中小企業必見!2026年シャドーITリスク・ランサムウェア被害と簡単セキュリティ対策
2025年11月、通販大手のアスクルがランサムウェアに感染し、受注が完全停止。中間純損益は66億円の赤字に陥りました(ライブドアニュース)。
「大企業の話でしょ? うちには関係ない」と思うかもしれません。でも実は、攻撃者が最も狙いやすいのはセキュリティが手薄な中小企業です。この記事では、今すぐ確認すべきポイントと、費用をかけずにできる防御策を具体的に解説します。
2025年、サイバー攻撃は過去最多を更新した
デジタルアーツ社の集計によると、2025年の国内セキュリティインシデントは1,782件で過去最多。不正アクセスが突出しており、中でもランサムウェアによる被害が目立っています。
しかも、被害は大企業だけに留まりません。サプライチェーン経由で取引先の中小企業が「踏み台」にされ、そこから本丸の大企業へ侵入されるケースが増えているのです。つまり、中小企業のセキュリティの甘さが、自社だけでなく取引先にも迷惑をかけるリスクになっています。
「シャドーIT」が感染の入口になっている
ランサムウェアはどこから入ってくるのか。その大きな原因のひとつが「シャドーIT」です。
シャドーITとは、会社が把握していないデバイスやアプリを社員が勝手に業務で使ってしまうこと。例えば、自宅のPCで顧客データの入ったファイルを開いたり、未承認のクラウドサービスに業務ファイルをアップロードしたり。本人に悪気はなくても、セキュリティの穴を作ってしまいます(ASCII.jp)。
PR TIMESの調査では、中小企業の約47%でシャドーITの兆候が確認されています。ほぼ2社に1社。「うちは大丈夫」と言い切れる会社はどれだけあるでしょうか。
警察庁が警告する「ニセ社長詐欺」
シャドーITと組み合わさると特に危険なのが、警察庁も注意喚起している「ニセ社長詐欺」です。
攻撃者が経営者になりすましてLINEグループを作成し、マルウェア付きのファイルを送信。私物デバイスで開いた社員のPCが感染し、そこから社内ネットワーク全体に広がる——というパターンが報告されています。
会社が管理するデバイスであればウイルス対策ソフトが検知できますが、私物のPCやスマホでは防ぎようがありません。
ランサムウェアに感染するとどうなるのか
ランサムウェアとは、パソコンやサーバー内のファイルを勝手に暗号化し、「元に戻してほしければ金を払え」と身代金(ランサム)を要求するマルウェアのことです。
感染すると、こんなことが起きます。
| 段階 | 起きること | 中小企業への影響 |
|---|---|---|
| 感染直後 | 業務ファイルが開けなくなる | 受注・請求・顧客対応すべて停止 |
| 数日後 | 身代金を要求される | 支払っても復旧の保証なし |
| 復旧まで | 専門業者による調査・復元 | 数百万円の費用、数週間の業務停止 |
| 復旧後 | 取引先からの信頼低下 | 取引停止・契約解除のリスク |
冒頭のアスクルの例では66億円の損失でしたが、中小企業でも復旧費用だけで数百万円、業務停止による売上損失を含めればさらに膨らみます。会社の規模が小さいほど、1回の被害が致命的になりかねません。
お金をかけなくてもできる対策がある
ここまで読んで「怖い」と感じた方もいるかもしれません。ただ、安心してほしいのは、まず取り組むべき対策に高額な投資は不要ということです。
対策1:「何を使っていいか」を決める
シャドーITの根本的な原因は「ルールがないこと」です。禁止するのではなく、使っていいデバイスとアプリを明確にするだけで効果があります。
- 業務で使うPCは会社が用意したもの(または承認済みのもの)に限定する
- やむを得ず私物を使う場合はVPN接続を必須にする
- 使用中のクラウドサービスを一覧化し、未承認のものは代替を用意する
完璧を目指す必要はありません。まず「うちの会社では何を使っているか」を把握するところから始めましょう。
