NSSスマートコンサルティング株式会社
経営リスクとしての認識は高まるも、体制整備は途上段階。今後は“復旧力”の強化が鍵に
NSSスマートコンサルティング株式会社(所在地:東京都新宿区、代表取締役:安藤 栄祐)は、中小企業の経営者・経営層・情報システム部門に所属している方を対象に、「企業のサイバー攻撃対応力と復旧体制」に関する調査を実施しました。
近年、ランサムウェア(身代金要求型ウイルス)によるサイバー攻撃が相次いでおり、直近でも大手企業の基幹システム停止や物流拠点の稼働障害につながる事例が発生するなど、企業活動の根幹を揺るがす被害が現実化しています。
帝国データバンクの調査(2025年6月発表)※によると、企業の32.0%がサイバー攻撃を経験しており、特に「1カ月以内に被害を受けた(可能性がある場合も含む)」と回答した中小企業・小規模企業の割合が高い結果となりました。
※https://www.tdb.co.jp/report/economic/20250619-2025cyber-attack/
背景には、ランサムウェア攻撃の多様化や、対策リソースが限られる中小企業の脆弱性があることが指摘されています。
中小企業にとって、今やサイバー攻撃は“他人事”ではなく、BCP(事業継続計画)※の一環として平時からの備えを整えることが重要です。
※BCP(事業継続計画):自然災害や火災、テロ攻撃といった緊急事態が発生した際に、損害を最小限に抑え、中核となる事業を継続・早期復旧させるための計画
そこで今回、各種ISOの新規取得・運用サポートサイト『ISOプロ』(https://activation-service.jp/iso/)を運営するNSSスマートコンサルティング株式会社は、中小企業の経営者・経営層・情報システム部門に所属している方を対象に、「企業のサイバー攻撃対応力と復旧体制」に関する調査を実施しました。
調査概要:「企業のサイバー攻撃対応力と復旧体制」に関する調査
【調査期間】2025年11月18日(火)~2025年11月20日(木)
【調査方法】PRIZMA(https://www.prizma-link.com/press)によるインターネット調査
【調査人数】1,044人
【調査対象】調査回答時に中小企業の経営者・経営層・情報システム部門に所属していると回答したモニター
【調査元】NSSスマートコンサルティング株式会社(https://activation-service.jp/iso/)
【モニター提供元】PRIZMAリサーチ
サイバー攻撃は「自社にも起こり得る」と不安を抱く企業は約8割…背景に「信頼失墜」「法的リスク」への懸念
はじめに、「直近の大手企業を狙ったランサムウェアによるサイバー攻撃のニュースを見て、『自社にも起こり得る』と不安を感じますか?」について尋ねたところ、『とても不安(33.0%)』『やや不安(46.6%)』と回答した方が合わせて約8割を占め、『あまり不安はない(14.8%)』『まったく不安はない(5.6%)』が約2割となりました。
多くの中小企業が、サイバー攻撃を「他人事」ではなく「自社にも起こり得る現実的な脅威」として捉えていることがわかります。
ランサムウェア被害が報道されるたびに、被害企業の規模を問わない無差別的な攻撃が注目されており、業種を問わず不安を抱く傾向が強まっていると考えられます。
実際に、不安を感じる理由として具体的にどのような懸念があるのでしょう。
前の質問で、『とても不安』『やや不安』と回答した方に「どのような点に不安を感じるか」について尋ねたところ、『顧客・取引先の信頼失墜(50.4%)』『情報漏えいによる法的リスク(50.2%)』がほぼ同率で上位に挙がり、『システム復旧までの時間が読めない(47.4%)』となりました。
中小企業にとって、サイバー攻撃は単なるシステム障害にとどまらず、取引先との関係や企業ブランドに直結する重大リスクとして意識されているようです。
特に、「信頼失墜」や「法的リスク」が上位に挙がった点から、経営的な損害だけでなく、社会的信用の喪失を恐れる声が多い傾向にあるようです。
また「復旧時間の不透明さ」も懸念の一つであり、初動対応の遅れが被害拡大につながる可能性を強く意識していることが見て取れます。
一方で、不安を感じていない方も一定数いますが、どのような理由があるのでしょうか。
