中小企業がランサムウェアに感染したら「いくら」かかる?──被害額の目安と、止まらないための備え(保険+技術対策)

更新日:2026年3月26日 / 木村

ランサムウェア被害は「PCが暗号化されて終わり」ではありません。調査・復旧・補償・信用回復まで含めると、特に中小企業では資金繰りに直撃します。さらに深刻なのは、自社データが復旧できない場合、受注・出荷・請求・給与・仕入れなど“事業活動が丸ごと止まる”ことです。

実際に近年の大手企業でも(報道ベースで)通常運用に戻るまで数か月単位を要したケースが出ています。中小企業なら、代替手段や人員余力が少ない分、影響が拡大しがちです。

この記事では、中小企業で現実に起こりうる費用を「金額感つき」で整理し、損害保険(サイバー保険等)加入の必要性と、止めないための具体策をまとめます。
※金額はあくまで目安(業種・従業員数・IT環境・漏えい有無・停止期間で大きく変動)です。

 

1. ランサムウェア被害の費用は「身代金」より周辺費用が重い

ランサムウェアの支払い(身代金)に目が行きがちですが、実務では次の費用が大きくなります。

 

被害費用の内訳(中小企業の目安)









項目
具体内容
目安金額






初動対応(緊急)
封じ込め、端末隔離、ログ保全、暫定復旧
30万〜200万円




フォレンジック調査
侵入経路特定、漏えい有無、証跡分析、レポート
200万〜1,200万円




システム復旧・再構築
サーバ再構築、AD/メール復旧、端末キッティング、設定やり直し
300万〜3,000万円




バックアップ/データ復元
復元作業、検証、整合性確認
100万〜800万円




業務停止(逸失利益)
売上喪失、追加人件費、外注費、残業
1日あたり20万〜300万円


(業種で変動)





取引先対応・謝罪対応
調整、個別連絡、再発防止説明、臨時窓口
30万〜300万円




法務・個情法対応
弁護士、監督官庁/関係先への報告支援
50万〜500万円




通知・見舞い・補償(漏えい時)
お詫び状、コールセンター、見舞金、見舞品、信用監視
100万〜数千万円


(人数次第)





PR/信用回復
広報支援、Web告知、風評対応
50万〜500万円








合計の目安:1,000万円〜1億円

(「停止が長い」「漏えいがある」「基幹がやられた」場合は上振れしやすい)


 


2. 「迷惑をかけた場合の補償」は、人数次第で跳ね上がる


ランサムウェアは暗号化だけでなく、近年は情報を盗んで脅す(二重恐喝)が典型です。漏えいが絡むと補償・通知が発生します。


補償・対応費用の具体例(目安)


    

  • お詫び状・郵送費:1通あたり 200〜500円
    
例)5,000件で 100万〜250万円
    • 

  • コールセンター設置:月 100万〜400万円
    
例)2か月で 200万〜800万円
    • 

  • 見舞金・金券等:1人あたり 1,000〜10,000円(運用による)
    
例)10,000人で 1,000万〜1億円
    • 

  • (必要に応じて)信用監視サービス:1人あたり年 3,000〜12,000円
    
例)10,000人で 3,000万〜1億2,000万円
    • 



「1人あたり数千円」の話でも、対象が1万人になると一気に数千万円〜になります。


 


3. 最悪シナリオ:「復旧できない」=事業が数か月止まる


本当に怖いのはここです。バックアップも暗号化され、設計書や顧客台帳、受注履歴、請求データが戻らないと、次のような状態になります。


    

  • 受注できない/出荷できない/請求できない
    • 

  • 原価・在庫が分からず仕入れが止まる
    • 

  • 取引先からの信用が落ち、取引停止・与信縮小
    • 

  • 手作業で回そうとしても限界(人が足りない)
    • 



大手企業でも復旧に数か月を要したと報じられることがあり、中小企業は代替要員・代替システムがない分、さらに詰みやすいのが実態です。最近だと、アスクルやアサヒビールが事業が通常に戻るまで数か月かかったと報じられています。


 


4. ざっくり試算:中小企業(年商2億円)が2か月止まったら?


