中小企業のセキュリティ～その現状と対策を日本事務器が語る～

中小企業のサイバー攻撃の被害が増加：対策が手薄な組織が狙われる

過去にサイバー攻撃を受けたことがある企業は37.8%。中小企業が35.4%、うち小規模企業が31.4%。
この数字は、2025年6月25日に公開された帝国データバンク「東京都・サイバー攻撃に関する実態調査（2025年）」の結果です。調査のサマリーでは、「大企業よりも対策が比較的手薄な中小企業の被害増加が顕著になっている」と述べられています。
また、2025年3月13日に警察庁が公開した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」でも、対策が手薄な中小企業の被害増加について触れています。
これらの調査結果が示すのは、大企業や著名な企業が狙われるということではなく、攻撃者がつけ入る隙となる脆弱な箇所がある組織が狙われるということです。攻撃者は常にそうした攻撃しやすい組織を探しているので、自社は狙われないだろうとは思わずに対策を講じることが重要です。

ただ、中小企業のサイバーセキュリティ対策には、大企業と比べて様々な課題があると考えられます。そのなかには、専門部署や担当者を置くことができない、あるいはサイバーセキュリティに関する知識や経験がない、という点も含まれるでしょう。トレンドマイクロでは、そうした課題を抱える組織のために、高度な知識や経験が必要な運用業務をアウトソースできるマネージドサービスも展開しており、サービスプロバイダ各社と連携して利用企業に提供しています。

今回は、パートナー企業のひとつである日本事務器株式会社（以下、日本事務器）を訪問し、中小企業のセキュリティの現状や課題を伺いました。

日本事務器の立ち位置：ベンダーとお客様をつなぐ「ラストワンマイル」

日本事務器は、計算機やタイプライタなどの事務機器を主に取り扱う日本事務器商会として1924年に創業しました。
現在では全41拠点を通じて、各地域の様々な業種・業態のお客様に対して、多彩なICTトータルソリューションサービスを提供しています。そのなかでも、中小企業向けに提供するセキュリティ対策の「あんしんプラスシリーズ」では、製品の導入にとどまらず、長年のサポートサービス事業で培ったノウハウで提供する手厚いサポートにより、5,000社を超える企業のサイバーセキュリティを支えています。いわば、サイバーセキュリティ製品ベンダーとその利用企業をつなぐ「ラストワンマイル」の立ち位置にいるのです。

「あんしんプラスシリーズ」のラインナップには、トレンドマイクロ製品をベースとする「ウイルスバスター™ ビジネスセキュリティサービスあんしんプラス」、「Cloud Edge あんしんプラス」、「Deep Discovery™ Inspector あんしんプラス」などがあり、運用担当者がいない組織のためにも、総合監視センターによる24時間365日監視のサービスも提供されています。

画面：日本事務器の「あんしんプラスシリーズ」の紹介サイト

2025年4月1日には、「あんしんプラスシリーズ」に「CREM（Cyber Risk Exposure Management）あんしんプラス」が新たに加わりました。これは顧客環境の潜在的なサイバーリスクを特定し、プロアクティブにリスク軽減対応につなげることができるASM（Attack Surface Management）サービスであり、組織の環境内のアタックサーフェス（攻撃対象領域）を可視化し、対応が必要なリスクに優先順位をつけ、事前にリスクを軽減することで、攻撃を受けにくくしたり、万一攻撃を受けても被害をできるだけ抑えたりする、プロアクティブなセキュリティソリューションです。

＜関連記事＞
・経済産業省「ASM（Attack Surface Management）導入ガイダンス」を解説～ASMという組織のセキュリティ強化方法のススメ
・CTEM（Continuous Threat Exposure Management）とは？

こうしたサービスを様々な顧客に提案し、かつ顧客からの相談にも乗ることが多いという、同社首都圏支社ニューソリューション営業部部長の浅沼央（あさぬま・なかば）氏、同部櫻井賢人（さくらい・けんと）氏に、当編集部がインタビューを行いました。

左：日本事務器株式会社首都圏支社ニューソリューション営業部部長浅沼央（あさぬま・なかば）氏、
右：同じくニューソリューション営業部櫻井賢人（さくらい・けんと）氏

編集部：現在のお二人の担当業務では、セキュリティ関係のサービスをご提案されることが柱の1つと伺っていますが、そこに至るまでには、どのような経緯があったのでしょうか？

浅沼央氏（以降、浅沼）：私は入社後、Windowsが登場する前からシステムエンジニアというポジションにいました。のちにお客様に直接アプローチする部署に配属されましたが、Windowsが世に出てからウイルス対策というものが必要になり、そのころからサイバーセキュリティに関わるようになっていったのです。

当時、個人情報保護法の施行もありました（編集部注：2005年に全面施行）。それによって、セキュリティを提案していく素地ができあがったというのが体感です。セキュリティ商材はそれまでの世界にはほとんどありませんでした。当社も、セキュリティ商材を扱う部署を作るにあたり、Windowsやウイルス対策製品を触ったことがあるメンバーが集められ、私もそこに配属されました。

