中小企業のサイトでも本当に攻撃されますか？

Verizon の 2025 Data Breach Investigations Report（DBIR）では、確認された侵害のうち中小企業のランサムウェア被害は 88% で、大企業の 39% を大幅に上回りました。攻撃者は標的の規模ではなく『脆弱性の有無』で選ぶため、中小企業ほど無防備で狙われやすい構造です。

HTTPS（SSL）を入れていれば安全ですか？

HTTPS は通信路の暗号化に過ぎず、WEB アプリ層の脆弱性（XSS / SQLi / 認証不備など）には無力です。OWASP Top 10:2025 が示す主要リスクの大部分は HTTPS とは別レイヤーで、CSP（Content Security Policy）や入力検証、最新アップデートの適用が必須です。

WordPress を使うのは危険ですか？

WordPress 自体は世界の CMS シェア約 6 割で実績豊富です。ただし Patchstack の 2025 年版年次レポートでは新規発見脆弱性 11,334 件のうち 91% がプラグイン由来。テーマ・コア合計 9% に対し著しく高い比率です。プラグイン選定と更新運用が最大のリスク管理ポイントです。

何から始めるべきですか？

優先順位は ①常時 HTTPS と HSTS ②CMS / プラグイン / ライブラリの即時アップデート運用 ③CSP と Secure Headers の実装 ④管理画面アクセスの制限と多要素認証 ⑤改ざん検知・バックアップ。IPA『安全なウェブサイトの作り方第 7 版』とほぼ同じ順序です。

被害が出てから対応すれば良くないですか？

Verizon 2025 DBIR では中小企業ランサム被害者の 64% が身代金支払いを拒否しましたが、平均被害額は 11.5 万ドル（約 1,700 万円）に達しました。事業停止 + 復旧費用 + 信用失墜の合計で、事後対応は事前対策の数十倍コストになります。

Problem ／セキュリティ

セキュリティが不安・脆弱性を放置している

2026 年 5 月 15 日公開最終更新 2026 年 5 月 15 日読了目安 9 分

この記事の結論

中小企業のランサムウェア被害率は 88%（Verizon 2025 DBIR、大企業 39% の倍以上）。WordPress プラグイン由来の脆弱性は 11,334 件中 91%（Patchstack 2025）。攻撃者は規模ではなく「脆弱性の有無」で選ぶため、中小企業ほど狙われやすい構造です。OWASP Top 10:2025 と IPA『安全なウェブサイトの作り方第 7 版』が示す対策の 最低限 5 ステップを、一次出典付きで解説します。

こんな状態ではありませんか？

□ サイトの管理画面に多要素認証（MFA）が入っていない
□ WordPress / プラグインを 3 か月以上アップデートしていない
□ HTTPS 化はしたがそれ以外のセキュリティ設定は分からない
□ バックアップが「いつ取ったか」「どこにあるか」即答できない
□ 脆弱性スキャンを一度も受けたことがない

1 つでも当てはまるなら、被害に遭うリスクが大幅に高まっています。

図 1：中小企業のランサム被害率は大企業の倍以上（Verizon 2025 DBIR、確認済み侵害事案）。

1. 中小企業が狙われる現実（DBIR データ）

「うちみたいな小さい会社が狙われるはずがない」と思っていませんか。数字で見ると、現実は逆です。Verizon が毎年公表する Data Breach Investigations Report（DBIR）2025 年版は、世界 22,000 件以上の侵害事案を分析した最も権威ある統計の 1 つです。

・確認された侵害事案のうち、中小企業のランサムウェア被害は 88%（大企業は 39%）

・中小企業ランサム被害者の 64% が身代金支払いを拒否（前年比増）

・拒否しても平均被害額は 11.5 万ドル（約 1,700 万円）（事業停止 + 復旧費用）

・侵害事案全体の 60% に「人的要因」（フィッシング・誤操作・流出 ID）が関与

攻撃者は標的の規模ではなく 「脆弱性の有無」 で選びます。むしろ大企業は SOC（セキュリティ運用センター）や専任 CISO が常駐しているため、人的・技術的に手薄な中小企業のほうが「割に合う標的」と認識されています。