対策2:バックアップを「3-2-1ルール」で取る
ランサムウェアに感染しても、バックアップがあれば身代金を払わずに復旧できます。ポイントは「3-2-1ルール」です。
| ルール | 内容 | 例 |
|---|---|---|
| 3つのコピー | データを3か所に保存 | 本体PC + 外付けHDD + クラウド |
| 2種類のメディア | 異なる種類の記憶媒体を使う | HDD + クラウドストレージ |
| 1つはオフライン | ネットワークから切り離して保管 | バックアップ後にHDDを取り外す |
特に重要なのは「1つはオフライン」の部分です。ランサムウェアはネットワーク上のすべてのファイルを暗号化しようとするため、常時接続のバックアップだけでは一緒にやられてしまいます。バックアップ後にHDDを物理的に外す——これだけで復旧の命綱になります。費用は外付けHDD代の数千円だけです。
対策3:月1回、5分の情報共有をする
セキュリティ事故の多くは「知らなかった」から起きます。高額な研修は不要です。月1回の朝礼やミーティングで最近の手口を1つ共有するだけで、社員の警戒レベルは格段に上がります。
共有する内容の例:
- 「最近、社長を装ったLINEメッセージからウイルスに感染する事例が増えています。心当たりのないグループ招待は開かずに報告してください」
- 「見覚えのないメールの添付ファイルは絶対に開かない。判断に迷ったら、まず上長に確認」
ルールを作っても、現場が知らなければ意味がありません。伝え続けることが最大の防御です。
よくある間違い:「バックアップさえあれば安心」ではない
バックアップは最後の砦ですが、それだけに頼るのは危険です。
なぜなら、感染経路(シャドーIT)を放置したままだと、復旧してもまた攻撃されるからです。アスクルの事例でも、感染から完全復旧までに長期間を要し、被害額は膨らみ続けました。
逆に言えば、入口を塞ぐ(対策1)+ 復旧手段を確保する(対策2)+ 人的ミスを減らす(対策3)の3つを組み合わせることで、初めて実効性のある防御になります。
セキュリティ投資、いくらが妥当なのか
「対策にはお金がかかるのでは?」という不安もあるでしょう。日経デジタルガバナンスの提言では、サイバーセキュリティ投資の目安は売上高の0.1〜0.6%とされています(中堅企業で0.3%程度)。
売上高5,000万円の会社なら年間5万〜30万円。月額にすれば4,000円〜25,000円程度です。高額なシステム導入ではなく、まずは以下から始められます。
- 外付けHDDの購入(3,000〜5,000円の一回きり)
- ウイルス対策ソフトの導入(月500〜1,000円/台)
- VPNサービスの契約(月500〜2,000円)
被害が発生した場合の復旧費用(数百万円〜)と比較すれば、予防のコストは圧倒的に安いと言えます。
まず今日やること
ここまでの内容を、すぐに実行できる順に整理しました。
- 社員が業務で使っているデバイスとアプリを確認する
会社が把握していないものがあれば、それがシャドーITです。まずは実態を知ることが第一歩。 - 重要データのバックアップを1つ、オフラインで取る
外付けHDDに今日のデータをコピーして、ケーブルを抜く。これだけで命綱ができます。 - 次の朝礼で「怪しいメールは開かずに報告」と伝える
たった一言でも、言うのと言わないのでは大きな差があります。
完璧なセキュリティ体制を一気に作る必要はありません。上の3つを今日やるだけで、あなたの会社のリスクは確実に下がります。
ホームページのセキュリティ、まるごとお任せください
マイクロシステムでは、HP制作からサーバー管理・WordPress更新・セキュリティ対策までトータルでサポートしています。全プラン月額11,000円(税込)、ドメイン取得・メールアドレスも含まれています。
料金プラン・サービス内容を見る →
※本記事に記載の情報は2026年2月時点のものです。制度や料金は変更される場合があります。
参考情報