思い起こせば、以前はウイルスに感染してもその端末だけでしたし、メールも業務の中心ではありませんでした。ネットサーフィンしてウェブサイトを閲覧するということも業務では行わない、そういう時代でもありました。今ではそれらが主流というか、それらがなければ仕事が進まないので、変化が早いなと感じていますね。

櫻井賢人氏（以降、櫻井）：私は2020年に入社しました。配属の希望を聞かれた際に、セキュリティ関係を希望しました。

編集部：初めからセキュリティに興味があったのですか？

櫻井：入社後、最初はIT全般から勉強し始めましたが、自分で色々勉強をしたりインターネットを調べたりする中で、一番疑問を持つことが多かったのがセキュリティでした。情報のアップデートが一番多いな、というのが率直に感じたところで、なかなか面白そうだと思いました。

編集部：情報のアップデートは、ご自身でも意識したり習慣化したりしていますか？

櫻井：はい、情報を集めるためのルーティンは行うようにしています。

中小企業の顧客が抱える課題とは？

浅沼：当部はプラットフォーム、クラウドサービス、セキュリティという切り口でソリューションを提案することが主なため、様々な事業規模のお客様がいらっしゃいます。企業の立ち位置によりセキュリティ課題が全く違います。
ある程度しっかりした情報システム部を持つお客様であれば、色々なセキュリティキーワードを知っていて、CREM（Cyber Risk Exposure Management）にしても、その必要性を話すと「そうだよね」と納得される。お客様自身がセミナーなどで情報収集をして、やらなければならないことを把握していると思います。

一方、SMB（Small and Medium Business：中小企業）や情報システム部がないお客様は、1部署でセキュリティも含めて様々な業務を兼務されていることが多く、「サイバーセキュリティとは？」、「何を守らなければいけないのか？」というところから話をしなければならないことも多いです。また、経営層からサイバーセキュリティについて質問が来たりしますが、担当者の方はどうすれば良いのか困ってしまい当社に相談がある、というケースも多いです。

編集部：経営層の方はどんなふうに言われるのでしょうか？

浅沼：世の中でサイバーインシデントが起きて、経営層から「うちは大丈夫か？ちゃんとやってくれ」と言われて、担当者は「何をすれば良いんだ？」と困るという具合です。特に同業他社で被害が起きたときは、顕著ですね。逆にこのようなタイミングが、経営層にセキュリティの話に興味を持ってもらう機会ととらえることもできると思います。

多くの中小企業の顧客が抱える課題について語る浅沼氏

編集部：他の要因、たとえばセキュリティに関するガイドラインができたとか、政府が能動的サイバー防御法を成立させたとか、そのような場合にはどうでしょうか？

浅沼：最近ですと「医療情報システムの安全管理に関するガイドライン」（編集部注：2005年初版、2023年第6.0版策定）が結構話題になりました。
あとは「自工会/部工会・サイバーセキュリティガイドライン」（編集部注：2020年初版、2024年v2.2公開）ですね。このガイドラインに含まれるチェック項目について、当社にチェックしてほしいと依頼されるお客様もいらっしゃいました。
それは、自身でセキュリティの情報収集をしているお客様というよりは、組織内の様々な業務を兼任されていて、そこに情報セキュリティが含まれる方が多い印象です。

＜関連記事＞
・医療法施行規則改正、医療機関のセキュリティ義務化ー要点とサイバー攻撃動向から注意すべきポイントー
・自工会（JAMA）・部工会（JAPIA）のサイバーセキュリティガイドラインの要点は？

編集部：サイバーセキュリティにおいて、お客様が直面されている課題には、どのようなものがあるでしょうか？
たとえば、セキュリティに関するガイドラインを読み解くのに苦労するとか、取引先からセキュリティに関するチェックシートの提出を要求されたがなぜそれが必要なのかは説明がないとか、そもそもセキュリティ用語が分かりづらくとっつきにくいといったことでしょうか？

櫻井：セキュリティ自体がわからないということはなく、自分たちでセキュリティ対策を取っていこうという意識は現場レベルでは染みついていると思います。ただ、組織の上層部では、理由の分からない投資をなるべくしたくないという意向がある場合があります。
EDRやCREMなどをご提案すると、その費用対効果が現場レベルではわかりますが、上申するにあたって具体的な数字や資料を示しても、なかなか響かないというケースが結構あるのです。現場レベルでやりたいと思っていることが実現できない。

浅沼：上申するための資料から当社で作成して、役員の方とも話をさせていただくということもあります。現場の担当者や情報システム部が、ビジネス観点でのセキュリティの重要性を伝える力を持っているとセキュリティ導入の話が進みやすいと思います。

中小企業がサイバーレジリエンスを高めるには？

編集部：お客様のサイバーセキュリティのレベルを上げる、ひいてはお客様のサイバーレジリエンスを高めるために必要な要素、仕組み、あるいはセキュリティメーカーや製品の在り方などがあれば、ご意見をいただけますか。