2. 脆弱性放置で起こる 5 つのリスク

「攻撃されたらどうなるか」は、ランサム被害だけではありません。中小企業 WEB サイトで実際に起きる被害は、おおむね次の 5 種類です。

サイト改ざん・フィッシング踏み台化

脆弱な CMS / プラグイン経由で侵入され、フィッシング詐欺やマルウェア配布の踏み台にされます。Google Safe Browsing で警告表示されると、検索結果から実質的に追放されます。復旧に数週間かかる事例が大半です。

個人情報漏洩 → 報告義務発生

問い合わせフォーム経由で取得した氏名・メール・電話番号が漏洩した場合、改正個人情報保護法（2022 年施行）により 本人通知 + 個人情報保護委員会への報告義務 が発生。違反時は最大 1 億円の罰金リスクもあります。

SEO 順位の急落と回復不能

Google は「セキュリティ侵害サイト」を検索結果から大幅に順位下げします。Manual Action（手動対策）が解除されても、過去の評価は戻らないケースが多く、ドメイン変更を余儀なくされた事例もあります。

事業停止と取引先からの信用失墜

サイト停止 + 顧客対応 + 関係各社への謝罪 + 再発防止策策定で 最低 2-4 週間の事業停止。BtoB の場合、取引先の与信審査やセキュリティ監査で取引停止になるリスクがあります。

クレジットカード情報漏洩 → PCI DSS 違反

EC サイトでクレジットカード情報が漏洩すると PCI DSS（カード業界国際基準）違反として、決済代行会社からの取引停止 + 多額の制裁金 + フォレンジック調査費用。中小 EC 事業者の廃業要因の上位です。

3. 最低限やるべき 5 ステップ

IPA『安全なウェブサイトの作り方第 7 版』(2015) と OWASP Top 10:2025、OWASP Secure Headers Project の優先順位を中小企業向けに整理したものです。順番通りに上から実装してください。

常時 HTTPS と HSTS の徹底 — 全ページ HTTPS 化 + HSTS ヘッダで HTTP からの強制リダイレクトを無効化。可能なら HSTS Preload 登録でブラウザに事前登録。
CMS・プラグイン・ライブラリの即時アップデート運用 — WordPress / プラグイン / Node.js / 各種ライブラリを 1 週間以内にアップデート。Patchstack 等の脆弱性通知サービスで CVE を自動監視。
CSP と Secure Headers の実装 — Content-Security-Policy で XSS を構造的に遮断。X-Frame-Options / X-Content-Type-Options / Referrer-Policy / Permissions-Policy / Strict-Transport-Security の最低 5 種を設置。securityheaders.com で A+ 取得が目安。
管理画面アクセス制限と多要素認証 — /wp-admin/ や管理 URL を IP 制限または Basic 認証で隔離。管理アカウントは多要素認証（MFA）必須。共有アカウント禁止。Verizon DBIR では侵害の 60% に人的要因が関与。
改ざん検知とバックアップ運用 — 日次でファイル改ざん検知 + 7 日以上のバックアップ保持。復旧手順書を年 1 回演習。バックアップ先はサーバー外（オフサイト）が必須。被害時に「戻せる」ことが事業継続の生命線。

4. WordPress 固有のリスクと対策

世界の CMS シェア約 6 割を占める WordPress は、攻撃者にとって最も「割に合う」標的です。Patchstack の 2025 年版年次レポートでは、新規発見された WordPress エコシステム脆弱性 11,334 件のうち 91% がプラグイン由来でした（テーマ + コア合計 9% に対して著しく高い比率）。

