中小企業はなぜ狙われる？いま変えるべきサイバーリスクの考え方

はじめに

セキュリティは「コスト」であり、被害は“うちは関係ない”と考えがち。
セキュリティは信用を守る投資。被害は“前提”として準備し、止める・最小化する。
本記事では、経営の言葉でなぜ今、発想を転換すべきかを整理し、今日からできる3アクションを提示します。

目次

1. なぜ中小企業が狙われるのか
2. 取引先・SaaSが拡張する攻撃面
3. 経営で押さえる5原則
4. 今日からの3アクション

本文

4-1. なぜ中小企業が狙われるのか

「うちは小さいから狙われない」は、もっとも高くつく思い込みです。
攻撃者は“儲かるかどうか”で動き、防御の薄さ×支払い能力×連鎖可能性で標的を選びます。
従業員30名の製造業でも、取引先へつながるVPNや請求フローを持っていれば、攻撃者にとっては十分に魅力的です。
しかも自動化されたスキャンやフィッシングは、規模を問わず無差別にばらまかれます。
つまり「狙われる／狙われない」ではなく、見つかった脆弱性から順に踏まれるのが現実です。

たとえばよくある流れはこうです。
①外部で漏えいしたパスワードを使い回している従業員のメールにパスワードスプレー
→②ログイン後にメール転送ルールを仕込み、取引先との請求情報を収集
→③月末に請求書差し替えを実行
——数百万円規模の被害が出ても、会計は「通常運転」に見えるため、発見は遅れがちです。
結果として信用の毀損、キャッシュフローの毀損、納期遅延が連鎖し、ITの問題が経営の問題に一気に転化します。

ここで働く心理は正常性バイアスと楽観バイアスです。
「去年は何も起きなかった」が「明日も起きない」根拠にはなりません。
逆に「起きた前提」で設計すると、驚くほどコストは下がります。
理由は簡単で、対策の多くは設定と運用の見直しで済むからです。

4-2. 取引先・SaaSが拡張する攻撃面

オンプレの境界防御だけでは、クラウド時代の実態に合いません。
いまや業務の多くはSaaS上にあり、社員の端末・ネットワークをまたいでデータが行き交います。
“境界”はネットワークからIDへと移動しました。
攻撃者はこの変化を正確に突いてきます。

– サプライチェーン起点（BEC：取引先なりすまし）：取引先のアカウント侵害→正規スレッドに割り込み→支払口座の変更依頼を偽装。
者は「いつもの相手」「過去の会話の続き」に見えるため疑いにくい。
– SaaS設定不備：共有リンクの社外公開のまま資料を保存、退職者アカウントの放置、管理者権限の過剰付与、監査ログ未保存など。
設定の1クリックが漏えいの引き金になることは珍しくありません。
– ハイブリッドワーク：私物端末や自宅Wi-Fiからのアクセス、ブラウザ拡張機能、生成AIツールへの機密貼り付けなど、現場の利便性がリスクの入り口になります。

経営として見るべきは、「技術の細部」ではなく“責任の所在”と“再発防止の仕組み”です。
ID管理・権限設計・監査ログ・バックアップといった再現性のある運用は、規模に関係なく投資対効果が高い領域です。
さらに、取引先からはチェックシートや証跡提示を求められる時代。
守っていることを説明できる状態そのものが信用資産になります。

4-3. 経営で押さえる5原則

原則1：アカウントは“資産”、MFAは“鍵”
全ての主要SaaSとメールにMFAを必須化。
管理者権限は最小化し、日常作業は一般権限で行います。
退職・異動時は即時無効化と権限回収をチェックリスト化。
共有アカウントは基本廃止し、やむを得ない場合は個人名＋代理権限で追跡可能にします。

原則2：バックアップは“最後の砦”、復旧で勝つ
ランサム対策の本丸は「支払わないで復旧できること」。
業務データは分離保管し、定期的なリストア演習で“戻せる”ことを確認します。
SaaSも論理削除の保持期間を見直し、重要データは別系統に二重化しておくと安心です。

