中小企業のためのサイバーセキュリティと「ハッカーの手口」（2025.11.26）

はじめに

先日とある商工会議所で「中小企業のためのサイバーセキュリティ」と「ハッカーの手口」をテーマにセミナー登壇してきました。

参加者は、製造業・サービス業・個人事業主など、地元で事業を営む方々が中心でした。

私はふだん、企業向けコンサルティングや大学講義（情報セキュリティとAI）を行っていますが、今回は「現場の経営者・実務担当の目線」で、

• 何から手をつければいいのか

• どこまでやれば最低限のラインと言えるのか

を、できるだけ具体的にお伝えすることを意識しました。

セミナーは次の二部構成でした。

• 第1部：中小企業のためのセキュリティ対策と IT導入補助金・SECURITY ACTION（セキュリティアクション）

• 第2部：ハッカーの手口と、今日から実践できる具体的な対策

この記事では、その内容と、現場で感じた「中小企業ならではの課題と手応え」を簡単に整理しておきます。

第1部：中小企業が直面するリスクと、最初の一歩

サプライチェーンの「一社」が止まると、全体が止まる

最初に取り上げたのは、サプライチェーン攻撃の事例です。

• 某自動車メーカー系サプライヤーの企業が攻撃を受け、その結果、国内工場が一斉に停止した事例

• 地元の流通業者がウイルス感染により事業継続の危機に立たされつつ、バックアップから「間一髪で復旧」した事例

いずれも「狙われたのはサプライチェーンの一社」ですが、影響は取引先や地域全体に波及しました。

ここでお伝えしたメッセージはシンプルです。

「うちは小さいから狙われない」ではなく
「取引先の信頼を支える一社として、最低限の防御力が必要」

という視点に切り替えていただきたい、ということです。

IPA「5分でできる！情報セキュリティ自社診断」の活用

次に紹介したのが、独立行政法人情報処理推進機構（IPA）が公開している「5分でできる！情報セキュリティ自社診断」です。

• パスワード管理

• OS・ソフトウェア更新

• アクセス権限の管理

といった、ごく基本的な項目を「はい／いいえ」で確認するだけで、自社の弱点がざっくり見えるようになっています。

セミナーでは、

「専門用語がほとんど出てこないこと」

「現場の担当者でも、その場でチェックできること」

を確認しながら、各項目がなぜ重要なのかを解説しました。

一方、パスワード管理については、米国標準（NIST）の基準改定やパスキーの登場などもあり、軽く触れるに留めましたが、難解に感じられた方もいらっしゃったようです。

そこで今回は、「まずはOS・ソフトウェア更新から取り組むべき」と位置づけてお話ししました。

（このあたりは、非専門家の方にもわかりやすく伝えることの難しさを改めて実感しました。）

SECURITY ACTION

SECURITY ACTIONは、

★一つ星：まずは基本的な5つの対策に取り組む

★二つ星：セキュリティポリシー（情報セキュリティ基本方針）を策定し、継続的に取り組む

といった段階的な仕組みになっています。中小企業でも「すぐに取り組める一歩」としてご紹介しました。

経営者が押さえるべき三つのポイント

第1部のまとめとして、経営者向けに次の三点を「最低限ここだけは」とお伝えしました。

1. 自社だけでなく、サプライチェーンの一員としての責任を意識する

2. セキュリティポリシー（情報セキュリティ基本方針）を1枚でいいので用意し、社内外に示す

3. IT導入補助金・SECURITY ACTIONを「コスト削減」ではなく「信頼投資」として活用する

第2部：ハッカーの手口とよくある「入り口」

第2部では、より具体的に「ハッカーの手口」に踏み込みました。

キーワードは、

「攻撃は一部の天才ハッカーの手作業ではなく、かなりの部分が“自動化されている」

という事実です。

なぜ今、サイバー攻撃が増えているのか

背景として挙げたのは、

生成AIの普及により、攻撃メールの日本語が自然になった

攻撃ツールが「サブスク型サービス」のように売られている

中小企業の多くが「人と時間が足りず、更新や設定が後回しになりがち」

といった構造的な要因です。

「特別な恨みがあって狙われる」のではなく、インターネット上をボットが常にスキャンし、「脆弱なところから順番に当たっていく」という点を共有しました。

代表的な侵入口

スライドでは多くのパターンを扱いましたが、商工会議所の皆さんの反応が特に大きかったのは次の3つです。

1. メール・フィッシング → 過去の実在のメールをそのまま引用する「Emotet」のような攻撃。

2. パスワードの使い回し → どこか1サービスから漏れたID・パスワードが、別サービスへの不正ログインに再利用される。

3. ソフトウェア更新の放置 → Windowsや業務ソフトの「更新しますか？」を後回しにすることで生じるリスク。

それぞれについて、

• 「攻撃者がどう使うのか」

• 「現場で何をやめて、何を始めればいいのか」

について、できるだけ専門用語を避けて説明しましたが、とくに「メール・フィッシング」を非専門家だけで見分けるのは難しくなってきています。

そのため、「最終的には専門家に相談できる体制を用意しておくことも必要です」とお伝えしました。

（安易なチェックポイントは質疑応答の中でもご紹介しましたが、メールヘッダ解析やメールフィルタの詳細な挙動の確認などは専門的な領域になるため、ここは無理をせず専門家に頼るのが現実的だとお話ししました。）

ダークウェブや実際の攻撃手法

ダークウェブ上で実際に企業データが晒されている画面もモザイク付きで紹介しましたが、多くの方にとってはやはりイメージしにくい部分もあったようです。

実際の攻撃手法についても簡単な事例を共有しましたが、IT専門知識がないとピンと来にくい点も見受けられたため、このあたりは今後のセミナー構成を工夫すべきポイントだと感じました。

参加者の反応と推奨アクション

ハッカーの攻撃手法に加え、AIやプライバシーの論点まで一度のセミナーに盛り込んだため、全体としては難解に感じられた方も少なくなかったように思います。

一方で、

「自社だけで判断するのは限界がある」

「何かあったとき、まず相談できる相手がほしい」

といった反応が多く、社内にセキュリティの専門家がいない場合には、外部の専門家を「相談相手」として位置づけることの重要性を改めて感じました。

中小企業にとっては、フルタイムのCISO（最高情報セキュリティ責任者）を雇うのは現実的ではありません。

その代わりに、

• 月額の顧問契約

• 必要なときだけ呼べるスポット支援

といったかたちで、「普段から自社を理解している専門家」がそばにいることが、結果としてコストやリスクを抑える近道になるケースが多くあります。

私自身も、認定ホワイトハッカーとしての技術的な視点と、プライバシー・AIガバナンスの視点をあわせて、中小企業の「よろず相談窓口」のようなポジションで月額顧問・スポット支援を行っています。単発のセミナーで終わらせず、「分からないことが出てきたらすぐ聞ける」関係性をつくることで、ようやく現実的に回るセキュリティもあります。

もしこの記事を読んで、

「うちも誰か専門家に相談できる体制を持っておきたい」

「自社向けにもう少し踏み込んだ話を聞いてみたい」

と感じられた方は、ぜひ本サイトのCONTACTフォームからご相談ください。

会社規模や現状の体制に応じて、過不足のない現実的なプランを一緒に考えていきます。