先ほどの質問で、『あまり不安はない』『まったく不安はない』と回答した方に「不安を感じていない理由」を尋ねたところ、『社内システムが小規模で影響が限定的だから(31.1%)』と回答した方が最も多く、『サイバー攻撃について深く考えたことがないから(25.0%)』『業界的に標的になりにくいと考えているから(17.9%)』となりました。
不安を感じない背景には、自社を「攻撃対象外」と捉える意識や、被害の想定範囲を過小評価する傾向があるようです。
システム規模の小ささが安心材料とされる一方で、「考えたことがない」という回答が約3割を占めている点から、セキュリティリテラシーの格差も示されます。
では、実際に攻撃を受けた際、どのような業務的支障が発生すると考えるのでしょうか。
「サイバー攻撃を受けた場合、業務上どのような支障・影響が発生する可能性があると考えるか」について尋ねたところ、『社内システムが停止し、業務処理ができなくなる(52.7%)』と回答した方が最も多く、『顧客や取引先との連絡・納期に支障が出る(43.8%)』『機密情報の漏えいにより取引停止や信頼低下につながる(40.5%)』となりました。
企業にとって、サイバー攻撃は情報の損失だけでなく業務全体の停止を引き起こす「経営リスク」として認識されていることがわかります。
特に、取引先との連絡障害や納期遅延は、信頼失墜に直結する要素です。
また、製造・物流などの業務にも影響が及ぶ点は、デジタルと物理の両面でリスクが拡大している現実を反映していると考えられます。
中小企業の有事対応力は?サイバー攻撃対応体制を整備している中小企業は約7割―「人材不足」が整備の壁に
業務への影響が大きいことが明らかになる一方で、実際にそのリスクに備える体制をどの程度整えているのかも重要です。
そこで、「サイバー攻撃発生時の対応体制(初動~報告~復旧)は整備しているか」を尋ねたところ、以下のような回答結果になりました。
『整備していて定期的に見直している(24.6%)』
『一部は整備しているが全社的な運用には至っていない(42.4%)』
『整備していないが検討中(16.0%)』
『整備しておらず予定もない(17.0%)』
全体として、対応体制を確立している企業は少数で、約4割が部分的整備にとどまっている状況です。
これは、人材・コスト面の課題に加え、組織全体での危機対応意識の統一が難しいことを示しています。
また、「検討中」や「整備の予定もない」という企業が約3割という点からも、サイバー攻撃への備えが未成熟である実態が浮かび上がります。
実際、体制整備が進まない背景にはどのような理由があるのでしょうか。
前の質問で、『整備していないが検討中』『整備しておらず予定もない』と回答した方に「整備していない理由」を尋ねたところ、『専任担当者・人材不足(32.9%)』『費用の確保が難しい(31.4%)』『どのように体制を整えればいいのかわからない(23.8%)』が上位に挙がりました。
「人的リソース」と「コストの制約」が、対応体制整備の障壁となっていることが明確です。
特に、中小企業では専門知識を持つ人材の確保が難しく、外部依存に頼らざるを得ないケースが多いと考えられます。
また、「どのように整えればいいのかわからない」という回答が一定数あることから、実践的なガイドラインや相談体制の整備が求められているといえるでしょう。
では、整備を進めている企業では、どのような点を重視して取り組んでいるのでしょうか。
サイバー攻撃発生時の対応体制について『整備していて定期的に見直している』『一部は整備しているが全社的な運用には至っていない』と回答した方に聞きました。
「サイバー攻撃発生時の対応体制整備の中で重視している点」について尋ねたところ、『初動対応マニュアルの整備と定期的な見直し(44.7%)』と回答した方が最も多く、『バックアップ・復旧手順の文書化(35.0%)』『社員向け訓練・シミュレーションの実施(33.3%)』となりました。
多くの企業が、被害拡大を防ぐための「初動体制」と「復旧準備」に重点を置いていることがわかります。
特に、「定期的な見直し」「文書化」や「訓練の実施」を挙げる声が多く、実効性のある運用を重視する傾向が見られます。
