東京都が令和7年度から本格展開する「中小企業サイバーセキュリティ啓発事業」が話題になっています。フォレンジックアナリストとして数多くの中小企業のインシデント対応に携わってきた経験から言えば、この支援事業は非常に意義深いものです。
実際に、私が対応した事例では、従業員50名程度の中小製造業で標的型攻撃メールによる不正アクセスが発生し、顧客データベースが暗号化されるランサムウェア攻撃を受けました。経営層がサイバーセキュリティを「IT部門の問題」と考えていたため、初動対応が遅れ、最終的に復旧まで2週間、損失額は約3000万円に達したケースもあります。
東京都が提供する3つの支援メニューの詳細
今回発表された支援事業では、「経営層の意識改革」から「従業員の訓練」「ネットワークの可視化」まで、段階的にセキュリティ対策を強化できる仕組みが整っています。
支援1:経営層向けサイバー攻撃対応演習セミナー(先着100社)
実際の攻撃シナリオをもとに、経営判断を体験するワークショップ形式のセミナーです。「知る」「体験する」「行動する」の3部構成で、経営課題としてのセキュリティを学習できます。
私の経験では、経営層がサイバーセキュリティの重要性を理解していない企業ほど、インシデント発生時の対応が後手に回る傾向があります。例えば、ある小売業では、POS端末がマルウェアに感染した際、経営者が「パソコンの調子が悪いだけ」と軽視し、専門家への相談を躊躇したために被害が拡大しました。
支援2:標的型攻撃メール訓練(先着50社)
実際の業務メールを模した訓練メールを送信し、従業員の対応力を可視化します。専門家による事前・事後コンサルティングにより、単発の訓練で終わらせず、継続的なセキュリティ対策につなげる支援が提供されます。
標的型攻撃メールは年々巧妙化しており、私が対応した事例では、取引先を装った請求書メールにマクロ付きExcelファイルが添付されており、経理担当者がうっかり開いてしまったケースがありました。その結果、社内ネットワーク全体にマルウェアが拡散し、業務停止に追い込まれました。
支援3:ネットワーク調査・構成図作成(先着50社)
専門家が企業を訪問し、ネットワーク機器や物理環境を調査します。セキュリティリスクを洗い出し、構成図とともに具体的な対策について助言し、社内の管理・運用体制の見直しにもつながる実践的な支援が提供されます。
多くの中小企業では、ネットワーク構成図が存在しないか、実態と乖離していることが珍しくありません。私が調査した建設会社では、社内LANに個人所有のルーターが無断で接続されており、そこから外部への不正通信が行われていた事例もありました。
中小企業が直面するサイバーセキュリティの現実
現役CSIRTとして数多くの中小企業のインシデント対応を行ってきた中で、以下のような特徴的な被害パターンを見てきました:
ケース1:従業員20名のWeb制作会社の事例
フリーランスデザイナーが持参したUSBメモリからマルウェアが感染し、顧客のWebサイトデータが暗号化されました。バックアップも同じサーバー上にあったため復旧不可能となり、顧客への損害賠償として約1500万円の支払いが発生しました。
ケース2:従業員80名の運送会社の事例
配送管理システムがランサムウェアに感染し、配送業務が完全停止。復旧まで5日間かかり、その間の売上損失と顧客への賠償を含めて約5000万円の被害となりました。
ケース3:従業員15名の医療機器販売会社の事例
顧客情報を狙った標的型攻撃により、医療機関の個人情報約3万件が流出。個人情報保護委員会への報告義務に加え、影響を受けた医療機関からの信頼失墜により、最終的に廃業に追い込まれました。
今すぐ始められる実践的なセキュリティ対策
東京都の支援事業を待つ間にも、中小企業が今すぐ実行できる対策があります。フォレンジック調査の現場で見てきた「もしこれがあれば被害を防げた」という観点から、優先度の高い対策をご紹介します。
1. エンドポイント保護の強化
多くの中小企業では、Windows Defenderのみに頼っているケースが多く見受けられますが、これだけでは高度化する脅威に対応できません。アンチウイルスソフト
のような包括的なセキュリティソリューションの導入が不可欠です。
実際に、私が調査した企業の中で、高性能なアンチウイルスソフト
を導入していた会社では、標的型攻撃メールに含まれるマルウェアが実行前に検知・隔離され、被害を未然に防ぐことができました。
2. 通信の暗号化とプライバシー保護
リモートワークの普及により、社外からの業務システムアクセスが常態化している現在、通信の暗号化は必須です。特に、公衆Wi-Fi利用時のセキュリティリスクは深刻で、VPN
の活用が重要になります。
ある営業代理店では、営業担当者がカフェのフリーWi-Fiを使用して顧客データにアクセスしていたところ、中間者攻撃により認証情報が盗まれ、社内システムへの不正アクセスが発生した事例もありました。
3. Webサイトの脆弱性対策
自社Webサイトを持つ企業では、サイトの脆弱性が攻撃の入り口になることが多々あります。Webサイト脆弱性診断サービス
による定期的な診断が、被害を未然に防ぐ鍵となります。
実際に、私が対応したEC事業者では、WordPressの脆弱性を悪用された攻撃により、顧客のクレジットカード情報が漏洩し、カード会社からの損害賠償請求で約2億円の支払いが発生したケースもありました。
支援事業への申込み前に準備しておくべきこと
東京都の支援事業に申し込む前に、以下の準備を整えておくことで、より効果的な支援を受けることができます:
- 現状の把握:使用しているソフトウェア一覧、ネットワーク機器の設置場所の把握
- インシデント対応体制:緊急時の連絡先と対応手順の明文化
- データバックアップ:重要データの定期バックアップ体制の構築
- 従業員教育:基本的なセキュリティ意識の醸成
まとめ:中小企業こそ積極的なセキュリティ対策を
東京都の「令和7年度 中小企業サイバーセキュリティ啓発事業」は、リソースが限られた中小企業にとって絶好の機会です。しかし、支援事業だけに頼るのではなく、日常的なセキュリティ対策の基盤を整えることが重要です。
私がこれまで対応してきた数多くのインシデントから言えることは、「被害を受けてからでは遅い」ということです。特に中小企業では、一度の大規模なサイバー攻撃が企業存続に関わる致命的なダメージをもたらす可能性があります。
今回の支援事業を活用しつつ、基本的なセキュリティ対策も並行して進めることで、真に強固なセキュリティ体制を構築していただければと思います。
