中小企業のランサムウェア被害とサイバー保険――「うちは大丈夫」の前に見るべき3つの数字
サイバー攻撃のニュースは、大企業の話に見えるかもしれません。しかし警察庁の統計を見ると、ランサムウェア(身代金要求型ウイルス)被害の約6割は中小企業です。この記事では、2025年〜2026年に公表された警察庁・IPAの資料と、日本損害保険協会の中小企業調査をもとに、①中小企業がどのくらい被害に遭っているのか、②被害に遭うと費用と時間がどれくらいかかるのか、③保険(移転)と手元資金(保有)をどう組み合わせるのか、を整理します。最後に、自社の現在地を書き出すための設問も用意しました。
先に、この記事で押さえたい数字を3つだけ挙げます。
・ランサムウェア被害報告226件のうち、中小企業が約6割を占める(警察庁・2025年)
・警察庁の被害組織向けアンケートでは、調査・復旧費用が総額1,000万円以上となった回答が5割超
・日本損害保険協会の中小企業調査では、サイバー保険の加入率は8.8%
被害の約6割は中小企業――大企業だけの問題ではない
警察庁が2026年3月に公表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、2025年(令和7年)のランサムウェア被害報告件数は226件で、引き続き高い水準でした。企業・団体等の規模別に見ると、前年と同様、中小企業が約6割を占めています。
攻撃者が見ているのは、会社の規模や知名度だけではありません。外部から入れる機器があるか、脆弱性が放置されていないか、ID・パスワードの管理が甘くないか、といった「侵入しやすさ」も重要な入口になります。警察庁の同資料では、ランサムウェア被害組織へのアンケートで判明した侵入経路として、VPN機器(社外から社内ネットワークへ接続するための装置)が6割超を占めています。更新されていない機器や、漏えいしたID・パスワード、弱い認証情報が入口になることがあります。また、データを暗号化するだけでなく「盗んだデータを公開する」と迫る二重恐喝が被害の多くを占めています。
IPA(独立行政法人情報処理推進機構)が2026年1月に公表した「情報セキュリティ10大脅威 2026」でも、組織向け脅威の1位は11年連続で「ランサムウェア被害」、2位は「サプライチェーンや委託先を狙った攻撃」でした(3位には「AIの利用をめぐるサイバーリスク」が初登場)。サプライチェーン攻撃とは、自社そのものではなく、取引先、委託先、利用しているシステムやサービスを経由して被害が広がる攻撃です。中小企業が侵入口となれば、取引先にも影響が及ぶ可能性があります。つまりこの問題は、自社を守るだけでなく「取引先に迷惑をかけない」という信用の問題でもあります。
被害に遭うと、お金と時間はどれくらいかかるのか
被害に遭った場合、問題は2つあります。1つは、調査・復旧費用という直接の支出。もう1つは、システム停止による売上減少や納期遅れです。サイバー被害では、この2つが同時に発生することがあります。警察庁が被害組織に行ったアンケートでは、調査・復旧費用が総額1,000万円以上となった回答が5割を超えました。復旧までの期間についても、1か月以上に及ぶ回答が一定数あり、被害が長期化する傾向が見られます。
手元資金が薄い会社ほど、攻撃そのものより「復旧までの資金繰り」が経営問題になります。警察庁の同調査では、被害組織のうちサイバー攻撃を想定したBCP(業務継続計画)を策定済みだった組織は約2割にとどまります。攻撃を完全に防ぐことだけでなく、「止まった後にどう戻すか」まで決めておくことが重要です。
リスクファイナンスの視点で整理する――移転・保有、そして軽減
リスクファイナンス(リスクへの財務的な備え)の中心は、①移転(保険などで損失を他者に引き受けてもらう)と②保有(手元資金や借入枠で自分で受け止める)の2つです。あわせてよく語られる③軽減(機器の更新、バックアップ、訓練など被害そのものを小さくする対策)は、厳密には「リスクコントロール」という別の領域ですが、実務ではこの3つを組み合わせて考えます。
- 軽減:VPN機器の更新、ネットワークから切り離したバックアップ、権限管理など。入口を固め、被害を小さくする基本対策です。
- 移転:それでも被害が起きたときの高額な費用(調査・復旧・損害賠償など)を、保険に引き受けてもらいます。
- 保有:保険で埋まらない部分、免責金額、売上減少に、手元資金や借入枠で耐えます。
軽減を全くせずに保険だけ掛ける形は、保険料や引受条件の面でも合理的とは言いにくく、逆に「対策しているから保険は不要」とも言い切れません。どの範囲を保険に移し、どの範囲を自社で持つかに唯一の正解はなく、手元資金の厚みと事業の止められなさによって、会社ごとに答えが変わります。何から始めればよいか分からない場合は、IPAの「中小企業の情報セキュリティ対策ガイドライン」や「SECURITY ACTION」を参考に、基本対策から着手するのも現実的です。
