ランサムウェアをはじめとするサイバー攻撃は、大企業だけでなく中堅・中小企業にも広がっている。警察庁の統計では、ランサムウェア被害の約6割を中小企業が占める。

一方で、多くの企業は人材や予算の制約から「何から対策を始めればよいかわからない」という課題を抱えている。さらに2026年度には「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の開始も予定されており、セキュリティは被害防止だけでなく取引継続にも関わるテーマになりつつある。

中堅・中小企業は何から取り組むべきなのか。NTT東日本 ビジネス開発本部 サイバーセキュリティビジネス部 部長の小川茂樹氏、ビジネス開発本部 サイバーセキュリティビジネス部 担当部長の麻生享路氏に話を聞いた。

  • 左から、NTT東日本 ビジネス開発本部 サイバーセキュリティビジネス部 部長の小川茂樹氏、ビジネス開発本部 サイバーセキュリティビジネス部 担当部長の麻生享路氏

    左から、NTT東日本 ビジネス開発本部 サイバーセキュリティビジネス部 部長の小川茂樹氏、ビジネス開発本部 サイバーセキュリティビジネス部 担当部長の麻生享路氏

中堅・中小企業に集中するサイバー攻撃の被害とは

ランサムウェアをはじめとするサイバー攻撃の被害は後を絶たない。報道では大企業の被害事例が注目されることが多いが、実際には中堅・中小企業も数多く被害を受けている。警察庁が公表するランサムウェア被害では約6割を中小企業が占める。

「大企業の事例は報道で扱われる傾向にありますが、中小企業の被害事例は表に出にくい傾向があります。申告義務を認識していないケースや、対応に追われて情報発信まで手が回らないケースもあり、実際の被害はさらに多い可能性があります」と麻生氏は指摘する。

  • NTT東日本 ビジネス開発本部 サイバーセキュリティビジネス部 担当部長 麻生享路氏

    NTT東日本 ビジネス開発本部 サイバーセキュリティビジネス部 担当部長 麻生享路氏

その背景には攻撃手法の変化がある。近年はRaaS(Ransomware as a Service)の普及により、専門知識を持たなくてもランサムウェア攻撃を実行できるようになった。さらに生成AIの活用によって攻撃コストは低下し、特定企業を狙うのではなく、幅広い企業に対して無差別に攻撃を仕掛けるケースが増えている。

警察庁が公表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害は依然として高水準で推移している。侵入経路としてはVPN機器やリモートデスクトップ経由が多く、脆弱なシステムを探索して侵入する手口が継続して確認されている。こうした攻撃は企業規模を問わず実行されるため、中堅・中小企業も例外ではない。

このような状況の下、日本ではもともと企業数の多い中小企業で被害が目立つようになっている。麻生氏は「中小企業だけが狙われているとは見ていない」と話す。

むしろ、攻撃者は企業規模を問わず脆弱なシステムを探索しており、その過程で中小企業も数多く攻撃対象となっているという。

小川氏は、「ダークウェブでは攻撃ツールやRaaSが容易に入手できるようになっており、攻撃のハードルは下がっています。その結果、企業規模を問わず攻撃対象となる状況が生まれています」と説明する。

  • NTT東日本 ビジネス開発本部 サイバーセキュリティビジネス部 部長 小川茂樹氏

    NTT東日本 ビジネス開発本部 サイバーセキュリティビジネス部 部長 小川茂樹氏

麻生氏も「サイバー攻撃は金銭目的で行われるケースが多く、攻撃者にとっては企業規模よりも利益を得られるかどうかが重要です」と指摘する。

つまり、中堅・中小企業が狙われているというよりも、攻撃者が大量の標的に対して効率的に攻撃を行う中で、中小企業も例外なく攻撃対象となっているのである。

なぜ中堅・中小企業は対策に踏み出せないのか

こうした状況にもかかわらず、多くの中堅・中小企業では十分なセキュリティ対策が進んでいない。

その理由の一つが人材不足だ。

大企業であれば情報システム部門やセキュリティ専門部署を設置できるが、中小企業では総務部門がIT管理を兼任しているケースも少なくない。

「500人規模を超える企業になると専任の情報システム担当者がいるケースもありますが、それ以下になると総務担当者が兼務していることも珍しくありません。セキュリティ対策に十分な時間を割けないという課題があります」と小川氏は語る。

また、多くの企業が「対策の必要性は理解しているものの、何から始めればよいかわからない、相談先がない」という状況に置かれている。

中堅・中小企業にとっての課題は、対策の必要性を理解することではなく、限られた予算や人員の中で何を優先すべきか判断することにある。

SCS評価制度でセキュリティは「取引条件」に

サイバー攻撃の脅威が高まる中、企業に求められるセキュリティ対策も大きく変化しつつある。

従来は、自社が被害を受けないためのリスク対策として捉えられることが多かった。しかし近年はサプライチェーンを標的とした攻撃が増加しており、取引先企業を経由して侵入されるケースも少なくない。

こうした状況を受け、経済産業省は2026年度の開始を目指し、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の検討を進めている。

同制度は、中堅・中小企業を含むサプライチェーン内の企業を対象に、セキュリティ対策の達成度を共通フォーマットで評価・可視化する仕組みだ。発注側と受注側が共通の物差しを用いることで、対策状況を客観的に確認できる環境の整備を目指している。

