警察庁の統計によると、ランサムウェア被害の約6割を中小企業が占めており、サイバー攻撃は大企業だけでなく中堅・中小企業にも深刻な影響を及ぼしている。2026年度には「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の開始が予定され、セキュリティ対策は被害防止だけでなく取引継続にも直結するテーマとなりつつある。NTT東日本の小川茂樹氏と麻生享路氏に、中堅・中小企業が取り組むべき対策を聞いた。
中堅・中小企業に集中するランサムウェア被害の実態
ランサムウェアをはじめとするサイバー攻撃の被害は後を絶たない。報道では大企業の事例が注目されがちだが、実際には中堅・中小企業も数多く被害を受けている。警察庁が公表するランサムウェア被害では約6割を中小企業が占める。麻生氏は「大企業の事例は報道で扱われる傾向にありますが、中小企業の被害事例は表に出にくい傾向があります。申告義務を認識していないケースや、対応に追われて情報発信まで手が回らないケースもあり、実際の被害はさらに多い可能性があります」と指摘する。
攻撃手法の変化と無差別攻撃の増加
近年はRaaS(Ransomware as a Service)の普及により、専門知識を持たなくてもランサムウェア攻撃を実行できるようになった。生成AIの活用で攻撃コストは低下し、特定企業を狙うのではなく、幅広い企業に対して無差別に攻撃を仕掛けるケースが増えている。警察庁の「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害は高水準で推移し、侵入経路としてはVPN機器やリモートデスクトップ経由が多く、脆弱なシステムを探索する手口が確認されている。
麻生氏は「中小企業だけが狙われているとは見ていない」と話す。攻撃者は企業規模を問わず脆弱なシステムを探索しており、その過程で中小企業も数多く攻撃対象となっている。小川氏は「ダークウェブでは攻撃ツールやRaaSが容易に入手できるようになっており、攻撃のハードルは下がっています。その結果、企業規模を問わず攻撃対象となる状況が生まれています」と説明する。
中堅・中小企業が対策に踏み出せない理由
多くの中堅・中小企業では十分なセキュリティ対策が進んでいない。理由の一つは人材不足だ。大企業であれば情報システム部門やセキュリティ専門部署を設置できるが、中小企業では総務部門がIT管理を兼任しているケースも少なくない。小川氏は「500人規模を超える企業になると専任の情報システム担当者がいるケースもありますが、それ以下になると総務担当者が兼務していることも珍しくありません。セキュリティ対策に十分な時間を割けないという課題があります」と語る。
また、多くの企業が「対策の必要性は理解しているものの、何から始めればよいかわからない、相談先がない」という状況に置かれている。中堅・中小企業にとっての課題は、対策の必要性を理解することではなく、限られた予算や人員の中で何を優先すべきか判断することにある。
SCS評価制度でセキュリティは「取引条件」に
サイバー攻撃の脅威が高まる中、企業に求められるセキュリティ対策も大きく変化しつつある。従来は自社のリスク対策として捉えられていたが、近年はサプライチェーンを標的とした攻撃が増加し、取引先企業を経由した侵入も少なくない。経済産業省は2026年度の開始を目指し、SCS評価制度の検討を進めている。同制度は、中堅・中小企業を含むサプライチェーン内の企業を対象に、セキュリティ対策の達成度を共通フォーマットで評価・可視化する仕組みだ。
麻生氏は「以前はセキュリティ対策をコストと捉える企業もありましたが、現在は経営課題として捉えられるようになってきています」と話す。小川氏も「最近は経営層との会話が増えています。情報システム部門だけではなく、経営会議でどう説明するかという相談も増えています」と説明する。制度への対応が進まなければ、将来的には取引先から十分な信頼を得られず、ビジネス機会の損失につながる可能性もある。
NTT東日本が提供する「実践知」と伴走支援
NTT東日本は中堅・中小企業向けのセキュリティ支援を強化している。同社は長年にわたり大規模ネットワークの運用を担い、自社でも高度なセキュリティ対策を実施してきた。2020年東京オリンピック・パラリンピックではネットワーク監視とセキュリティ分析業務を担当し、現在は約450社にSOCサービスを提供している。小川氏は「私たちは単に製品を販売しているのではなく、自社で培ってきた運用ノウハウをお客様に提供しています」と説明する。
有事の際にはアラート分析だけでなく、原因究明や再発防止策の提案まで支援している。「お客様に寄り添うSOC」を掲げ、月次レポートを通じて潜在的なリスクを可視化し、継続的な改善につなげている。こうした現場経験の中で、多くの中堅・中小企業が「何から対策を始めればよいかわからない」という課題を抱えていることを実感しているという。
中小企業がとるべき対策:現状把握と優先順位付け
SCS評価制度で求められる対策の多くは、製品やツールの導入だけでは対応できない。体制の整備、ルールの策定、継続的な管理といった運用面の項目が大半を占めており、企業としてどのような順序で対策を進めるかが重要になる。NTT東日本が提供する「SmoothRoadmap」は、企業ごとの現状や課題を可視化しながら、セキュリティ対策の優先順位を整理し、段階的な取り組みにつながるロードマップを策定するサービスだ。
麻生氏は「SCS評価制度にどう対応すればよいかわからないという企業に対して、まず現状を整理し、段階的な取り組みを提案しています」と説明する。また、実際の運用ではUTMやEDRを活用した「見える化」も重要になる。同社では、SOCによる高度な監視の前段階として、UTMを活用した『おまかせサイバーみまもり』や、EDRを活用した『おまかせアンチウイルスEDRプラス』を提供している。
麻生氏によると、サービス導入後もアラート通知や運用サポートを提供しており、中堅・中小企業でも継続的にセキュリティ対策を進められる体制づくりを支援している。小川氏は「攻撃を受けていることや侵入されていることが分からなければ、対策の打ちようがありません。まずは現状を把握できる環境を整えることが重要です」と強調する。
SCS評価制度への対応やサイバー攻撃対策というと、高度なSOCや高価なセキュリティ製品の導入をイメージするかもしれない。しかし、NTT東日本が強調するのは、まず現状を把握し、優先順位を定めることだ。限られた予算や人員の中でも、自社に必要な対策を段階的に進めることが、セキュリティ強化への第一歩となる。
