中小企業がサイバー攻撃を受ける確率はどのくらいですか？

白書によると各IPアドレスに対して約13秒に1回攻撃が観測されています。「確率」ではなく「常にさらされている」という認識が正確です。

サイバー攻撃の被害を受けた場合、どこに連絡すればいいですか？

まず警察庁のサイバー犯罪相談窓口（都道府県警察）、次にIPA（情報処理推進機構）の情報セキュリティ安心相談窓口（03-5978-7509）に連絡してください。

無料でできるサイバーセキュリティ対策はありますか？

あります。IPAが「中小企業の情報セキュリティ対策ガイドライン」や自己診断ツールを無料公開しています。二要素認証の設定・パスワード変更・バックアップ取得も費用ゼロで実施できます。

生成AIを社内で使う際にどんなセキュリティルールが必要ですか？

①顧客情報・機密情報の入力禁止、②会社公認ツール以外使用禁止、③出力の人間確認——この3つをA4用紙1枚にまとめて配るだけで十分です。

中小企業向けのサイバーセキュリティ補助金はありますか？

はい。国の「IT導入補助金（セキュリティ対策推進枠）」などが活用できます。セキュリティ対策ソフトやネットワーク監視機器などを導入する際、費用の補助を受けられるケースがあります。2026年現在の公募状況や自社が対象かどうかは、ITコーディネーター等の専門家へご相談ください。

ITコーディネーターはサイバーセキュリティの相談にも対応できますか？

はい。特定製品を売らない中立な立場で、セキュリティ対策の優先順位整理・ルール文書化・補助金申請まで社長の右腕として伴走します。詳細は→ ITコーディネーター活用ガイドをご参照ください。

13秒に1回攻撃される時代——令和7年版情報通信白書が示す中小企業のサイバーセキュリティ対策と生成AI活用の注意点

2026年6月14日 2026年6月14日アカンパニー・パートナーズ

アカンパニー・パートナーズ

令和7年版情報通信白書から読む中小企業のサイバーセキュリティ対策と生成AI活用の注意点

昨年公表された「令和7年版情報通信白書（総務省・2025年7月）」によると、2024年のサイバー攻撃観測数は過去最高の6,862億パケットを記録しました。これは、インターネット上のあらゆる「住所」に対して約13秒に1回攻撃が来ている計算になります。日本での被害法人の平均損失額は約1億7,100万円に達しており、もはや他人事ではありません。生成AIを活用する企業が増えるほど攻撃リスクも高まる今、中小企業の最大の課題は「どこまで対策すればよいかわからない（42.8%）」という認識・判断の迷いにあります。本記事では、白書のデータをもとに脅威のリアルな実態と、専門知識がなくても今日から始められる具体的な「3つの泥臭い対策」を解説します。

この記事で分かること

・サイバー攻撃は13秒に1回： 2024年の観測数は過去最高の6,862億パケット（NICT調査）。攻撃対象の約3割がIoT機器（ルーター・Webカメラ等）です。

・被害額の平均は約1億7,100万円： 過去3年間に被害を経験した日本の法人の累計平均。ランサムウェア（身代金型ウイルス）の復旧費用は、約半数が1,000万円以上かかっています。

・中小企業の最大の壁は「わからない」： 「どこまで対策すればよいかわからない」と答えた人が42.8%。技術より意識・判断が課題です。

・生成AIが攻撃を高度化させている： フィッシングメールやなりすましが巧妙化しており、AI活用が進む企業ほどリスクへの備えが必要です。

・最初の3ステップ： ①社内ITルールの文書化 ②二要素認証の導入 ③外部専門家への相談です。

※白書公式データ：https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/datashu.html

令和7年版情報通信白書が示す「サイバー脅威の今」——13秒に1回、攻撃は来ています
- 2024年のサイバー攻撃観測数は過去最高——6,862億パケットの意味
- IoT機器が狙われる——ルーターやWebカメラが攻撃対象の約3割を占めます
中小企業がサイバー攻撃を受けると何が起きるか——被害額・復旧費用の実態
AI活用が進むほどリスクが高まる——生成AI×セキュリティの両面的関係
中小企業のサイバーセキュリティ対策——「どこから始めるか」の答え
白書シリーズで見えた全体像——AI活用×インフラ×セキュリティの三角形
- 「使う→整える→守る」の順序で進めます
- セキュリティを「コスト」ではなく「経営基盤」として捉える視点
中小企業がセキュリティ対策を進めるための自己診断
- 今すぐ確認できる「セキュリティ現状チェック」
孤独なDXを終わらせる。
よくある質問（FAQ）