そのような中、実際にサイバー攻撃などの有事に直面した際、事業を継続・早期復旧させるためのBCP(事業継続計画)はどの程度整備されているのでしょうか。
「サイバー攻撃などの有事発生後に、業務を継続・早期復旧させるためのBCP(事業継続計画)はどの程度策定・整備しているか」を尋ねたところ、以下のような回答結果になりました。
『明確に策定して定期的な見直し・運用を行っている(27.3%)』
『一部の業務で策定・整備を進めているが全社的な運用には至っていない(36.1%)』
『最低限の体制はあるが体系的に整備できていない(15.3%)』
『ほとんど整備していない(21.3%)』
BCP(事業継続計画)の整備は一定程度進んでいるものの、全社的な運用まで至っている企業は約3割となり、部分的整備にとどまる傾向が見られ、サイバー攻撃を含めた包括的な事業継続対策はまだ途上段階にあることがうかがえます。
今後強化すべきことは「バックアップ・復旧体制」「BCP(事業継続計画)策定」が上位に
こうした状況の中、近年のサイバー攻撃報道を受け、各企業はどのような気づきや見直しの必要性を感じているのでしょうか。
具体的に聞きました。
■直近のサイバー攻撃報道を受けて『改めて見直したい』『学びになった』こと
・自社の体制ではまだまだ不備が多いので強化、検討したいと思いました(50代/男性/北海道)
・自社のみならず、関係先に与える影響を予測する作業が必要と感じた(50代/男性/東京都)
・全社員の意識の向上(50代/男性/愛知県)
・被害を最小限にとどめる有効策の開発が必要(60代/男性/東京都)
自由回答からは、体制強化や被害抑止策の検討に加え、関係先を含めた影響範囲の把握や社員意識の向上を課題とする声が多く見られました。
サイバー攻撃が自社だけでなく取引先にも波及するリスクを踏まえ、全社的な防御体制と意識改革の両立が求められているといえます。
最後に、「自社の情報セキュリティ体制で今後強化すべき点」を尋ねたところ、『データバックアップ・復旧体制の見直し(37.2%)』と回答した方が最も多く、『BCP(事業継続計画)の策定・見直し(28.7%)』『初動対応マニュアルの整備(28.6%)』となりました。
今後強化すべきこととして、「攻撃を防ぐ」よりも「被害後の復旧スピード」を重視する傾向を強めていることがうかがえます。
特に、「バックアップ」や「BCP(事業継続計画)」など、業務再開に直結する体制の強化が優先されている点は、近年の被害事例を通じて得られた教訓ともいえるでしょう。
今後は、経営層を含めた全社的な危機管理文化の定着が、実効的な対策の鍵となりそうです。
まとめ:中小企業の課題は「防御」から「復旧」への意識転換
今回の調査で、サイバー攻撃を「自社にも起こり得る現実的なリスク」として認識する中小企業が多数を占める一方で、実際の備えや対応体制は十分に整っていない実情が明らかになりました。
約8割の企業がサイバー攻撃に対する不安を抱いており、理由として「顧客・取引先の信頼失墜」や「法的リスク」「復旧時間の不透明さ」が挙げられ、経営への影響を重く受け止めていることがうかがえます。
一方で、不安を感じていない企業も一定数見られ、自社を「攻撃対象外」と捉える傾向があることもわかりました。
サイバー攻撃発生時の対応体制については、「一部整備にとどまる」企業が最も多く、全社的に運用できているのは約2割という状況です。
「検討中」や「整備の予定もない」という企業も一定数見られ、「専任人材の不足」や「費用確保の難しさ」といった経営資源上の制約があり、実務面での限界が浮き彫りとなりました。
さらに、「どのように整備すればよいかわからない」との声も一定数あり、対応のノウハウ不足が課題として残っています。
整備を進めている企業では、「初動対応マニュアルの整備」や「バックアップ手順の文書化」「シミュレーションの実施」など、具体的な運用を重視する傾向が見られました。
これは、攻撃を完全に防ぐことは困難であるという現実を踏まえ、「被害発生後にどれだけ早く業務を復旧できるか」という視点へのシフトを示しています。
BCP(事業継続計画)についても、策定・運用を明確に行っている企業は約3割となり、多くが部分的整備にとどまっています。