例:年商2億円(粗利率30%)、月商約1,667万円の場合。


    

  • 粗利ベースの逸失:1,667万円 × 30% = 約500万円/月
    • 

  • 2か月停止:約1,000万円(粗利だけでも)
    • 

  • ここに復旧費(数百〜数千万円)、調査費(数百万円〜)、取引先対応費などが上乗せ
    • 



現実的に「数千万円コース」になり得る、というのが中小企業の怖さです。


 


5. だから必要になる「損害保険(サイバー保険等)」の考え方


保険でカバーされやすい費用(一般的な例)


    

  • フォレンジック費用、復旧費用、弁護士費用
    • 

  • 事故対応(通知、コールセンター、PR支援)
    • 

  • 第三者への賠償(情報漏えい等)
    • 

  • 事業中断損失(休業損害)※条件あり
    • 

  • サイバー恐喝対応(身代金そのものを含むかは商品・条件による)
    • 

  • 



加入時に必ず確認したい注意点


    

  • 支払限度額(保険金額):最低でも「復旧+調査+休業」の合計に見合うか
    • 

  • 免責(自己負担):例)10万〜300万円など
    • 

  • 待機期間(事業中断):例)8時間/24時間/72時間など
    • 

  • 適用除外:バックアップ未実施、重大な過失、戦争・国家関与など条項確認
    • 

  • 委託先起因(サプライチェーン):どこまで対象か
    • 



保険は「入って終わり」ではなく、事故対応の資金繰りを崩さないための装置です。ただし保険には条件があるため、技術対策とセットで効果が最大化します。


 


6. 止めないための対策(中小企業でも現実的にできる優先順)


「全部やる」は難しいので、被害を最小化する順に並べます。


 


① バックアップを“ランサム耐性”にする(最重要)


    

  • 3-2-1ルール:データ3世代、媒体2種類、うち1つはオフサイト
    • 

  • イミュータブル(変更不可) or オフラインバックアップ
    • 

  • バックアップ環境のIDを本番と分離(同一AD配下に置かない)
    • 

  • 月1回は復元テスト(復旧できなければバックアップではない)
    • 



事例(よくある改善)

NASにバックアップして安心 → NASごと暗号化

→ 対策:クラウドの世代管理+オフライン媒体(週次)+復元演習


 


② 侵入経路を潰す(MFAとリモートアクセス)


    

  • VPN/RDP/クラウド管理画面にMFA必須
    • 

  • 使っていないリモート経路は閉鎖
    • 

  • パスワード使い回し禁止、管理者権限の最小化
    • 

  • 



③ 端末対策(EDR導入)+パッチ運用


    

  • ウイルス対策だけでなく、侵入後の挙動を検知・封じ込めするEDRで対策
    • 

  • Windows・VPN装置・NAS・仮想基盤の更新を“月次の業務”に組み込む
    • 

  • 



④ ネットワーク分離(全部同じLANにしない)


    

  • サーバ、端末、バックアップ、管理系を分ける
    • 

  • 「1台やられたら全部道連れ」を防ぐ
    • 



 


⑤ “止まった時”の手順書(BCP/インシデント対応)


    

  • 連絡網、初動(ネットワーク遮断、証跡保全)、対外説明の雛形
    • 

  • 誰が意思決定するか(休日・夜間含む)
    • 

  • 顧客・取引先への説明テンプレ、代替手順(手書き受注など)
    • 



 


7. まとめ:ランサムウェアは「保険+復旧設計」で勝負が決まる


    

  • 中小企業でも被害総額は1,000万円〜1億円が現実的に起こり得る
    • 

  • 特に怖いのは、データ復旧できない=事業が数か月止まること
    • 

  • 大手でも復旧に時間を要する例が報じられており、中小企業は一層“止まりやすい”
    • 

  • 対策は2本柱:
    
① 損害保険(サイバー保険等)で資金繰り・事故対応を支える
    
② バックアップ耐性・MFA・EDR・分離・手順書で“止まらない設計”にする
    • 


			

				
			
一覧へ戻る