令和7年版情報通信白書が示す「サイバー脅威の今」——13秒に1回、攻撃は来ています

【このセクションの結論】

「うちは小さな会社だから狙われない」という先入観は、今の時代、明確なリスクになります。最新の白書データが示す通り、サイバー攻撃は企業の規模に関係なく、インターネットにつながっているすべての機器に無差別で飛んできているのが現実です。

2024年のサイバー攻撃観測数は過去最高——6,862億パケットの意味

国立研究開発法人情報通信研究機構（NICT）が運用する大規模サイバー攻撃観測網「NICTER」のデータは、衝撃的な数字を示しています。

年	観測パケット数（ネット上のデータの塊の単位）	2015年比の増加倍率
2015年	約632億パケット	基準
2019年	約3,756億パケット	約5.9倍
2023年	約6,197億パケット	約9.8倍
2024年	約6,862億パケット（過去最高）	10.86倍

（出典：NICT「NICTER観測レポート2024」/ 総務省「令和7年版情報通信白書」図表Ⅱ-1-10-3 / https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/datashu.html#f00283）

2015年からの10年間で、攻撃の数は10倍以上に膨れ上がりました。これは、インターネット上のあらゆる「IPアドレス（ネット上の住所）」に対して、約13秒に1回、不正なアクセスが届いていることを意味します。「まだ被害に遭っていない」のではなく、「たまたま防御が破られていないだけ」なのです。

IoT機器が狙われる——ルーターやWebカメラが攻撃対象の約3割を占めます

【サイバー攻撃とは（白書の文脈）】

許可のない人間が、ネットワークを通じて会社のパソコンやシステムに侵入し、データを壊したり、盗んだり、人質に取ったりする行為のこと。最近は「特定の会社を狙う」だけでなく、ロボット（自動プログラム）を使って「セキュリティの緩い場所を無差別に探す」攻撃が主流です。

白書によると、このサイバー攻撃のうち全体の約3割が「IoT機器」を狙ったものでした。IoT機器とは、パソコンやスマホだけでなく、オフィスにある「Wi-Fiルーター」「ネットワーク対応の防犯カメラ」「複合機（コピー機）」など、インターネットにつながるすべてのデバイスを指します。

中小企業が日常的に使っている市販のWi-Fiルーターや、工場・店舗の防犯カメラが、攻撃者の「最初の入り口」として悪用されるケースが激増しています。「大したシステムは入れていないから大丈夫」という思い込みこそが、攻撃者にとって一番の好物なのです。

中小企業がサイバー攻撃を受けると何が起きるか——被害額・復旧費用の実態

【このセクションの結論】サイバー攻撃の被害は「データが消える」だけでは終わりません。復旧費用・事業停止損失・信用失墜を合わせると、中小企業にとって致命的なダメージになります。

日本の被害法人の平均損失1億7,100万円——主要調査との比較

白書は、サイバーセキュリティ関連の経済的損失について、複数の機関の調査データをまとめています。

調査機関	対象	経済的損失の概要
トレンドマイクロ（2024年）	日本	過去3年間で被害を経験した法人の累計被害額の平均：約1億7,100万円（前年比＋約4,600万円）
警察庁（2024年上半期）	日本	ランサムウェア復旧費用：27%が1,000万〜5,000万円、19%が5,000万円以上
Sophos（2024年）	世界14か国	ランサムウェア身代金の平均値：約396万ドル（前年比2.6倍）
IBM（2024年）	世界	1回のデータ侵害にかかる世界平均コスト：488万ドル
Statista（推計）	世界	2024年のサイバー犯罪推定コスト：9.22兆ドル（2029年には15.63兆ドルへ拡大）

