中小企業・町工場の情報セキュリティ実態レポート (2026年4月〜5月)
今週のトレンド分析
① 「狙いやすい方を狙う」時代、中小企業はもはや主戦場
ランサムウェア被害の3分の2が中小企業、製造業は業種別ワースト1位。偶然じゃなくて、RaaS(Ransomware as a Service:ランサムウェア攻撃に必要なツールや運用基盤を、攻撃者向けに貸し出すサービス型の犯罪ビジネス)の普及で攻撃コストが劇的に下がった結果として起きている構造的な変化です。大企業は防御を固めてきた。その分、対策が手薄な中小・下請け企業へ攻撃の矛先がシフトしている流れがはっきり見えています。
② 「知っていれば防げた」攻撃が9割というシビアな現実
侵入経路の約90%がVPN・リモートデスクトップ経由で、被害企業の半数以上がパッチ未適用。最新のソフトを当て、不要なアクセス経路を閉じるだけで大半の攻撃は防げた可能性があります。高度な対策より「基本の徹底」が今いちばん効く、というのが2026年の実態です。
③ 2026年は「やらないと取引から外される」元年になる
SCS評価制度が10月から動き始めます。大手が委託先のセキュリティ水準を★で格付けし、それが取引条件に影響してくる仕組みです。「自分事にならない」中小企業も、取引先からのプレッシャーという形で否応なく動かされる時代に入ります。
この記事を読んでいるあなたの会社は、今どのステージにいますか?「まだ何もしていない」方こそ、動き始めるタイミングは今です。補助金も整ってきたし、相談できる窓口も増えています。相談する前にまず自己診断したい方は、当社の情報セキュリティ診断 で自社の現状をチェックしてみてください 🔐
📊 被害の実態:「うちは大丈夫」が一番危ない
「サイバー攻撃って、大企業の話でしょ?」そう思っている経営者の方、それが一番危ない考え方です。
警察庁のデータを見ると、2025年のランサムウェア被害通報件数は226件。前年比横ばいとはいえ、高止まりが続いている状況です。しかもそのうち約3分の2(66〜77件)が中小企業。件数・割合ともに過去最多という結果が出ています。
もう一つ気になるのが侵入経路です。被害企業の約90%はVPNやリモートデスクトップ経由で侵入されていて、しかも半数以上がセキュリティパッチを適用していなかった。「知っていれば防げた」攻撃がほとんどなんですよね。
被害を受けた後の現実も厳しくて、調査・復旧費用が1,000万円以上かかった組織が59%にのぼります。「セキュリティ対策にお金をかけたくない」という気持ち、わかります。でも被害後の損失はその何倍にもなる。これが今の現実です。
製造業は特に要注意で、日本国内のランサムウェア被害の28%を製造業が占め、業種別でダントツのワースト1位です。さらに恐ろしいのがサプライチェーン経由の攻撃で、下請け・委託先経由の侵入が全体の10.8%を占めています。「うちが狙われる理由がない」という発想が、むしろ取引先全体のリスクになっているわけです。
🔍 2026年3月の製造業ランサムウェア被害事例
2026年3月だけでも、製造・産業系の企業が次々と被害を受けています。
| 企業名 | 被害概要 |
|---|---|
| 日本スウェージロックFST株式会社(産業用継手・流体制御機器) | 2026年3月13日、社内ネットワークシステムにランサムウェア攻撃。業務に支障。 |
| ホソカワミクロン株式会社(粉体機器、東証プライム) | ランサムウェアグループ「Everest」がクラウド経由で攻撃。二重恐喝。 |
| タカカツグループホールディングス | 業務用サーバへの不正アクセス+ランサムウェア感染。顧客個人情報漏洩の可能性。 |
| 丸高興業(建設資材) | ファイルサーバーへの不正アクセス+ランサムウェア感染。受発注・問い合わせ対応に遅延。 |
| 村田製作所(電子部品) | 2026年3月6日、IT環境への不正アクセス確認。取引先情報漏洩の懸念。 |
東証プライム上場の企業まで被害を受けているのが印象的です。「セキュリティ予算がある大企業なのに」という感じですが、裏を返せば「どんな規模でも油断できない」ということ。
「Ransomware as a Service(RaaS)」という仕組みが普及していて、専門知識のない攻撃者でもランサムウェア攻撃を実行できる環境が整ってきています。攻撃側のハードルがどんどん下がっているのが今の状況です。
🔧 中小企業のセキュリティ対策、実際どれくらいやってる?
