ランサム攻撃・ぜい弱性悪用・サプライチェーンに備える「事業を止めない守り方」（中小企業・個人事業主向け）

Day4：ランサム攻撃・ぜい弱性悪用・サプライチェーンに備える「事業を止めない守り方」（中小企業・個人事業主向け）

はじめに

個人の対策は「守る」が中心ですが、事業の場合はもう一段上で、止めないが大事になります。

売上、納期、信用。どれも「止まった時間」に比例して失われます。だからこそ、セキュリティは“技術の話”というより、経営の話です。

IPAの「情報セキュリティ10大脅威 2026（組織）」では、1位がランサム攻撃、2位がサプライチェーンや委託先を狙った攻撃となっています。さらに、ぜい弱性を悪用した攻撃なども上位に含まれます。

参考：IPA（情報処理推進機構）「情報セキュリティ10大脅威 2026」

https://www.ipa.go.jp/security/10threats/10threats2026.html

本文

ランサム攻撃とは？「データを人質に取る」被害

ランサム攻撃（ランサムウェア）は、社内のデータやサーバーを暗号化して使えなくし、「元に戻したければ金銭を払え」と要求する攻撃です。

最近は「暗号化」だけでなく、盗んだ情報を公開すると脅す（二重のゆすり）も増えています。つまり、復旧できても「情報が漏れている」問題が残る場合があります。

経営目線の要点

①止まる（業務停止）＋ ②漏れる（信用・賠償）の二重ダメージになりやすい。

ぜい弱性悪用とは？「穴」を突かれて入られる

「ぜい弱性」は、ソフトや機器の弱点（穴）のことです。穴が見つかると、攻撃者はそこから入ろうとします。

ここで大事なのは、穴があること自体は珍しくないという点です。問題は、穴が見つかったのに更新（アップデート）されず、放置されることです。

WindowsやMacの更新を先延ばし

ルーターやNASのファーム更新をしていない

使っていないサービスが外から見える状態

こうした「うっかりの放置」が、侵入の入口になります。

サプライチェーン攻撃とは？取引先経由で入られる

サプライチェーン攻撃は、直接あなたの会社を狙うのではなく、取引先・委託先・利用サービスなどを経由して侵入する攻撃です。

「自社は小さいから狙われない」と思っていても、取引先とのつながりがあると、攻撃者にとっては“入口”になることがあります。

怖いポイント

自社が踏み台になると、取引先まで被害が広がり、信用問題が一気に大きくなります。

中小企業でもできる「事業を止めない」5つの基本

大企業並みの投資ができなくても、優先順位をつければ守りは強くできます。まずはこの5つです。

バックアップを「別の場所」に持つ
- 同じPCや同じNASだけに置かない（同時にやられます）
- クラウドや外付けHDDなど、分ける

更新を止めない（OS・ソフト・機器）
- OS更新は原則自動
- ルーター／NAS／VPN機器なども更新対象

入口を減らす（外から見えるものを減らす）
- 不要なリモート接続を止める
- 使っていないアカウントを削除する

権限を分ける（全部できる人を減らす）
- 管理者権限は必要な人だけ
- 普段は一般権限で作業する

「止まった時」の連絡ルートを決める
- 誰が何を判断するか（経営者／担当／外部ベンダー）
- 取引先への連絡の順番
- カード会社・銀行・警察などの連絡先

バックアップの落とし穴（やったつもり防止）

「バックアップしてるから大丈夫」と思っていても、実際に戻せないケースがよくあります。

バックアップが同じネットワークにあり、一緒に暗号化された

最後に取ったのが半年前で、戻すと業務が成立しない

復元手順が分からず、時間だけが過ぎた

最低限の合格ライン

「別の場所にある」＋「直近のデータ」＋「復元の練習を年1回」

もし被害が起きたら：24時間の動き方

被害が起きたとき、やってはいけないのは「一人で抱える」ことです。判断が遅れ、被害が広がります。

状況を止める：感染・不正が疑わしい端末はネットから切り離す（Wi-Fiオフ、LAN抜く）

関係者に共有：社内担当・経営者・外部委託先へ早めに連絡

証拠を残す：画面表示、ログ、メールなどを保存（慌てて消さない）

優先順位を決める：復旧（業務継続）／漏えい対応（連絡・説明）の順番を決める

必要先へ連絡：取引先、カード会社、銀行、必要なら警察等

特にランサムの場合は、支払い判断などが絡みやすく、早めに専門家に相談した方が安全です。

今日のチェックリスト

重要データのバックアップが「別の場所」にある（同じPC／同じNASだけではない）

バックアップの頻度が業務に合っている（戻しても仕事が回る）

OS・主要ソフト・ルーター/NASなどの更新が止まっていない

不要なリモート接続や使っていないアカウントを減らした

緊急時の連絡ルート（社内／委託先／取引先）を決めた

まとめ＋要約

組織向けでは「ランサム攻撃」「サプライチェーン」など“事業停止”に直結する脅威が上位

ぜい弱性は珍しくない。更新が止まると入口になる

中小企業でも、バックアップ分離／更新／入口削減／権限分離／連絡ルートで守りは強くできる

FAQ（3問）

Q1. うちは小規模なので、そこまで対策は必要ですか？: A. 必要です。小規模でも「止まる」「取引先に迷惑がかかる」リスクは同じで、むしろ基本対策の有無で差が出ます。まずはバックアップと更新からが最短です。
Q2. バックアップはクラウド同期だけで十分ですか？: A. クラウド同期は便利ですが、「同期＝バックアップ」にならない場合があります（暗号化や削除が同期されることもあります）。別系統のバックアップをもう1つ持つと安心です。
Q3. 更新（アップデート）が怖いです。業務が止まらない？: A. 気持ちは分かります。だからこそ、まずは「自動更新＋業務に影響が少ない時間帯」に寄せたり、主要PCから順番に当てたり、段階的に進めるのが現実的です。