（出典：総務省「令和7年版情報通信白書」図表Ⅱ-1-10-5）

「億単位の被害なんて、大企業の話でしょ？」と思われるかもしれません。しかし、日本の警察庁のデータ（表の2段目）を見ると、被害に遭った企業の約半数（46%）が、復旧のために1,000万円〜5,000万円以上のコストを実際に支払っています。体力の限られた中小企業にとって、この出費は事業継続の危機そのものです。

ランサムウェア復旧費用の内訳——27%が1,000万〜5,000万円

【ランサムウェアとは】

「身代金（Ransom）」と「ソフトウェア」を組み合わせた造語。感染すると、会社のデータ（顧客名簿や会計データなど）が勝手に暗号化されて読めなくなり、「元に戻してほしければ金を払え」と脅迫してくる極悪なウイルスです。支払っても復旧できないケースも多く、復旧作業・調査費用が別途発生します。

警察庁のデータによると、ランサムウェア被害に関連して要した調査・復旧費用の内訳は以下の通りです。

100万円未満：25%
100万〜500万円未満：21%
500万〜1,000万円未満：8%
1,000万〜5,000万円未満：27%
5,000万円以上：19%

注目すべきは、1,000万円以上が全体の46%を占める点です。「システムを戻すだけ」のコストがこの水準であることを、経営判断として事前に把握しておく必要があります。

「どこまで対策すればよいかわからない」が42.8%——中小企業が最初に躓く壁

総務省「通信利用動向調査」によると、インターネット利用時に感じる不安として「どこまでセキュリティ対策を行えばよいかわからない」と回答した人は42.8%に達しています。これは「個人情報が漏れないか（90.2%）」「ウイルス感染（61.6%）」に次ぐ5位の不安項目です。

（出典：総務省「令和7年版情報通信白書」図表Ⅱ-1-11-6 / 総務省「通信利用動向調査」）

このデータが示すのは、「対策が必要なことはわかっている、でも何をどこまでやればいいかわからない」という中小企業の本質的な課題です。

【📢 現場を知るプロの目：受注側SE11年・ITコーディネーターの視点】

システム開発の現場で11年間、多くの中小企業のITインフラを見てきた私が、現場で最も目にしてきた「最大の盲点」をお伝えします。

それは、「オフィスの隅で埃をかぶっている、数年前に買ったWi-Fiルーター」です。

現場に伺ってルーターの裏側を確認すると、管理用のパスワードが初期設定の「admin / admin」のままだったり、ルーターを動かす内蔵プログラム（ファームウェア）が何年も更新されずに放置されていたりするケースが本当に多いのです。白書が示す「IoT機器が攻撃の3割」という数字は、まさにこの状態を狙われています。

経営者の方はよく「うちには泥棒に盗まれるような大層な情報はないよ」とおっしゃいます。しかし、攻撃者の本当の狙いはあなたの会社のデータではなく、「あなたの会社のルーターを踏み台にして、取引先の大企業や元請け企業を攻撃すること」です。気づかないうちに、自社が「加害者」の入り口にされてしまうサプライチェーン攻撃の怖さを、ぜひ知っていただきたいです。

AI活用が進むほどリスクが高まる——生成AI×セキュリティの両面的関係

【このセクションの結論】

「生成AIを使えば便利になる」と「生成AIを使うほどリスクが増える」は、どちらも正しいです。AI活用を進める中小企業ほど、セキュリティ対策を同時に進める必要があります。

生成AIによるサイバー攻撃の高度化——フィッシング・なりすましが巧妙化

白書は「世界情勢の不安定化とAI等の進展をも背景に激化するサイバーセキュリティの脅威」と明示しています。具体的には、生成AIが攻撃側でも活用されており、従来は見分けられた「不自然な日本語のフィッシングメール」が、今やネイティブレベルの自然な文章で届くようになっています。

（出典：総務省「令和7年版情報通信白書」第Ⅰ部第2章第4節）

白書では「高度な侵入・潜伏能力を備えたサイバー攻撃に対する懸念が急速に高まっている」と指摘されており、特に重要インフラへの攻撃が国家を背景とした形で日常的に行われる状況になっています。中小企業への直接的影響も、サプライチェーンを通じた間接攻撃という形で増加しています。

