Report Internally): 直属の上司や情報セキュリティ担当者に速やかに報告します。
発覚後24時間以内:調査と封じ込め
- 証拠保全 (Preserve Evidence): システムログなど、あらゆる証拠を保全します。
- 被害範囲の特定 (Assess Scope): 専門家の支援も視野に入れ、被害の範囲を調査します。
- 関係各所への相談・報告 (Notify Stakeholders): 状況に応じて、警察や個人情報保護委員会などに連絡します。
【緊急時】サイバー攻撃 相談・報告先一覧
| 相談・報告先 | 連絡先(例) | 相談・報告内容 |
| 警察 | #9110 または最寄りの警察署のサイバー犯罪相談窓口 | 不正アクセス禁止法違反などの犯罪行為に関する通報・相談。被害届の提出。 |
| 個人情報保護委員会 | 公式ウェブサイトの報告フォーム | 法令で定められた要件に該当する個人情報の漏洩が発生した場合の義務的報告。 |
| IPA(情報処理推進機構) | 情報セキュリティ安心相談窓口(03-5978-7509) | インシデント対応に関する技術的な助言や、対応方法に関する相談。 |
| クレジットカード会社 | 各カード会社の緊急連絡先 | クレジットカード情報の漏洩が疑われる場合に直ちに連絡し、不正利用を防止。 |
復旧への道のり:根絶と再発防止
- 駆除と復旧 (Eradicate & Restore): マルウェアを完全に駆除し、安全なバックアップからデータを復元します。
- 公表と顧客対応 (Communicate): 必要に応じてウェブサイトでの公表や本人への通知を行います。
- 原因究明と再発防止策の策定 (Learn & Prevent): 根本原因を分析し、恒久的な対策を策定・実行します。
まとめ:セキュアな未来への第一歩を踏み出すために
本記事では、不正アクセスという脅威がいかに中小企業にとって身近で深刻な問題であるか、そしてそれにどう立ち向かうべきかを解説しました。
- 脅威の現実: 中小企業はサプライチェーン攻撃の起点として積極的に狙われています。
- 攻撃者の手口: 多様化する攻撃の多くは、基本的な対策で防げます。
- 被害の甚大さ: 一度の不正アクセスが、事業継続を脅かす壊滅的な結果を招きます。
- 効果的な防御策: 基本の衛生管理、UTM、EDRを組み合わせる多層防御が有効です。
- 行動への道筋: あなたは今、経営層を説得し、チームを導くための知識と計画を手に入れました。
漠然とした不安を具体的な行動に変える時です。この記事で得た知識を元に、自社のセキュリティ強化の第一歩を踏み出しましょう。
無料会員登録でセキュリティ対策サービス比較+最新FinTechニュースを受け取る
MCB FinTechカタログは、FinTech・Web3領域の法人向けサービスを網羅的に検索・比較できる専門プラットフォームです。無料会員登録をすると、以下の機能をご利用いただけます。
- 主要なセキュリティ対策サービス(UTM/EDR等)の料金プランや導入実績を横断的に比較
- 最新のサイバーセキュリティ動向や対策に関する限定コンテンツ・メルマガを配信
- 検討状況を保存し、社内共有をスムーズにするマイページ機能
導入検討に必要な情報をワンストップで収集し、社内稟議のスピードも大幅アップ。今すぐ無料登録して、最適なセキュリティソリューションと最新業界トレンドを手に入れましょう。
よくある質問(FAQ)
Q1.ウイルス対策ソフトだけでは不十分ですか?
A1.はい、不十分です。従来のウイルス対策ソフトは既知のウイルスには有効ですが、未知の脅威やファイルを使わない高度な攻撃には対応できません。そのため、侵入後の不審な振る舞いを検知するEDRなどを組み合わせる多層防御が必要です。
Q2.中小企業向けのUTMの費用はどのくらいですか?
A2.費用は保護する従業員数や機能により異なりますが、多くのベンダーが初期投資を抑えられる月額制のプランを提供しており、経費として管理しやすくなっています。
Q3.セキュリティ対策、何から手をつければ良いかわかりません。
A3.まずは本記事で紹介した第1層:必須のセキュリティ衛生管理から始めてください。これらはコストをかけずに実行できる効果の高い対策です。その上で、UTMの導入を次のステップとして検討するのが現実的です。
Q4.ゼロトラストという言葉を聞きますが、UTMはもう古いのですか?
A4.いいえ、古くありません。ゼロトラストは何も信頼せず、常に検証するというセキュリティの考え方です。UTMは、そのゼロトラストを実現するための重要な構成要素の一つとして、ネットワーク境界での防御という不可欠な役割を担います。
【月額基本料無し】MCB FinTechカタログに掲載しませんか?
MCB FinTechカタログでは、掲載企業様を募集しています。マネックスグループの金融実務ノウハウを活かした独自の評価軸と検索設計により、導入検討者が最適なサービスを効率的に発見できる法人向け比較プラットフォームです。掲載後は管理画面から料金表や導入事例を随時更新でき、常に最新の情報を訴求可能。まずは下記フォームより、お気軽にお問い合わせください。
マネックス証券 フィナンシャル・インテリジェンス部 暗号資産アナリスト
松嶋真倫
監修者は記事の内容について監修しています。