麻生氏は「以前はセキュリティ対策をコストと捉える企業もありましたが、現在は経営課題として捉えられるようになってきています」と話す。

また小川氏は、「最近は経営層との会話が増えています。情報システム部門だけではなく、経営会議でどう説明するかという相談も増えています」と説明する。

制度への対応が進まなければ、将来的には取引先から十分な信頼を得られず、ビジネス機会の損失につながる可能性もある。サイバーセキュリティは、もはやIT部門だけの課題ではなく、企業経営そのものに関わるテーマになりつつある。

NTT東日本が提供する「実践知」と伴走支援

こうした変化に対応するため、NTT東日本は中堅・中小企業向けのセキュリティ支援を強化している。

NTT東日本というと通信事業者のイメージが強いが、同社は長年にわたり大規模ネットワークの運用を担い、自社でも高度なセキュリティ対策を実施してきた。

  • NTT東日本はセキュリティ状況の可視化から運用支援、インシデント対応まで幅広いサービスを提供している

    NTT東日本はセキュリティ状況の可視化から運用支援、インシデント対応まで幅広いサービスを提供している

さらに、2020年東京オリンピック・パラリンピックではネットワーク監視とセキュリティ分析業務を担当し、大規模イベントの安全な運営を支えた。現在は、約450社にSOCサービスを提供しているという。

  • 自社での運用ノウハウを生かした脅威検知や国際イベントでの対応経験を生かしたSOC業務は450社超に提供している

    自社での運用ノウハウを生かした脅威検知や国際イベントでの対応経験を生かしたSOC業務は450社超に提供している

小川氏は「私たちは単に製品を販売しているのではなく、自社で培ってきた運用ノウハウをお客様に提供しています」と説明する。

また、有事の際にはアラート分析だけでなく、原因究明や再発防止策の提案まで支援している点も特徴だ。

「お客様に寄り添うSOC」を掲げ、月次レポートを通じて潜在的なリスクを可視化し、継続的な改善につなげているという。

こうした現場経験の中で同社が実感しているのが、多くの中堅・中小企業が「何から対策を始めればよいかわからない」という課題を抱えていることだ。製品やサービスを導入する以前に、自社の現状を把握し、どの対策を優先すべきか整理できていないケースも少なくないという。

中小企業が課題解決に向けとるべき対策とは

多くの中堅・中小企業は「対策の必要性は理解しているが、何から始めればよいかわからない」という課題を抱えている。

背景には、SCS評価制度で求められる対策の多くが、製品やツールの導入だけでは対応できないことがある。

SCS評価制度は、IPAが運営する「SECURITY ACTION」の流れをくむ制度と位置付けられている。SECURITY ACTIONでは企業が自ら取り組み状況を宣言する仕組みだったが、SCS評価制度ではより実効性を重視し、上位レベルでは外部専門家や第三者機関による確認・評価も求められる方向で検討が進められている。

麻生氏によると、SCS評価制度への関心は高く、同社が実施するセミナーやウェビナーにも多くの企業が参加しているという。しかし、制度で求められる項目の多くは製品やツールの導入だけでは満たせない。

「体制を整備する」「ルールを策定する」「継続的に管理する」といった運用面に関する項目が大半を占めており、企業としてどのような順序で対策を進めるかが重要になる。

まずは現状把握と優先順位付けから

そこでNTT東日本が提供しているのが「SmoothRoadmap」だ。同サービスでは企業ごとの現状や課題を可視化しながら、セキュリティ対策の優先順位を整理し、段階的な取り組みにつながるロードマップを策定する。

麻生氏は「SCS評価制度にどう対応すればよいかわからないという企業に対して、まず現状を整理し、段階的な取り組みを提案しています」と説明する。

  • ユーザーの困りごとの「見える化」を支援しながら、安心できる業務環境を構築するまでのロードマップを提案する「SmoothRoadmap」

    ユーザーの困りごとの「見える化」を支援しながら、安心できる業務環境を構築するまでのロードマップを提案する「SmoothRoadmap」

中小企業に求められる「見える化」

また、実際の運用ではUTMやEDRなどを活用した「見える化」も重要になる。

ただし、見える化の重要性は理解していても、中堅・中小企業が大企業と同じようなSOC体制を構築するのは容易ではない。

小川氏は「500人規模を超える企業になると専任の情報システム担当者がいるケースもありますが、それ以下になると総務担当者が兼務していることも珍しくありません」と説明する。

そのため同社では、SOCによる高度な監視の前段階として、UTMを活用した『おまかせサイバーみまもり』や、EDRを活用した『おまかせアンチウイルスEDRプラス』を提供している。

麻生氏によると、サービス導入後もアラート通知や運用サポートを提供しており、中堅・中小企業でも継続的にセキュリティ対策を進められる体制づくりを支援しているという。

小川氏は「攻撃を受けていることや侵入されていることが分からなければ、対策の打ちようがありません。まずは現状を把握できる環境を整えることが重要です」と強調する。

SCS評価制度への対応やサイバー攻撃対策というと、高度なSOCや高価なセキュリティ製品の導入をイメージするかもしれない。しかし、NTT東日本が強調するのは、まず現状を把握し、優先順位を定めることだ。

限られた予算や人員の中でも、自社に必要な対策を段階的に進めることが、セキュリティ強化への第一歩になるという。