生成AI活用の懸念TOP2「情報漏洩リスク」——社内ルールなき活用が招く事故

本白書シリーズ第1回（㊺）で確認した通り、生成AI導入に際しての懸念事項として日本企業が2番目に挙げたのが「社内情報の漏えい等のセキュリティリスク」です。

【シャドーAIとは】

企業が公式に承認していない生成AIツールを、社員が個人的に業務に使用すること。機密情報・顧客情報・社内データが無意識に外部サーバーに送信されるリスクがあります。

シャドーAIは、「ChatGPTの無料版に顧客情報を貼り付けて整理した」「個人のGoogleアカウントで業務データをAIに処理させた」といった形で発生します。社員に悪意はなく、「便利だから使った」だけですが、情報漏洩という結果は同じです。

そのため、AI活用を推進するほど「何をAIに入力してよいか」のルール整備が先行して必要になります。

AIをセキュリティ防御にも活用する——脅威検知・異常検知での活用事例

もちろん、AIは攻撃側だけでなく防御側でも活用されています。白書では、AIを活用した脅威検知・異常検知・CSIRT（コンピュータセキュリティインシデント対応チーム）の支援など、セキュリティ防御へのAI活用の推進を政府が進めていることが示されています。

（出典：総務省「令和7年版情報通信白書」第Ⅱ部第2章第5節）

このように、AIはセキュリティの「リスク」でも「解決策」でもあります。重要なのは、AI活用と同時にセキュリティ体制を整えるという順序感です。

中小企業のサイバーセキュリティ対策——「どこから始めるか」の答え

【このセクションの結論】

セキュリティ対策は、何百万円もかけて「完璧」を目指す必要はありません。泥棒と同じで、攻撃者は「セキュリティがガチガチの会社」を苦労して破るより、「鍵が開っぱなしの緩い会社」を狙います。つまり、最低限の鍵をかけるだけで、被害に遭う確率は劇的に下がります。まずは3ステップから始めましょう。

最初の3ステップ——今日から始められる優先順位

【中小企業が今すぐできるセキュリティ対策3ステップ】

社内ITルールを「紙1枚」で文書化する
「生成AIに入力してはいけない情報」「業務で使ってよいツール・使ってはいけないツール」「パスワードの管理ルール」をA4用紙1枚にまとめて全員に配布する。完璧な規程より「今日から配れる1枚」が優先です。

主要なサービスに「二要素認証（2FA）」を設定する
会社のメール（GoogleやOutlook）・クラウドストレージなど業務で使うサービスに、ログイン時にスマホへコードが届く「二要素認証」を設定してください。万が一パスワードが漏れても、これだけで不正ログインを99%防げます。設定は無料です。

オフィスのWi-Fiルーターの設定を1箇所だけ変える
ルーターの管理画面に入り、初期パスワード（admin/admin等）を独自のパスワードに変更してください。そして「自動アップデート」をオンにする。これだけで、白書が示す「IoT機器への攻撃（全体の3割）」から会社を守れます。

費用をかけずにできること——無料ツール・公的支援を活用する

セキュリティ対策には費用がかかるという印象を持っている経営者は多いです。ただ、中小企業が最初に取り組むべき対策の大半は、費用ゼロで実施できます。

具体的には以下の通りです。

IPA（情報処理推進機構）の無料ツール・ガイドライン：「中小企業の情報セキュリティ対策ガイドライン」「セキュリティ自己診断ツール」が無料で公開されています（https://www.ipa.go.jp/security/）
総務省「国民のためのサイバーセキュリティサイト」：初心者向けの解説・チェックリストが公開されています
よろず支援拠点：セキュリティを含むIT全般の相談を無料で受け付けています

外部専門家・公的サポートの活用——IPA・よろず支援拠点・ITコーディネーター

「自社だけでは判断できない」場合は、外部の専門家を活用することをおすすめします。重要なのは、特定のセキュリティ製品を販売している業者ではなく、中立な立場の専門家を選ぶことです。