ざっくり言うと、「思ったよりやっていない」が実態です。
IPAが全国4,191社を対象に行った「2024年度 中小企業における情報セキュリティ対策に関する実態調査」では、約70%が組織的なセキュリティ対策を行っていないという結果が出ました。過去3年間でセキュリティ投資がゼロだった企業が約60%。正直、驚く数字ですよね。
対策の導入率を具体的に見てみると、こんな感じです。
| 対策 | 導入率 |
|---|---|
| アンチウイルスソフト | 74.3% |
| ファイアウォール設置 | 59.4% |
| セキュリティパッチ定期適用 | 49.5% |
| 従業員向けセキュリティ教育(計画的) | 35.6% |
| 24時間ログ監視・分析 | 26.7% |
アンチウイルスは4社に3社が入れているものの、パッチ適用は半数以下、ログ監視は4社に1社だけ。「入れてるけど更新してない」「ツールはあるけど誰も見てない」という状況が目に浮かびます。
なぜ対策が進まないのか。主な障壁を見ると:
- 本業多忙でセキュリティまで手が回らない(28.3%)
- 何から始めるか判断できない(27.7%)
- 経営層の承認が得にくい(23.7%)
「必要性を感じていない」という回答も約45%いて、これが一番の問題かもしれません。日本国内ではサイバーセキュリティの専門人材が17〜19万人不足していて、「わかる人間がいない」という状況も珍しくないんですよね。
🏛️ 政府・IPA の支援策、今年は動きが大きい
2026年の3〜4月、政府とIPAが中小企業向けのセキュリティ支援策をかなりまとめて打ち出しています。使わないのはもったいないです。
IPA「中小企業の情報セキュリティ対策ガイドライン」第4.0版(2026年3月27日公開)
これまでの「情報セキュリティ5か条」に「バックアップを取ろう!」が追加されて、**「情報セキュリティ6か条」**に改定されました。同時に「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」(30の実例)も公表されています。事例集は読みやすくて実践的なのでおすすめです。
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)
今後の取引に直結する可能性がある制度です。大企業が委託先中小企業のセキュリティ水準を★で評価・可視化する仕組みで、2026年度下期(10月以降)から段階的に運用開始予定です。「対策しないと取引から外される」という圧力が直接かかってくる転換点になります。
SECURITY ACTION制度の刷新(2026年4月1日〜)
GビズIDを使った新管理システムに移行して、申込・ロゴ取得のオンライン手続きが簡素化されました。IT補助金の申請要件にもなっているので、まだ取得していない方は早めに動くことをおすすめします。
デジタル化・AI導入補助金(セキュリティ対策推進枠)
旧・IT導入補助金から名称変更。補助上限150万円(サービス利用料最大2年分含む)で、「サイバーセキュリティお助け隊サービスリスト」に掲載されたサービスの導入費用が対象です。
サイバーセキュリティお助け隊サービス
全国45事業者が提供していて、累積導入実績は8,400件以上(2025年3月末時点)。UTM・EDR監視、インシデント時の駆けつけ支援、相談窓口、サイバー保険をワンパッケージで提供しています。「とりあえず相談できる先がほしい」という方はまずここから。
💬 現場のリアルな声から見えること
経済産業省が公表資料に「サイバー攻撃を"自分事"に。」と明記しているのが、現状を象徴しています。国の機関がここまで書かざるを得ないほど、中小企業経営者の当事者意識の低さが政策上の最大課題になっているわけです。
海外のセキュリティコミュニティでは、日本の中小企業を「炭鉱のカナリア」と表現する声があります。「一つの小さなサプライヤーの侵害が、14工場の稼働停止に繋がった」。2022年のトヨタ・小島プレス事件が今もなお教訓として繰り返し引用されています。
興味深いのが、「取引先からのプレッシャーが意識を変える最大のきっかけになっている」というデータです。自分事として動けない企業でも、大手取引先から「セキュリティ水準を証明してほしい」と言われると動き始める。SCS評価制度はまさにこの力学を制度化したものですよね。
📌 まとめ:今すぐできる3つのアクション
「じゃあ何をすればいいの?」という方のために、明日から動ける3つのアクションをまとめます。
① IPAの「情報セキュリティ6か条」をチェックする
無料のガイドラインを読むところから。第4.0版では30の実例も公表されているので、「うちに似たケース」を探してみてください。
② 「サイバーセキュリティお助け隊サービス」に相談してみる
「何から始めればいいかわからない」という方は、まず相談窓口に問い合わせるだけでOKです。補助金を使えばコストを大幅に抑えられます。
③ SECURITY ACTIONを取得しておく
GビズIDがあればオンラインで申請できます。補助金申請の要件にもなるので、早めに取っておいて損はありません。
「うちは小さいから狙われない」。その考え、今回のデータを見てどう感じましたか?
被害の3分の2は中小企業で、製造業は業種別ワースト1位、しかも下請け経由で取引先まで被害が広がる。10月にはSCS評価制度も始まる。動くなら今です。
「何から手をつければいいかわからない」という町工場の方のために、現状診断ツールを作りました。当社の情報セキュリティ診断 で自社の現状と、次に何をすべきかを確認してみてください。
あわせて、20人規模の町工場を想定した実務向けの設計ガイドも用意しました。VLAN分離、VPN/MFA、NAS、バックアップ、ログ監視、資産管理をまとめて確認したい方は、20人規模町工場向け セキュリティ設計ガイド を参考にしてください。このシステム構成を使って、業者さんと話をしてみてください。