つまり「WordPress 自体が危険」なのではなく、プラグインの選定と更新運用が最大のリスク管理ポイントです。具体的には：

・最終更新が 6 か月以上前のプラグインは導入しない

・プラグイン総数を最小化（10 個以下が目安）

・無料の海外製プラグインより、有料 + 日本企業サポート品を優先

・自動アップデートを基本 ON（破壊的変更が稀なメンテナンス系のみ）

・年 1 回はプラグイン棚卸し（不要・休眠プラグインは削除）

HARTON では WordPress を採用する場合、プラグイン総数 5 個以下を原則とし、Patchstack 等の脆弱性通知を全クライアント向けに自動監視しています。

5. HARTON の解決アプローチ

HARTON は全プランで セキュリティをデフォルト ON で実装します。常時 HTTPS + HSTS Preload、Trusted Types を含む厳格 CSP、X-Frame-Options を含む Secure Headers 5 種、改ざん検知 + 日次バックアップ。securityheaders.com で A+ 評価を全クライアントの納品基準としています。

WordPress 採用時もプラグイン 5 個以下を原則化。脆弱性通知を全件自動監視し、CVE 公開後 1 週間以内のアップデート適用を運用 SLA に組み込んでいます。

このサイト自体が実証です。tcharton.com は HSTS Preload 登録済み + 厳格 CSP + Trusted Types 強制 + securityheaders.com A+ で運用。実装の根拠は方法論ページとセキュリティ 5 原則記事で全公開しています。

よくある質問

中小企業のサイトでも本当に攻撃されますか？: Verizon 2025 DBIR では中小企業のランサムウェア被害は 88%（大企業 39%）。攻撃者は標的の規模ではなく「脆弱性の有無」で選ぶため、中小企業ほど無防備で狙われやすい構造です。
HTTPS（SSL）を入れていれば安全ですか？: HTTPS は通信路の暗号化に過ぎず、WEB アプリ層の脆弱性（XSS / SQLi / 認証不備など）には無力です。OWASP Top 10:2025 が示す主要リスクの大部分は HTTPS とは別レイヤー。CSP と入力検証、最新アップデートの適用が必須です。
WordPress を使うのは危険ですか？: WordPress 自体は世界の CMS シェア約 6 割で実績豊富です。ただし Patchstack 2025 では新規発見脆弱性 11,334 件のうち 91% がプラグイン由来。プラグイン選定と更新運用が最大のリスク管理ポイントです。
何から始めるべきですか？: 優先順位は ①常時 HTTPS と HSTS ②CMS / プラグイン / ライブラリの即時アップデート ③CSP と Secure Headers ④管理画面の MFA ⑤改ざん検知・バックアップ。IPA『安全なウェブサイトの作り方第 7 版』とほぼ同じ順序です。
被害が出てから対応すれば良くないですか？: Verizon 2025 DBIR では中小企業ランサム被害者の 64% が身代金支払いを拒否しましたが、平均被害額は 11.5 万ドル（約 1,700 万円）。事業停止 + 復旧費用 + 信用失墜の合計で、事後対応は事前対策の数十倍コストになります。

出典

Verizon, 2025 Data Breach Investigations Report — verizon.com/business/resources/reports/dbir
OWASP Foundation, Top 10:2025 — owasp.org/Top10
Patchstack, State of WordPress Security Annual Report 2025 — patchstack.com/whitepaper
OWASP Secure Headers Project — owasp.org/www-project-secure-headers
IPA, 安全なウェブサイトの作り方第 7 版 (2015) — ipa.go.jp/security/vuln/websecurity
IPA, 情報セキュリティ 10 大脅威 — ipa.go.jp/security/10threats

Free Diagnosis

あなたのサイトは安全ですか？

無料診断では、現状サイトのセキュリティ設定（HTTPS / CSP / ヘッダ / WordPress 構成）を機械検証してお見せします。診断だけで終わっても費用は一切かかりません。

1 分で無料診断を申し込む