ITコーディネーターとは、経済産業省が推進する民間資格（ITコーディネーター協会が認定）の保有者で、特定のツールやベンダーに依存しない中立的な立場で、経営視点からIT活用を支援する専門家のことです。セキュリティ対策の優先順位整理から、補助金を活用した対策導入まで、伴走支援が可能です。

【📢 現場を知るプロの目：ITコーディネーターが最初に確認する「3つの質問」】

私が中小企業のセキュリティ相談に乗るとき、難しい専門用語は一切使いません。最初に以下の3つだけを社長に質問します。

「怪しいメールでも、添付ファイルが付いていたらとりあえず開く文化になっていませんか？」（技術より、社員の行動習慣が一番の薬になります）

「半年前、1年前に辞めた社員のアカウント、まだ残っていませんか？」（退職者のIDは、攻撃者にとって絶好の裏口になります）

「万が一のために、バックアップは『パソコンとは別の場所（外付けHDDや別クラウド）』に取っていますか？」（これさえあれば、ランサムウェアでデータが固められても身代金を払わずに復活できます）

この3つをチェックするだけで、自社が今どこを直すべきかがクリアになります。難しく考える必要はありません。まずは「今の状態を知る」伴走から始めましょう。

📄 関連記事：中小企業のAIセキュリティ対策ガイドライン → AIセキュリティ・社内ガイドライン作成ガイド

白書シリーズで見えた全体像——AI活用×インフラ×セキュリティの三角形

【このセクションの結論】本白書シリーズを通じて見えてきたのは「使う→整える→守る」という順序感です。AI活用とセキュリティ対策は対立するものではなく、車の両輪として同時に進めるべきものです。

「使う→整える→守る」の順序で進めます

令和7年版情報通信白書を読み解くシリーズ全4回を振り返ります。

第1回：日本企業のAI利用率55.2%は4か国最下位。中小企業の約70%がデジタル化に未着手（何が起きているか）
第2回：内製化率35.7%・テレワーク積極活用14.5%。原因はベンダー丸投げ構造とアナログ文化（なぜ変わらないか）
第3回：光回線99.84%・5G人口カバー率98.1%。インフラは整っている。課題は活用の意思決定（使える土台はどこまで整ったか）
第4回（本記事）：サイバー攻撃は13秒に1回、被害額は平均1億7,100万円。AI活用が進む中でセキュリティも同時に整える必要がある（使う際に何を守るか）

このように、「AI・デジタルを活用する（第1〜2回）」→「インフラを整える（第3回）」→「セキュリティで守る（第4回）」という順序感が、中小企業のDX推進の現実的な道筋です。

📄 白書第1回：令和7年版白書から読む中小企業のAI活用 → 中小企業AI活用・白書解説（第1回）

📄 白書第2回：中小企業の人材不足はなぜデジタル化で解決しないのか → 人材×デジタル化・白書解説（第2回）

📄 白書第3回：光回線99.84%・5G人口カバー率98.1%——ICTインフラ活用ガイド → 5G・ICTインフラ・白書解説（第3回）

セキュリティを「コスト」ではなく「経営基盤」として捉える視点

セキュリティ投資に対して「費用がかかるだけ」と感じる経営者は多くいます。ただ、白書が示す世界のサイバーセキュリティ市場規模867億ドル（前年比9.7%増）という数字は、世界の企業がセキュリティを経営の優先事項として位置づけているからこそ成立しています。

（出典：総務省「令和7年版情報通信白書」図表Ⅱ-1-10-1）

取引先・顧客・金融機関からの信頼、事業継続、従業員の安心——これらはすべて、セキュリティが経営基盤として機能して初めて守られるものです。

中小企業がセキュリティ対策を進めるための自己診断

【このセクションの結論】

まず「現状を知る」ことがすべての出発点です。以下のチェックリストで、自社の現在地を確認しましょう。

今すぐ確認できる「セキュリティ現状チェック」

もしチェックが3個以下だった場合、いつ被害に遭ってもおかしくない状態です。でも、焦る必要はありません。1つずつの対策は、どれも今日から無料でできる簡単なことばかりです。

