「サイバー攻撃は大企業の問題」
——多くの中小企業経営者の方が、そう感じていらっしゃるかもしれません。
しかし、公的機関が公表しているデータを見ると、その認識は実態と少しずれている可能性があります。

警察庁が2026年3月に公表した資料によると、2025年に報告されたランサムウェア（データを暗号化し身代金を要求する攻撃）の被害は226件で、そのうち中小企業は143件と、全体の約6割を占めていました。
被害は製造業を中心に、卸売・小売、サービス業、情報通信など幅広い業種に広がっているとされています。

本記事では、なぜ中小企業が狙われやすいのか、実際にどのような被害が起きているのか、そしてなぜ対策が進みにくいのかという3つの観点から、現状を整理します。
補助金を活用した事業発展を計画されている経営者の方が、「自社にも起こり得る課題」として捉えるための入口としてお読みいただければ幸いです。

まず、全体像を客観的な数字で確認します。

帝国データバンクが2025年に実施した調査では、サイバー攻撃を受けた経験があると回答した企業は全体の32.0%にのぼり、規模別では中小企業が30.3%、小規模企業が28.1%という結果でした。
大企業（41.9%）と比べると割合は低めですが、3社に1社近くが何らかの攻撃を経験しているという数字は、決して他人事とは言いきれないように思われます。

被害の深刻さも見過ごせません。IPA（独立行政法人情報処理推進機構）が2025年5月に公表した「2024年度 中小企業における情報セキュリティ対策に関する実態調査」では、被害額は50万円未満が最も多い一方で、中小企業でも1000万円～1億円未満の被害を受けたと回答した先も存在したと報告されています。

同調査では、中小企業の1企業あたりの売上高が平均2.1億円（経済産業省 令和5年中小企業実態基本調査）であることを踏まえると、サイバーインシデントが生じた場合、経営に多大な影響を及ぼすことが考えられると指摘されています。

加えて、警察庁の資料では被害を受けた組織で復旧費用が1000万円以上、復旧に1か月以上を要したケースも報告されているとされ、金銭的な損失だけでなく、事業停止に伴う機会損失や信用への影響も無視できないと考えられます。

「規模が小さいから狙われない」という発想とは逆に、攻撃者から見ると中小企業には狙う理由があるとされています。
背景には、対策に充てる予算や専門人材が大企業ほど確保しにくいという構造的な事情があると指摘されています。

さらに近年問題視されているのが、取引先を経由した「サプライチェーン攻撃」です。

IPAの「情報セキュリティ10大脅威 2025」では、組織における脅威の第1位に「ランサムウェアによる被害」、第2位に「サプライチェーンの弱点を悪用した攻撃」が挙げられました。
つまり、大企業を直接狙うのではなく、セキュリティの手薄な取引先（中小企業）を踏み台にして大企業へ侵入する、という手口が広がっているとみられます。

この点については、（別記事）[なぜ中小企業がサイバー攻撃に狙われるのか？大企業より危険な4つの理由] で、対策の手薄さ・サプライチェーンの踏み台・人材不足といった要因をより詳しく整理しています。

抽象的なリスクの話だけでは、自社との距離感がつかみにくいかもしれません。
IPAの2025年3月の資料では、医療機関がランサムウェア被害により外来診療の制限や救急受入の停止、予定手術の停止等の対応を余儀なくされた事例や、委託先を通じて地方公共団体・金融機関等の個人情報が流出した事例などが、関係機関の発表や報道に基づいて紹介されています。

侵入経路についても傾向が見えてきています。
報じられているところでは、VPN機器やリモートデスクトップが侵入経路となるケースが目立つとされ、テレワーク環境の普及に伴って広がった接続口が弱点になっている可能性があります。

具体的な事例から自社の弱点に気づくための材料として、（別記事）[中小企業のサイバー攻撃事例7選｜被害額と「何が起きたか」から学ぶ教訓] もあわせてご覧いただくと、イメージがつかみやすいと思います。

ここまで読んで「対策の必要性はわかった」と感じても、実際に手を動かすとなると別の壁が立ちはだかります。
多くの中小企業で共通して挙げられるのが、「予算がない」「担当できる人材がいない」「従業員の意識が高まらない」という3つの課題です。

経済産業省は、こうした中小企業において人的・資金的リソースの不足から対策が後手に回るケースが少なくないという背景を受けて、デジタル化・AI導入補助金に「セキュリティ対策推進枠」を創設しました。

これは、IPAが認定・公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されたサービスの利用料を補助する制度です。
2025年度の内容としては、補助上限額は150万円、補助下限額は5万円に設定されています。補助率は1/2以内（小規模事業者は2/3以内）とされています。

なお、申請にあたってはGビズIDプライムの取得や、SECURITY ACTION（IPAが推進する情報セキュリティ対策の自己宣言）の取得が前提条件になるとされており、事前準備が採択のカギになると考えられます。

「予算・人材・意識」の壁をどう乗り越えるかという論点は、（別記事）[なぜ中小企業のセキュリティ対策は進まないのか？「予算・人材・意識」3つの壁と突破法] で、補助金や外部支援の活用方法を含めて掘り下げています。

ここまで見てきたように、中小企業を取り巻くサイバー攻撃の状況は、公的データのうえでも軽視しにくい段階にあるように思われます。

一方で、対策は必ずしも大きな投資から始める必要はなく、デジタル化・AI導入補助金「セキュリティ対策推進枠」やSECURITY ACTIONの自己宣言など、比較的取り組みやすい制度的な後押しも用意されています。

最初の一歩としては、自社の現状を客観的に把握し、何から着手すべきかを整理することが現実的ではないでしょうか。
補助金の活用を含めた進め方について検討したい場合は、お気軽にご相談ください。制度の要件確認から申請準備まで、行政書士の立場からサポートいたします。