「うちのような小さい会社はサイバー攻撃の対象にならない」。これは大きな誤解です。中小企業こそサイバー攻撃のターゲットにされやすいです。IPAの調査によると、サイバー攻撃の被害企業の約7割が従業員300名以下の中小企業です。理由は「セキュリティ対策が手薄だから」。中小企業のサイバーセキュリティ対策は、月数千円の投資と基本的な運用で大幅にリスクを下げられます。
本記事では、中小企業が最低限やるべきサイバーセキュリティ対策5つを解説します。
中小企業が狙われる理由
| 理由 | 内容 |
|---|---|
| セキュリティが手薄 | 専任のIT担当がいない。対策が後手に回る |
| サプライチェーンの入口 | 中小企業を経由して大企業に侵入する手口 |
| 身代金を払いやすい | データがなくなると事業が止まるため |
| 攻撃コストが低い | 基本的な対策がないので簡単に侵入できる |
セキュリティ対策の基本で全体像を確認してください。
対策1:パスワード管理の強化
最低限のルール
- パスワードは12文字以上、英大小文字+数字+記号を含む
- サービスごとに異なるパスワードを使う(使い回し禁止)
- パスワードを紙に書いてモニターに貼らない
パスワードマネージャーの導入
全社員のパスワードを安全に管理するために、パスワードマネージャーの導入を推奨します。
| ツール | 月額/ユーザー | 特徴 |
|---|---|---|
| 1Password | 約600円 | 法人向け機能が充実 |
| Bitwarden | 無料〜約500円 | オープンソース。コスパが良い |
| LastPass | 約500円 | 操作が簡単 |
対策2:多要素認証(MFA)の有効化
パスワードだけでは不十分です。すべての重要なサービスで多要素認証を有効にします。
- メール(Gmail、Outlook)
- クラウドストレージ(Google Drive、OneDrive、Dropbox)
- 会計ソフト(freee、マネーフォワード)
- CRM/SFA
- SNSアカウント
多要素認証の設定は各サービスの「セキュリティ設定」から5分程度で完了します。Google Authenticator等の認証アプリを使う方法が一般的です。
対策3:データバックアップ
ランサムウェア(身代金ウイルス)に感染すると、PCやサーバーのデータが暗号化され使えなくなります。バックアップがあれば、身代金を払わずに復旧できます。
3-2-1ルール
- 3: データのコピーを3つ持つ(オリジナル+バックアップ2つ)
- 2: 2種類以上のメディアに保存(クラウド+外付けHDD等)
- 1: 1つはオフサイト(社外)に保存(クラウドバックアップ)
クラウドバックアップの選択肢
| サービス | 月額 | 容量 |
|---|---|---|
| Google Drive | 250円〜 | 100GB〜 |
| OneDrive | 229円〜 | 100GB〜 |
| Backblaze | 約900円 | 無制限 |
クラウドストレージの選び方も参考にしてください。
対策4:ソフトウェアの更新
サイバー攻撃の多くは、既知の脆弱性を悪用します。ソフトウェアを最新に保つだけで、多くの攻撃を防げます。
- Windows Update: 自動更新をONに設定
- ブラウザ: Chrome、Edge等を常に最新版に
- オフィスソフト: Microsoft Office、Adobe等の更新を放置しない
- ウイルス対策ソフト: 定義ファイルを自動更新
特に注意すべきはWindows Updateです。更新を「後で」にし続けると、既知の脆弱性が放置されたままになります。業務終了時に更新を適用する運用にしてください。
対策5:社員のセキュリティ教育
サイバー攻撃の90%以上は「人」を狙います。フィッシングメール、不審なリンク、USBメモリ経由の感染など、社員の行動が最大のリスク要因です。
教育のポイント
- フィッシングメールの見分け方: 送信元アドレス、URLの確認方法
- 不審なメールの対応: 添付ファイルを開かない、リンクをクリックしない
- 報告ルール: 怪しいメールを受け取ったらIT担当に報告
- USBメモリの取り扱い: 出所不明のUSBをPCに挿さない
教育の頻度
- 全社教育:年1回(30分)
- フィッシングメール訓練:四半期に1回
- 新入社員:入社時
DXの始め方と合わせて、セキュリティもDXの一部として取り組んでください。
セキュリティ対策の費用目安
| 対策 | 月額/社員 | 導入の手間 |
|---|---|---|
| パスワードマネージャー | 500〜600円 | 低い |
| 多要素認証 | 0円 | 低い |
| クラウドバックアップ | 250〜900円 | 低い |
| ウイルス対策ソフト | 300〜500円 | 低い |
| 社員教育 | 0円(社内実施) | 中程度 |
| 合計 | 約1,000〜2,000円/社員 |
10名の企業なら月1〜2万円。年間12〜24万円の投資で、ランサムウェア被害(平均復旧コスト500〜2,000万円)を防げます。
インシデント発生時の対応
万が一セキュリティインシデントが発生した場合の初動対応です。
- 被害の拡大防止: 感染PCをネットワークから切り離す
- 状況の記録: 何が起きたか、いつ発覚したかを記録
- 専門家への連絡: 契約しているIT業者、IPA(独立行政法人情報処理推進機構)に相談
- 関係者への通知: 個人情報漏洩の場合は個人情報保護委員会に報告(義務)
- 復旧: バックアップからの復元、セキュリティの強化
- 再発防止: 原因を分析し、対策を追加
よくある質問
ウイルス対策ソフトだけでは不十分ですか?
不十分です。ウイルス対策ソフトは「既知のウイルス」には有効ですが、フィッシングメールやパスワードの使い回しによる不正アクセスは防げません。5つの対策をバランスよく実施することが重要です。
セキュリティ担当者がいない場合はどうすべきですか?
社内のIT知識がある社員に「セキュリティ連絡窓口」の役割を兼務してもらう方法が現実的です。その社員にIPAの「中小企業の情報セキュリティ対策ガイドライン」を読んでもらい、基本対策を実施してもらいます。外部のIT支援サービス(月2〜5万円)の活用も検討してください。
テレワークで特に気をつけることは?
自宅のWi-Fiのパスワードを強固にする、VPNを使用する、公共Wi-Fiでは業務を行わない、の3つが最低限です。会社貸与のPCを使い、個人PCでの業務は禁止するルールも有効です。
サイバーセキュリティ対策の導入や社員教育について、kotukotuでは無料相談を承っています。お気軽にご相談ください。
自社のIT投資が業界と比べて多いのか少ないのか、効果が出ているのか確認したい方は、無料の「IT・DX投資診断」でDX成熟度をスコアリングできます。次に投資すべき領域もAIが提案します。