中小企業セキュリティ対策自社現状チェックリスト

[ ] Wi-Fiルーターの管理者パスワードを購入時のデフォルトから変更している

[ ] 業務で使うクラウドサービス（メール・ファイル共有等）に二要素認証を設定している

[ ] 社員が退職した際、そのアカウントをすべて削除・無効化する手順が定まっている

[ ] 社内データのバックアップを定期的に取り、バックアップ先をオフライン（別の場所）に保管している

[ ] 生成AIツールに入力してはいけない情報（顧客情報・機密情報等）を社内で明示している

[ ] 不審なメールの添付ファイルを開かない・リンクをクリックしないよう社員へ周知している

📄 関連記事：ITコーディネーターとは何をしてくれるのか → ITコーディネーター活用ガイド

孤独なDXを終わらせる。

セキュリティ対策が必要なのはわかっている。でも何から始めればいいかわからない」——

その「現状の整理」と「優先順位の設計」が、私たちの仕事です。

まずは無料相談で自社の現状把握から始めませんか。

無料相談を予約する

よくある質問（FAQ）

中小企業がサイバー攻撃を受ける確率はどのくらいですか？: 白書によると各IPアドレスに対して約13秒に1回攻撃が観測されています。「確率」ではなく「常にさらされている」という認識が正確です。

サイバー攻撃の被害を受けた場合、どこに連絡すればいいですか？: まず警察庁のサイバー犯罪相談窓口（都道府県警察）、次にIPA（情報処理推進機構）の情報セキュリティ安心相談窓口（03-5978-7509）に連絡してください。

無料でできるサイバーセキュリティ対策はありますか？: あります。IPAが「中小企業の情報セキュリティ対策ガイドライン」や自己診断ツールを無料公開しています。二要素認証の設定・パスワード変更・バックアップ取得も費用ゼロで実施できます。

生成AIを社内で使う際にどんなセキュリティルールが必要ですか？: ①顧客情報・機密情報の入力禁止、②会社公認ツール以外使用禁止、③出力の人間確認——この3つをA4用紙1枚にまとめて配るだけで十分です。

中小企業向けのサイバーセキュリティ補助金はありますか？: はい。国の「IT導入補助金（セキュリティ対策推進枠）」などが活用できます。セキュリティ対策ソフトやネットワーク監視機器などを導入する際、費用の補助を受けられるケースがあります。2026年現在の公募状況や自社が対象かどうかは、ITコーディネーター等の専門家へご相談ください。

ITコーディネーターはサイバーセキュリティの相談にも対応できますか？: はい。特定製品を売らない中立な立場で、セキュリティ対策の優先順位整理・ルール文書化・補助金申請まで社長の右腕として伴走します。詳細は→ ITコーディネーター活用ガイドをご参照ください。

出典・参考資料

総務省「令和7年版情報通信白書」（2025年7月8日公表） https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/index.html
NICT「NICTER観測レポート2024」/ 図表Ⅱ-1-10-3 サイバー攻撃関連通信数の推移 https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/datashu.html#f00283
図表Ⅱ-1-10-4 NICTERにおけるサイバー攻撃関連の通信の内容（IoT機器狙い約3割） https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/datashu.html#f00284
図表Ⅱ-1-10-5 サイバーセキュリティに関する問題が引き起こす経済的損失 https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/datashu.html#f00285
図表Ⅱ-1-10-1 世界のサイバーセキュリティ市場規模の推移（867億ドル・前年比9.7%増） https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/datashu.html#f00280
図表Ⅱ-1-11-6 インターネット利用時に感じる不安の内容（「どこまで対策すれば」42.8%） https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/html/datashu.html#f00293
総務省「通信利用動向調査」（2024年） https://www.soumu.go.jp/johotsusintokei/statistics/data/240529_1.pdf

投稿者プロフィール

アカンパニー・パートナーズ代表: プログラマーとしてキャリアをスタートし、製造業の社内SEとして「工場」の論理を、士業事務所の社内SEとして「先生」の論理を肌で学んできました。異なる文化を持つ組織の中でITを推進するには、技術力以上に「聴く力」と「翻訳力」が必要です。

現在はその経験を活かし、新潟の中小企業のDXを支援しています。

ITコーディネーター／上級ウェブ解析士／上級SNSマネージャー