原則3：可視化と記録が“異常に気づく力”をつくる
メール転送ルールの作成、国外からのログイン、MFA未設定ユーザーなど、見たいイベントを事前に定義。
SaaSの監査ログを最低90日以上保持し、月次レポートで「先月の変化」を見ます。
EDR/ウイルス対策は一本化し、アラートは誰が／いつ／どう対応するかを決めておきます。

原則4：最小構成の徹底——いらない共有・公開をやめる
データ分類（機密／社外秘／社内／公開）を簡易でも定義し、社外共有の既定値はOFFに。
プロジェクト終了時には共有の棚卸しを行い、外部メールドメインが含まれていないかを点検。
クラウドストレージのパブリックURLを検索して一括確認するだけでも効果があります。

原則5：訓練が効く——短時間でよいから継続
フィッシング訓練や15分のEラーニングを毎月。
重要なのは「誰が間違えたか」ではなく、どこで引っかかったかの学習共有です。
ミスを責めず、再発を減らす文化を作ると、現場が自発的に守るようになります。

補足：チャルディーニの社会的証明を活用しましょう。
「同規模企業の多くがMFAを必須化」といった“外部基準”を示すと、稟議が通りやすくなります。

4-4. 今日からの3アクション

A. MFAの一斉適用（今週）
対象：メール／主要SaaS／VPN／管理コンソール。
通知：全社アナウンス→期限設定→未設定者リストを毎日共有。
支援：ヘルプデスクの“よくある詰まり”Q&Aを1枚にまとめ、設定会をオンラインで30分×2回開催。
経営メッセージは「MFAは作業負担ではなく全員の保険」。

B. 退職者アカウントの一掃（来週）
人事・総務・情シスでアカウント台帳を突合。
SaaS管理画面とディレクトリの不整合をチェックし、二要素のバックアップコードやアプリ連携まで停止。
共有メールボックスや自動転送ルールも合わせて見直します。
作業完了後は証跡（スクリーンショット／CSV）を残し、次回以降の監査に使えるように保管します。

C. 重要データの所在リスト化（今月）
部門ごとに「どこに／何が／誰と共有されているか」を30分ワークで棚卸。
クラウドストレージ、SaaS、端末内の3レイヤーで洗い出し、社外共有の有無を明記します。
優先順位は「取引先に渡るデータ」「個人情報」「財務・知財」。
このリストはリスク台帳の土台になり、次回以降の権限見直しやバックアップ設計に直結します。

ミニワーク：3行で作る“経営向けリスク台帳”
1) 資産：例「見積・請求データ（SaaS-会計）」
2) 脅威×弱点：例「BECで口座差し替え／MFA未設定」
3) 対応：例「MFA必須化／請求時の二者確認（電話）」
— まずは10件書き出し、月次で見直します。
書く行為そのものが“思考の可視化”になり、社内の目線が揃います。

社内合意を取るひと言テンプレ
– 経営向け：「被害ゼロは約束できませんが、被害を小さくすぐ戻す体制は今月から作れます」
– 現場向け：「MFAの30秒は、あなたのメールが偽装に使われない保険です」
– 取引先向け：「当社はMFA・権限最小化・監査ログ・定期バックアップを運用として実施しています」

最後に強調したいのは、完璧より継続という姿勢です。
一度にすべてをやろうとすると、現場は反発し、運用は長続きしません。
逆に、MFA・アカウント棚卸・データ所在の3点に集中し、“できた事実”を毎週共有するだけで、組織の空気は変わります。
これは単なるセキュリティ対策ではなく、信用を積み上げる社内文化づくりです。

まとめ

– セキュリティは事業の信用を守る投資。
– 狙われるのは規模ではなく脆弱性と繋がり。
– MFA・アカウント棚卸・重要データ所在リストの3つから始めれば費用対効果が高い。

FAQ

Q1. うちは小規模で狙われにくいのでは？
A. 規模ではなく、防御の薄さと連鎖可能性が狙われます。最小限の基盤整備がまず重要です。

Q2. まず何から着手すれば？
A. MFAの全社適用→退職者アカウント無効化→重要データの所在リスト化の順でOK。

Q3. 外部のSOCやEDRは高すぎませんか？
A. 90日計画の“後半”に検討。まずはMFA・バックアップ・ログの自社運用で基盤を作り、次に必要性を判断します。