ほとんどの中小企業(SMB)にとって、「オフィス」とは今や、自宅のWi-Fiネットワーク、カフェのホットスポット、共有ワークスペース、クラウドベースのSaaSツールの集合体です。

それでも、働き方の分散化が進む中、多くの企業はネットワーク制御を整備できていません。Protonの新しい調査によると、ネットワークへのアクセスを保護するためにVPNを使用しているSMBは半数未満です。

同時に、セキュリティインシデントは増加しています。SMBの4社に1社が過去1年でサイバー攻撃または侵害を経験しています。

では、ハイブリッドワークへの移行が恒久化したように見えるにもかかわらず、なぜVPNの導入はこれほど一貫していないのでしょうか。そして、それが最近の多くのセキュリティインシデントの原因なのでしょうか?

当社のSMB Cybersecurity Report 2026は、この疑問に光を当てます。独自調査として、世界中の数千人のビジネスリーダーに対し、セキュリティ慣行について数十の質問を行いました。無料のサイバーセキュリティレポートをダウンロードすると、ビジネスに役立つ4つの重要な知見と5つの推奨事項を得られます。

無料レポートをダウンロード(新しいウィンドウ)

攻撃者がSMBを標的にする理由

長年にわたり、サイバー犯罪者は主に大企業を標的にしてきました。しかし、企業の防御が改善されるにつれ、攻撃者は次の理由からますますSMBを標的にする(新しいウィンドウ)ようになっています。

限られたリソース: 小規模なチームでは、専任のセキュリティ担当者や正式なセキュリティポリシーが不足していることがよくあります。

分散したネットワーク: 従業員は自宅のWi-Fi、共有ワークスペース、公共のホットスポットから接続するため、攻撃者にとっての侵入口が増えます。

高価値データ: SMBは、顧客情報、財務記録、知的財産を含む大企業と同じ機密データ(新しいウィンドウ)を保存している可能性がありますが、保護対策はより少ない場合があります。

導入ギャップ: SMBはVPNを軽視しています

Proton SMB Cybersecurity Report 2026では、中小企業の間に2つのギャップがあることが明らかになりました。

まずは導入ギャップから見ていきましょう。

Software as a Serviceの普及により、中小企業の間で誤った安心感が生まれています。ほとんどのSaaSプラットフォームは、転送中のトラフィックを保護するために強力な暗号化(たとえばTLS(新しいウィンドウ))を使用しており、Proton MailやProton Driveのように保存時にもエンドツーエンド暗号化(新しいウィンドウ)を使用するものもありますが、従業員がログインする経路までは保護しません。

たとえば、お客様の組織はメッセージ内容を保護するために暗号化済みメールサービス(新しいウィンドウ)を使用しているかもしれませんが、VPNがなければ、誰がプラットフォームにログインできるかを制御するためのIPベースの制限を強制できません。そのため、漏洩した認証情報一式を持つ攻撃者がログインし、ネットワークを侵害する可能性があります。

ハイブリッドワークへの移行は世界的ですが、それに伴うセキュリティ適応は一様ではありません。調査対象国の中で、SMBの過半数がVPNを使用しているのは米国だけです。他のすべての市場では、導入率は50%未満です。このギャップは、ハイブリッドワークへの移行にセキュリティが追いついていないテック業界以外では、さらに顕著です。

実行ギャップ: 真のセキュリティはVPNだけでは実現しません

VPNを使用しているSMBの52%は、攻撃に耐える能力について非常に、または完全に自信があると答えています。しかし、当社のデータでは、このグループの中でも26%が過去12か月で侵害を経験しています。すでにネットワークを保護している企業で、なぜこのようなことが起きるのでしょうか?

問題はVPNそのものではなく、その周辺の制御とヒューマンエラーの多さにあります。当社の調査で、2要素認証(新しいウィンドウ)(2FA)を強制しているVPN導入企業は56%にとどまりました。企業のほぼ半数がパスワードのみに依存している場合、そのリスクは認証情報管理の不備によってさらに高まります。ビジネス向けパスワードマネージャー(新しいウィンドウ)を一貫して利用する代わりに、次のような実態が見られました。

  • 31,5%が依然として認証情報をメールで共有
  • 33,4%が共有ドキュメント経由で共有
  • 28%がログイン情報の共有にメッセージングアプリを利用
  • 24,6%が依然としてパスワードを書き留めている

当社のデータは、多くの企業が、首尾一貫して実行されるセキュリティポリシーを備えた一体的なシステムではなく、個別製品への断片的な投資としてセキュリティを扱っていることを示唆しています。

後付けではなく、インフラとしてのセキュリティ

この調査では、もう1つの貴重な知見も明らかになりました。セキュリティは収益の推進要因であるということです。

当社のレポートでは、66%の企業が、安全なデータ取り扱いを実証することは新規ビジネスの獲得に「非常に」または「極めて」重要だと回答しています。エンドポイントセキュリティ向けVPNは、その主張を見込み顧客に示すためのインフラと可視性を提供します。

明確に定義されたネットワーク境界がないと、侵入口は増え、可視性は低下し、アクセス制御はサードパーティのプラットフォーム全体に分散します。その結果、攻撃対象領域が広がり、不審な挙動の検出、インシデントの封じ込め、あるいは顧客やパートナーに対する統制の実証が難しくなります。VPNはその境界を回復し、従業員がどこで働いていても管理可能な境界を確立します。

この教訓をお客様のビジネスに適用する方法は次のとおりです。

  • IPまたは位置によってアクセスを制限する: 承認済みのデバイスまたはネットワークからのみ、内部ツールへのアクセスを許可します。
  • ネットワーク全体の可視性を確保する: ログインがVPN経由に限定されていれば、リソースへのトラフィックを監視し、潜在的な攻撃を発見できます。
  • 一貫したポリシーを強制する: サードパーティの約束に頼るのではなく、お客様のネットワーク上でセキュリティルールを適用します。

VPNがないと、リモートトラフィックは集中管理なしに公共ネットワーク上を移動し、露出が増えます。真のセキュリティには、ネットワーク層とユーザー情報層が単一の強化されたシステムとして機能することが必要です。

2026 SMB Cybersecurity Reportの全文をダウンロード

ProtonのSMB Cybersecurity Report 2026では、セキュリティへの自信がどこで崩れるのか、なぜ基盤となる制御が欠けているのか、そしてハイブリッドワークが成長中の企業の攻撃対象領域をどのように変えたのかを検証しています。

レポートの内容は次のとおりです。

  • 世界的な侵害パターンとヒューマンエラーの傾向
  • 現代のデータ侵害による財務上の影響
  • ビジネスリーダーの間にあるクラウドとAIへの信頼ギャップ
  • 多層的なセキュリティシステムを構築するための実践的なステップ
無料レポートをダウンロード(新しいウィンドウ)