サイバー保険の加入率は8.8%――「入っているか」より「何が出るか」
日本損害保険協会の「中小企業におけるリスク意識・対策実態調査2025」(2025年12月公表。中小企業の経営者・従業員1,050人を対象に、勤務先の保険加入状況などを尋ねたインターネット調査)によると、サイバー保険の加入率は8.8%と1割弱にとどまります(2021年調査の4.1%からは上昇)。一方で「損害保険でカバーしたいリスク」ではサイバーリスクが25.5%と自然災害に次ぐ2位に入っており、関心と加入の間に開きがあります。サイバー保険に加入していない理由としては、「リスクが発生する可能性は低いと考えているため」が27.9%で最も高くなっています。ところが同じ調査では、サイバーリスクによる被害を受けた企業のうち79.5%が「リスクに対する備えが不足していたと思う」と回答しています。
商品によって異なりますが、サイバー保険の補償は、おおまかに(1)取引先などに対する損害賠償、(2)原因調査・復旧・広報といった事故対応費用、(3)システム停止による利益損害、の3つのかたまりで整理できます。ただし、補償範囲・支払条件・免責金額・対象外となる損害は、商品や契約内容によって大きく異なります。確認すべきは「保険に入っているか」ではなく、「どの費用が・いくらまで・どんな条件で支払われるか」です。被害時の初動対応を支援するサービスが付帯する商品もあり、セキュリティ専門の人材を置けない中小企業にとっては、この部分の価値も小さくありません。
離島だからこそ、の視点
石垣島のような離島では、原因調査(フォレンジック)の専門家やITベンダーが島内に限られ、復旧支援を本土から受ける場面も想定されます。物理的な距離のぶん、初動対応や復旧の時間・コストが都市部より重くなる可能性があります。だからこそ、事故対応費用の補償や初動支援サービスの価値は、離島の中小企業にとって相対的に大きいと考えています。
自社の現在地を書き出してみる
答えを外に求める前に、次の7つを自社の言葉で書き出してみてください。ここが埋まると、専門家との相談も一気に具体的になります。
- 自社のネットワークの入口(VPN機器・リモートデスクトップなど)を把握していますか。最終更新日を答えられますか。
- VPN・リモートデスクトップ・クラウドサービスに多要素認証を設定していますか。
- バックアップは取っていますか。そのバックアップは、ネットワークから切り離された場所にも保管されていますか。
- 明日からシステムが1か月止まったら、売上と固定費はどうなりますか。手元資金で何か月耐えられますか。
- 取引先から「御社のセキュリティ対策の状況を教えてください」と聞かれたら、何と答えますか。
- サイバー事故が起きたとき、最初に連絡するITベンダー、保険会社、保険代理店・保険仲立人、弁護士、警察の相談窓口を一覧にしていますか。
- サイバー保険に加入している場合、事故対応費用と利益損害は補償に含まれていますか。免責金額はいくらですか。
まとめ――過度に恐れず、数字で備える
データが示しているのは、「中小企業だから狙われない」という見方は成り立たない、という現実です。実際に、中小企業でも多数の被害が発生しています。ただ、過度に恐れる必要はありません。軽減で入口を固め、移転(保険)で高額費用に備え、保有(手元資金)で不足分に耐える。この組み合わせを自社の数字で一度書き出してみることが、最初の一歩になります。
参考資料
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年3月)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf - IPA「情報セキュリティ10大脅威 2026」(2026年1月)
https://www.ipa.go.jp/security/10threats/10threats2026.html - IPA「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/guide/sme/about.html - 日本損害保険協会「中小企業におけるリスク意識・対策実態調査2025」(2025年12月)
https://www.sonpo.or.jp/sme_insurance/assets/pdf/survey/sme_report2025.pdf
本記事は一般的な情報提供であり、個別の保険契約・税務判断・資金繰り・投資判断等を助言するものではありません。実際の判断は、自社の状況に応じて、保険会社・保険代理店・保険仲立人・税理士等の専門家にご相談ください。
「サイバー保険に入るべきか分からない」「今の補償内容で足りているか不安」という方は、まずは保険証券と簡単なシステム構成図を手元に置いて、専門家に相談してみてください。当研究所でも、サイバーリスクを含むリスクファイナンス全般について、中小企業経営者からの初回相談をお受けしています。