櫻井：先ほど浅沼の話にもあったように、特に中小企業ですと、他業務とセキュリティ業務を兼任されている方が多いです。例えば、「インボイス制度」の対応に何年も要したように、やらなければならないことを、必ずしも今すぐ全部できるわけではありません。そういう方々をセキュリティも含めたIT観点でサポートをするところが、私としてはたくさんあると思っています。

また、世間には、ライセンスだけをお客様に渡して、そのあとはすべてお客様にお任せするという製品・サービスもまだたくさんあります。個人的に思うのは、そのためには、お客様が困ったら「担当営業になんでも聞けばよい」というのではなく、お客様自身も成長する機会ととらえる必要があるということです。そして、そのためにサービスプロバイダとしてどうあるべきかを、今後も考えていく必要があると思います。

編集部：当社も同じような課題を感じています。担当者レベルのコミュニケーションで解決しない部分は、経営層がどう判断するかが重要だと思います。当社では経営層向けサイバーセキュリティ演習も提供していて、サイバーセキュリティは経営課題であるということを意識づけようとしています。

浅沼：サイバーレジリエンスを高めるためには、たとえばガイドラインに則るとか、ベンダーの提案に沿って対応するとか、そういう要素もあるのかもしれませんが、ソリューションを導入した後の運用を考えると、リスキリングがすごく重要なのではないかと思います。

＜関連記事＞ANAグループはなぜ経営層向けサイバーセキュリティ演習を重視するのか？～”不測の事態で高度な判断を迫られる”ことの重要性

トレンドマイクロ製品に使いやすいコンソールを期待

編集部：Trend Vision One（以下、Vision One）、特に現在サービス協業しているCREMの使用感について教えていただけますか？

櫻井：私もまだVision Oneは触り始めたところなのですが、Vision Oneのコンソールは中小企業のお客様には結構難しいと思うのです。もうちょっと使いやすいと良いと思います。たとえば、従来の「ウイルスバスタービジネスセキュリティサービス」ぐらいのコンソールだと、状況がすぐさま把握できてとても使いやすい。Vision Oneは様々なデータを観測しているので、コンソール上の情報量が多いですが、「使いやすさ」も追及していただけたら理想的だと思います。

実際、自分でVision Oneのコンソールを触ってみての所感をお伝えしましたが、まだ成長途上の製品ではあるので今後も期待しています。特に、我々のメインのお客様であるSMBの市場にそのメリットをアピールしていくのであれば、製品を導入しただけで終わらせたくないです。導入後もお客様に使っていただきたいです。

トレンドマイクロ製品へのアドバイスを語る櫻井氏

編集部：使いたくなるUI、というような？

櫻井：トレンドマイクロがこれまで提供してきた製品の強みの1つが「使いやすさ」だと思います。その強みを昨今の複雑化する企業向け製品全体に反映していただけると、我々にとってもトレンドマイクロ製品を提案しやすくなります。

「まずは日本事務器に相談したい」という存在に

編集部：当社のようなセキュリティベンダーは様々な製品を提供していますが、それを実際に使用するお客様に届けづらい場合があります。御社はそのベンダーとお客様をつなぐ「ラストワンマイル」という立ち位置ですが、お二人はお客様に対してどんな存在でありたいと思っていますか？

浅沼：私がメンバーに言っているのは、お客様の相談先になってほしいということです。以前、櫻井に「ウイルス感染してしまった」とお客様から電話がありましたが、困ったときに一番に相談されるというのは、信頼されている証だと思うのです。
「複数社に相談したが日本事務器にも相談してみよう」でもよいのですが、それより、「まずは日本事務器に相談したい」という存在になれると良いと思います。

櫻井：私は、お客様が「こういうことをやりたいんだけど」とか、「これはどうすれば良いのか」とか、「これ不安なんだけど」というお話を、まず一番にいただける存在になりたいと思います。当社はセキュリティをはじめ、様々な提案ができますが、その中でも実用的な、お客様の業務に沿った提案ができるということを発信していきたい。
「日本事務器はこういうことができる」ではなく、「お客様にとっての価値」を提供していきたいです。

インタビューを終えて

今回、日本事務器のお二人のお話を聞いて編集部が感じたことは、デジタル技術を活用してビジネスを進めていく上では、企業規模・業種に関係なくサイバーリスクから逃れることはできないという点です。その上で、セキュリティ運用面に不安を抱える組織であれば、サービスプロバイダのサポートによりセキュリティソリューションを導入することはできます。しかし、よりよい意思決定のためには、組織の担当者自身が学んで知識を得る必要性からは逃れることはできません。
それは、セキュリティ強化のためには人的リソースや資金の投入が欠かせず、「サイバーセキュリティは経営課題である」という観点が必要であるということに他なりません。

積極的に自ら情報を収集し、よりよい相談相手を見つけ、組織全体の利益につながる意思決定に寄与すること。組織のセキュリティ担当者の役割がますます重要になっていく中で、「ITのラストワンマイル」たる日本事務器の奮闘を改めて感じました。

組織のサイバーセキュリティの現状を今一度見直し、いつ起こるとも知れないサイバーインシデントに備えてリスクを低減する――このような取り組みが、より多くの組織で行われることを願ってやみません。