また、直近のサイバー攻撃報道を受けて「体制の不備を痛感した」「関係先への影響も含めた対応を考えたい」「社員の意識を高めたい」といった声が多く寄せられ、サイバー攻撃のリスクを自社だけで完結させず、取引先や社員を含む「組織全体の課題」として捉え直す必要性が浮かび上がりました。
今後強化したい点として「データ復旧体制」「BCP(事業継続計画)の策定・見直し」「初動対応マニュアルの整備」など、被害後のリカバリーを重視する回答が上位に挙がりました。
これは、完全な防御が難しい現状を前提に「いかに早く業務を再開できるか」に視点を移しつつあることを示しています。
今後は、専門人材の育成や外部機関との連携を進めるとともに、経営層を含めた全社的な危機対応力の底上げが重要になるといえるでしょう。
「ISO」の新規取得・運用サポートなら『ISOプロ』
今回、「企業のサイバー攻撃対応力と復旧体制」に関する調査を実施したNSSスマートコンサルティング株式会社は、ISOの新規取得・運用サポートサイト『ISOプロ』(https://activation-service.jp/iso/)を運営しています。
「ISO27001」とは、「情報セキュリティの管理に関する国際規格」です。
2005年にISO(国際標準化機構)とIEC(国際電気標準会議)が共同で制定しました。
「ISO27001」の目的は、「機密性」「完全性」「可用性」の3つの要素を維持し、企業の情報セキュリティ管理体制を強化することにあります。
<【完全版】ISO27001(ISMS)とは?メリットや要求事項を簡単に解説>
https://activation-service.jp/iso/column/306
<「ISO27001」に関するコラムはこちら>
https://activation-service.jp/iso/column/type-27001?type=gnavi
「ISO22301」とは、事業継続マネジメントシステム(BCMS)に関する国際規格です。
自然災害や伝染病、ITシステムの障害などの予測できない非常事態が発生した際にも、事業を継続あるいは中止後にも早期復旧できる体制を構築するために制定されました。
<ISO22301(BCMS)とは?概要やメリット、取得企業まで徹底解説>
https://activation-service.jp/iso/column/7377
ISOプロは、ISO審査員資格保有者やISO構築コンサルタント経験者が多く所属するISOの専門家集団です。
当サイトで発信する情報を通じ、サイト利用者様がISOの構築や運用などISOに関わる業務を円滑に進め、事業の成長につながるよう信頼できる情報発信を提供します。
ISOプロについて:https://activation-service.jp/iso/philosophy
その他ISO各種規格のコラムはこちら:https://activation-service.jp/iso/column
『ISOプロが訊く』ISO取得企業へのインタビュー掲載中
『ISOプロが訊く』とは、ISOを取得した企業様にISOプロがインタビューをする企画です。
その企業が、ISOを取得した理由や取得する上での課題、ISOを取得して何が変わったのかをうかがっています。
ISO運用企業様の生の声をぜひご覧ください。
ISOプロが訊く:https://activation-service.jp/iso/interview
ISO・HACCPコンサルタント募集中
ISOプロでは、全国各地のISO・HACCPコンサルタントを募集しています。
『お客様の実情に合わせた各種ISOやHACCPの構築、運用』をポリシーとして、サポート業務を行っております。
私たちの想いに共感いただける方、少しでもご興味がある方はぜひお問い合わせください。
ISOプロについて:https://activation-service.jp/iso/philosophy
お問い合わせフォーム:https://activation-service.jp/iso/lp/form-collabo-entry/
【会社概要】
会社名:NSSスマートコンサルティング株式会社
所在地:東京都新宿区西新宿6-8-1 住友不動産新宿オークタワー21階
代表者:安藤栄祐
URL:https://nss-smart-consulting.co.jp/
事業内容:ISOコンサルティング事業、労務コンサルティング事業、オフィスサポート事業
