1. ケース1：製造業A社 — 工場停止で信頼が揺らいだ

A社は、従業員80名ほどの部品メーカーです。大手メーカーの一次・二次下請けとして、毎日決まった数量を納品することが求められていました。社内には生産管理システムと図面データを保管したファイルサーバーがあり、そこにランサムウェアが入り込んでしまいました。

感染のきっかけ

きっかけは、在宅勤務用に導入していたVPN機器でした。数年前に導入して以降、特に大きな不具合もなく動いていたため、ファームウェア更新や設定の見直しはほとんど行われていませんでした。その弱点を突かれ、攻撃者が社内ネットワークへ侵入したと考えられています。

何が止まったのか

• 生産管理システムが暗号化され、当日の生産計画が確認できなくなった
• 図面データや加工条件のファイルも読めなくなり、段取り替えに支障が出た
• 納品書・検収データを出力できず、納品後の事務処理が止まった

工場自体は動かそうと思えば動かせたものの、「どの順番で何を何個つくるか」が分からない状態になり、現場は大きな混乱に陥りました。

目に見えないコスト

• 復旧のため、システム担当者と現場リーダーが数日間ほぼ徹夜状態になった
• 納期遅延が発生し、主要な取引先に対して謝罪・説明の場を設けることになった
• 一部の工程は紙と手作業で対応したため、ミスチェックのためのダブルワークが発生した

A社では、システムのバックアップ自体は行っていましたが、バックアップ先も同じネットワーク上にあり、攻撃に巻き込まれていました。「バックアップは取っていたが、いざというときに使えなかった」という状況です。

振り返って見えたこと

事後の振り返りで、経営陣が強く感じたのは次の2点でした。

• 工場を止めないために「最低限必要な情報」と「止められる業務」が整理されていなかった
• バックアップのとり方と保管場所について、「なぜこの方法なのか」が文書化されていなかった

結果として、「止めてはいけない業務」と「多少遅れてもよい業務」の優先度が共有されておらず、復旧の順番も手探りの状態になりました。

2. ケース2：EC小売B社 — 1週間の売上ゼロと問い合わせ殺到

B社は、自社ECサイトで商品を販売する社員30名ほどの小売企業です。コロナ禍以降、店舗売上よりECの売上が多くなり、「ネットが止まると会社が止まる」と言っても良い状態になっていました。そんな中、ECの基幹システムがランサムウェアの被害に遭いました。

感染のきっかけ

ある日、カスタマーサポート担当に届いたメールに、配送業者を名乗る添付ファイルがついていました。繁忙期で問い合わせが多いタイミングだったこともあり、「急ぎのクレームかもしれない」と開いてしまったことが、被害の始まりでした。

何が止まったのか

• 受注管理システムにアクセスできなくなり、新規注文の受付と出荷指示が止まった
• 顧客情報の一部が暗号化され、問い合わせ対応に必要な情報がすぐに出せなくなった
• サイト自体も一時停止せざるを得ず、数日間売上がほぼゼロ状態になった

B社はクラウドサービスも併用していましたが、設定の関係で社内ネットワークと密につながっており、影響が広がりました。

目に見えないコスト

• 「サイトが見られない」「注文ができない」という問い合わせが一気に増え、サポート窓口がパンク状態になった
• SNS上で「このサイトは大丈夫か」といったコメントが出て、ブランドイメージへの不安が広がった
• 復旧後もしばらくはアクセス数・売上が戻らず、広告費を増やして信頼回復を図る必要があった

B社では、ECシステムのバックアップは取っていたものの、「どの時点まで戻せるのか」「戻すと何が失われるのか」を経営層が理解していない状態でした。そのため、復旧方針の決定に時間がかかってしまいました。

振り返って見えたこと

振り返りの中で、B社が痛感したのは次のような点です。

• ECが「会社の生命線」になっているにもかかわらず、そのリスクと対策が経営会議で議論されてこなかった
• バックアップの頻度や範囲について、「どこまで戻すのが現実的か」を決める場がなかった
• メールの教育は何度か実施していたが、繁忙期の「焦り」と「人手不足」の中では機能しにくかった

「わかっていたつもりだったが、具体的に決めていなかった」というギャップが浮かび上がりました。

3. ケース3：地域サービスC社 — 予約停止と個人情報への不安

C社は、地域に根ざしたクリニック・介護・フィットネスなどを複合的に運営するサービス企業です。スタッフは60名ほどで、予約やカルテ、会員情報はすべてクラウドと社内サーバーを組み合わせて管理していました。ある日、予約システムと一部のデータベースがランサムウェアにより暗号化されました。

感染のきっかけ

感染経路ははっきりしませんでしたが、調査の結果、社内サーバーの一部に、サポートが終了している古いソフトウェアが残っていたことがわかりました。そのサーバーは「特に触る用事がないから」と長年放置されており、誰が責任者なのかもあいまいな状態でした。

何が止まったのか

• オンライン予約システムが止まり、電話予約に切り替える必要が出た
• 会員情報の一部が暗号化され、利用履歴がすぐに確認できなくなった
• 個人情報が外部に持ち出された可能性が否定できず、利用者への説明とお詫びが必要になった

