サイバー攻撃を受けた中小企業の約7割で「取引先にも被害」。大分の社長が”加害者”にならないための3つの確認
「うちは小さい会社だし、盗まれて困るデータもないから狙われない」。そう思っている社長ほど、いま危ない立場にいるかもしれません。自社の被害だけでは済まず、取引先まで巻き込む時代に入っているからです。
中小企業の約7割で「取引先にも被害」が及んでいる
経済産業省が公表した中小企業のサイバーセキュリティ実態調査で、気になる数字が出ました。過去にサイバー攻撃の被害に遭った中小企業のうち、約7割で取引先にも影響が及んでいたというのです。1社の感染が、ドミノ倒しのように取引網全体へ広がっていく——いわゆる「サイバードミノ」です。
同じ調査では、約7割の中小企業で組織的なセキュリティ体制が整っていないという実態も示されました。つまり「被害に遭いやすく、しかも周りを巻き込みやすい」会社が、いまだに多数派だということです。
ここで頭を切り替えたいのは、サイバー攻撃を「自社が損をする話」だと捉えている限り、対策は後回しになりがちだという点です。実際には、あなたの会社が入口になって、大切な取引先の生産ラインや個人情報が止まる・漏れる可能性がある。被害者であると同時に、加害者にもなり得る。これが今の現実です。
数字で見ると、他人事ではない
「大企業が狙われる話でしょう」と感じる方もいるかもしれません。ですが、データはむしろ逆を指しています。
| 調査項目 | 数値 | 出典(要約) |
|---|---|---|
| サイバー攻撃を受けた企業の割合 | 全体32.0%/中小企業30.3% | 帝国データバンク(2025年6月) |
| ランサムウェア被害に占める中小企業の割合 | 約66% | IPA関連調査の要約 |
| 被害に遭った中小企業のうち取引先にも影響 | 約7割 | 経済産業省 実態調査 |
| 1件あたりの被害額(平均) | 約73万円(うち9.4%は100万円以上) | 経済産業省 実態調査 |
| 復旧までにかかった日数(平均) | 約5.8日(うち2.1%は50日以上) | 経済産業省 実態調査 |
中小企業が受ける割合は大企業と大きく変わらず、ランサムウェア被害の3社に2社は中小企業です。しかも復旧まで平均で約6日。1週間近く受注も出荷も止まれば、大分の中小企業にとっては経営そのものに直結します。
もう一つ見落とせないのが、感染経路です。ランサムウェアの多くは、VPN機器やリモートデスクトップといった「外からつなぐ入口」から侵入していると報告されています。コロナ禍以降に急いで整えたテレワーク環境を、そのまま放置している会社は要注意です。
大分の社長・IT担当が今すぐ確認すべき3つのこと
難しいツールを入れる前に、まずは足元を点検するところからです。お金をかけずに今日から確認できる3点に絞りました。
1. 「外からつなぐ入口」を洗い出せているか
VPN機器やリモート接続の仕組みが、いつのファームウェアのまま動いているか、初期パスワードのままになっていないか。使っていない接続経路が開きっぱなしになっていないか。ここが最大の侵入口です。台数と型番、最終更新日を一覧にするだけでも、リスクの濃淡が見えてきます。
2. バックアップが「切り離して」保管されているか
ランサムウェアは、ネットワークにつながったバックアップごと暗号化します。日々のバックアップが本当に復元できるのか、そして少なくとも1世代は本体から物理的・論理的に切り離して(オフラインで)持っているか。「バックアップは取っている」と「戻せる」は別物です。半年に一度は、実際に戻せるかを試すことをおすすめします。
3. 取引先との「もしも」の連絡ルールを決めているか
自社が感染したとき、どの取引先に、誰が、いつ連絡するのか。逆に、取引先が感染したときに自社が何を止めるのか。ここを決めていない会社がほとんどです。サイバードミノを止められるかどうかは、技術より「初動の段取り」で決まります。A4一枚の連絡フローで十分なので、まず作ってみてください。
まとめ:一言で言うと
サイバー攻撃は、もう「自社が損をするかどうか」の話ではありません。取引先を巻き込む約7割の現実がある以上、対策は取引先への責任でもあります。とはいえ、いきなり高額なセキュリティ製品を入れる必要はありません。入口・バックアップ・連絡ルールの3点を点検するだけでも、加害者になるリスクはぐっと下がります。
参考:経済産業省「中小企業のサイバーセキュリティ対策に関する実態調査」、帝国データバンク「サイバー攻撃に関する実態調査(2025年)」2025年6月、IPA(情報処理推進機構)関連調査