「サイバー攻撃なんて、大企業や有名企業が狙われるもの。うちのような小さな会社は関係ない」
——中小企業の経営者の方から、こうした声を聞くことは少なくありません。

しかし、攻撃する側の視点に立つと、むしろ中小企業のほうが「狙いやすい相手」と見なされている可能性があります。
実際、警察庁が2026年3月に公表した資料によれば、2025年に報告されたランサムウェア被害226件のうち、中小企業は143件と全体の約6割を占めていました。

なぜ規模の小さい企業が、これほど攻撃の対象になっているのでしょうか。
本記事では、その背景にある構造的な理由を4つに整理してお伝えします。
「自社は本当に大丈夫か」を考えるきっかけにしていただければと思います。

最も根本的な理由は、中小企業ではセキュリティ対策にかけられる予算や人材に制限がある点にあると考えられます。

IPA（独立行政法人情報処理推進機構）の「2024年度 中小企業における情報セキュリティ対策に関する実態調査」の概要資料によると、情報セキュリティ対策投資の状況について、全体の約7割が「投資していない」または「わからない」と回答したと報告されています。
さらに、約7割の中小企業で情報セキュリティの専任担当者や専門部署が存在しないという指摘もあります。

担当者が不在であれば、システムの脆弱性（セキュリティ上の弱点）への対応やパスワード管理などが後手に回りやすくなります。
攻撃する側から見れば、防御の薄い相手は侵入の手間が少なく、いわば「鍵のかかっていない扉」のように映っているのかもしれません。

「うちは無名だから、攻撃者に見つからないだろう」という発想も、実態とずれている可能性があります。

セキュリティ事業者の解説によると、攻撃の多くは自動スキャンツールによる無差別な探索から始まるとされています。
つまり、特定の企業を狙い撃ちするというより、「防御の甘い場所」を機械的に見つけ出して侵入する手口が広がっているという見方です。

この見方に立つと、企業の知名度や規模は必ずしも安全の理由にはなりません。
むしろ「防御レベルが低い」という一点だけで、攻撃対象に含まれてしまう構造があると考えられます。
会社の大小にかかわらず、インターネットにつながっている時点でリスクと無縁ではない、と捉えておくほうが現実的です。

近年とくに問題視されているのが、サプライチェーン（取引網）を悪用した攻撃です。
IPAの「情報セキュリティ10大脅威 2025」では、組織における脅威の第2位に「サプライチェーンの弱点を悪用した攻撃」が挙げられました。

これは、セキュリティの堅い大企業を正面から狙うのではなく、その取引先である中小企業に侵入し、そこを「踏み台」にして本来の標的へ近づくという手口です。
IPAの実態調査でも、不正アクセス被害を受けた企業のうち、「取引先やグループ会社等を経由して侵入された」との回答が19.8%あったと報告されています。

この点が重要なのは、被害が自社だけにとどまらないという事実です。
IPAは、中小企業の対策が不十分な場合、取引先が提供した重要情報の流出や、その企業を踏み台にして取引先が攻撃されるおそれがあると指摘しています。

つまり、自社の対策不足が取引先の信頼を損なうリスクにつながりかねないということです。
最近では、取引の条件としてセキュリティ対策の状況を確認される場面も増えてきているようです。

4つ目の理由は、技術環境の変化です。
テレワークの普及などにより、社外から社内ネットワークへ接続する経路が増えたことが、新たな弱点を生んでいる可能性があります。

IPAの実態調査では、不正アクセス被害を受けた企業の手口として、「脆弱性（セキュリティパッチの未適用等）を突かれた」が48.0%で最も多く、次いで「ID・パスワードをだまし取られた」が36.8%だったと報告されています。
報じられているところでは、VPN機器やリモートデスクトップが侵入経路となるケースも目立つとされています。

これらは、いずれも「更新を怠っていた」「パスワードの管理が甘かった」といった、日常の運用の隙を突かれた結果とも読み取れます。
裏を返せば、基本的な対策を徹底するだけでも、入り口の多くは塞げる可能性があるということでもあります。

IPAの調査では、過去3期内でサイバーインシデントが発生した企業における被害額の平均は73万円（うち9.4%は100万円以上）、復旧までに要した期間の平均は5.8日（うち2.1%は50日以上）と報告されています。

金額だけを見れば「想定内」と感じる方もいるかもしれませんが、復旧期間中の業務停止や、取引先・顧客からの信用低下まで含めて考えると、影響はより大きくなる可能性があります。
中小企業にとっては、こうした損失が経営そのものを揺るがしかねない点に注意が必要だと考えられます。

中小企業が狙われやすい理由を整理すると、その多くは「対策が手薄」「基本的な運用の隙」に起因しているように見えます。
逆に言えば、特別な投資をしなくても、まず取り組めることをすべきとも言えます。

たとえば、IPAが推進する「SECURITY ACTION」（情報セキュリティ対策に取り組むことを自己宣言する制度）は、費用をかけずに第一歩を踏み出せる仕組みとして知られています。
また、より本格的な対策を進める際には、デジタル化・AI導入補助金の「セキュリティ対策推進枠」など、費用負担を軽減できる制度の活用も選択肢になります。

なぜ多くの中小企業で対策が後回しになってしまうのか、その壁の越え方については、関連記事もあわせてご覧ください。
補助金を活用した進め方について検討したい場合は、行政書士の立場から制度の要件確認や申請準備をサポートいたしますので、お気軽にご相談ください。

関連記事

• [中小企業のセキュリティ対策が「狙われる前」に必要な理由｜攻撃の実態と進まない背景]（全体像をまとめた記事）
• [中小企業のサイバー攻撃事例7選｜被害額と「何が起きたか」から学ぶ教訓]（実践編）
• [なぜ中小企業のセキュリティ対策は進まないのか？「予算・人材・意識」3つの壁と突破法]（応用編）

---

出典

• 警察庁「令和7年（2025年）におけるサイバー空間をめぐる脅威の情勢等について」（2026年3月公表）
• IPA（独立行政法人情報処理推進機構）「2024年度 中小企業における情報セキュリティ対策に関する実態調査 報告書／概要説明資料／速報版」（2025年）
• IPA「情報セキュリティ10大脅威 2025」
• 経済産業省／IT導入補助金2025「セキュリティ対策推進枠」公募情報

※本記事は公開情報をもとに作成しています。制度の内容・要件は変更される場合があるため、申請の際は必ず各制度の公式情報をご確認ください。