C社では、サービス自体はなんとか継続できたものの、「個人情報が守られているのか」という点で利用者の不安が大きくなりました。

目に見えないコスト

• 利用者への説明文作成や、問い合わせ窓口の設置・運用に多くの時間を取られた
• スタッフが「自分たちはお客様を守れているのか」と不安を感じ、モチベーションが一時的に下がった
• 一部の利用者が解約・他社へ移動し、長期的な売上にも影響が出た

「万一のとき、誰がどこまで説明するか」「どの範囲まで情報を共有するか」といった方針も、その場で決めながら対応せざるを得ず、大きな負荷となりました。

振り返って見えたこと

C社の振り返りでは、次の点が課題として挙がりました。

• 個人情報を扱う企業として、サイバー被害を想定した説明方針・連絡体制が不足していた
• 古いサーバーやソフトウェアの棚卸しと、廃止・更新の判断が先送りされていた
• 「ITは外部ベンダー任せ」という意識が強く、社内での責任と権限の線引きが曖昧だった

「ITのことは分からないから」と全部を外部に預けていたつもりが、実は「誰も全体を見ていなかった」という状態になっていたのです。

4. 3つのケースに共通する落とし穴

ここまでの3つのケースは、業種も規模も少しずつ異なりますが、共通して見えてくる「落とし穴」があります。要点を整理すると、次の3つです。

落とし穴1：「止まって困る業務」が整理されていない

どのケースでも、「どの業務が止まると致命的なのか」「逆に、どこは一時的に手作業でも耐えられるのか」が、事前に整理されていませんでした。その結果、復旧の優先順位が決めづらく、「あれもこれも」と対応するうちに、現場の負担だけが大きくなってしまいました。

落とし穴2：バックアップの設計と運用が弱い

3社ともバックアップ自体は行っていたものの、

• 同じネットワーク上に置いていて、攻撃に巻き込まれてしまった
• 「どこまで戻せるか」「戻すと何が失われるか」を誰も把握していなかった
• 頻度やタイミングが業務の実態と合っていなかった

といった問題がありました。「バックアップを取っている」ことと、「いざというときに使える」ことは別物だということがよく分かる例です。

落とし穴3：責任と権限があいまい（属人化）

A社では「システム担当1人に依存」、B社では「ECなのに経営会議で議論されてこなかった」、C社では「ITは外部任せで、社内に責任者が不在」という形で、いずれも人と役割の属人化が起きていました。

平常時は問題が表面化しませんが、いざトラブルが起きると、「誰が判断するのか」「どこまで外部に任せてよいのか」が決まっておらず、対応が後手に回ってしまいます。

5. 中小企業が学ぶべき3つの教訓

では、これらのケースから、中小企業として何を学べばよいのでしょうか。経営として押さえておきたいポイントを、あえてシンプルに3つに絞って整理します。

教訓1：「止まって困る業務」を紙に書き出す

まずは、システムや専門用語の前に、ビジネスの視点から「止まって困る業務」を棚卸しすることが大切です。

• 工場の場合：受注・生産計画・出荷・検収のどこが止まると一番痛いか
• ECの場合：受注・決済・在庫管理・お客様対応のうち、優先順位はどうか
• サービス業の場合：予約・顧客情報・提供記録のどこまで止まるとサービスが続けられないか

各部門長に「自部門で止まると困る業務ベスト3」を書き出してもらい、それを経営会議で並べてみるだけでも、かなりの気づきが得られます。これはDay4で扱う90日ロードマップの「土台」になります。

教訓2：バックアップ方針を「なんとなく」から「文書」に

次に、バックアップについて、「誰が・何を・どこに・どれくらいの頻度で」行うのかを、簡単でよいので文書にすることです。

• どのシステム・データをバックアップの対象にするか
• バックアップの保管場所（同じネットワークか、外部か、クラウドか）
• どれくらい前まで戻せることを想定するか（1日前・3日前・1週間前など）
• 誰が実施を確認し、どのように記録するか

すべてを完璧に決める必要はありませんが、「少なくともここまでは守る」というラインを決めておくことで、被害が出たときの判断と復旧が大きく変わります。

教訓3：責任と権限をはっきりさせ、「任せっぱなし」をやめる

最後に大事なのは、サイバーリスクについての責任と権限を整理し、「IT担当任せ」「ベンダー任せ」の状態を脱することです。

• 最終的な責任者（A：Accountable）は誰か（多くの場合は経営者）
• 実務を進める担当者（R：Responsible）は誰か
• 相談すべき人・部署（C：Consulted）はどこか
• 状況を知らされるべき人（I：Informed）は誰か

こうした役割を簡単に整理しておくだけでも、「誰も決めない」「誰も説明しない」という状態を避けることができます。特に、中小企業では人数が限られているからこそ、役割の重なりや抜けがないかを意識することが重要です。

3つの教訓は、どれも大きなお金をかけなくても始められます。ランサムウェア対策は「高価なセキュリティ製品」を買うことだけではありません。日々の業務と意思決定の中に、少しずつ「備え」を組み込んでいくことが、何よりの対策になります。