中小企業が最初に行う情報セキュリティ対策

結論:予防だけでなく、奪われた・消えた後に止めて戻せる準備をする

セキュリティ事故を完全にゼロにすることはできません。だから、侵入されにくくする対策、被害を広げない権限、消えたデータを戻すバックアップ、事故に気づいた人が迷わない連絡手順を組み合わせます。

最初の30日で優先するのは、会社メール、銀行・会計、顧客情報、Web・EC・SNS、契約書など、止まると売上・支払い・信用に影響するものです。

まず「機密性・完全性・可用性」を知る

情報セキュリティでは次の3つの言葉が使われます。用語を覚えることより、自社で何が困るかに置き換えます。

用語かんたんな意味会社で起きる困りごと
機密性見てよい人だけが見られる。顧客名簿、給与、パスワードが外へ漏れる。
完全性勝手に書き換えられていない。振込先、見積金額、商品価格、Webページが改ざんされる。
可用性必要なときに使える。会計、予約、決済、メール、ECが止まり仕事ができない。

たとえばバックアップは可用性だけでなく、改ざん前の状態へ戻す完全性にも関係します。一つの対策で複数の困りごとを減らせます。

ユウ
まずセキュリティソフトを一番高いプランにすればよいですか。
ミナミ
その前に、退職者が管理者のまま残っていないか、同じパスワードを使っていないか、バックアップから戻せるかを見ます。
ユウ
高い鍵を買う前に、裏口の元社員を確認します。

1週目:会社のアカウント・端末・データを一覧にする

守る対象が分からないまま設定はできません。完璧な資産台帳を目指さず、まず次の項目を一つの表へまとめます。

種類記録する項目優先例
アカウントサービス名、管理者、利用者、登録メール、多要素認証、解約方法。メール、銀行、会計、クラウド、EC、SNS、ドメイン。
端末利用者、機種、OS、資産番号、暗号化、更新、返却予定。PC、スマホ、タブレット、NAS、ルーター。
データ内容、正式な保存場所、閲覧者、バックアップ、保存期限。顧客、契約、給与、会計、商品、制作データ。
外部事業者サービス・委託先、預ける情報、担当窓口、障害時連絡先、解約時の出力。クラウド、制作会社、外注、会計・給与サービス。

パスワードそのものを台帳へ平文で書くのではなく、誰がどのパスワード管理ツールで保管するかを記録します。

2週目:アカウントの入口を守る

  1. 共有IDをやめる:できる限り一人ずつアカウントを発行し、誰の操作か分かるようにする。
  2. 使い回しをやめる:サービスごとに異なる長いパスワードを使い、パスワード管理ツールで保管する。
  3. 多要素認証を有効にする:メール、銀行、会計、クラウド、EC、SNS、ドメインから優先する。
  4. 管理者を絞る:設定変更が必要な人だけ管理者にし、普段の作業は一般権限で行う。
  5. 回復方法を会社管理にする:個人の携帯番号や私用メールだけを復旧先にしない。
  6. 退職者・休眠IDを止める:最終出勤日ではなく、アクセスが不要になる時点を決めて停止する。

会社メールを奪われると、ほかのサービスのパスワード再設定にも使われるおそれがあります。メールとドメインの管理者は特に優先します。

端末は更新・画面ロック・暗号化を基本にする

対策すること確認方法
更新OS、ブラウザ、Office、PDF閲覧、ルーター等を自動更新する。サポートが終了したOS・機器がないか台帳で確認。
画面ロック短時間の離席でも自動でロックし、推測されにくい解除方法にする。設定時間を実機で確認。
保存領域の暗号化紛失・盗難時に内部データを読み出されにくくする。PC・スマホの暗号化設定を確認。
マルウェア対策OS標準または法人向け対策を有効にし、停止されていないか見る。更新日、検知通知、管理画面を確認。
持ち出し社外利用、USB、個人クラウド、公共Wi-Fiのルールを決める。例外が必要な人と承認者を記録。

私物端末を使う場合は、会社がどこまで設定・削除できるかを先に決めます。詳しくは法人スマホのセキュリティルールで整理しています。

3週目:同期とは別に、戻せるバックアップを作る

クラウドの同期は便利ですが、誤削除や暗号化されたファイルまで同期されることがあります。正式な保存場所に加え、別のアカウント・サービス・媒体など、同時に壊れにくい場所へ複数世代を保存します。

対象顧客、契約、会計、給与、商品、Web、設定情報のどれを戻すか。
頻度1日分失ってよいか、1週間分まで許容できるかで決める。
世代最新だけでなく、事故前の日付へ戻せるよう複数を残す。
復元毎月または四半期に一つ選び、別の場所へ本当に戻して開く。

解約したクラウドから何を出力できるかも確認します。詳しくは文書管理・クラウドストレージの設計へ進んでください。

人が入る・変わる・辞めるときに権限を見直す

時点行うこと残す記録
入社・参加職務に必要な最小権限、端末、会社メール、ルール説明を用意。付与日、承認者、対象サービス、貸与物。
異動・役割変更追加だけでなく、不要になった権限を外す。変更前後の権限と実施日。
退職・契約終了アカウント停止、共有リンク解除、端末・鍵・カード返却、データ引継ぎ。停止確認、返却物、引継ぎ先。

外注先にも同じ考え方が必要です。案件終了後も共有フォルダやテスト環境へ入れる状態を残さないよう、契約終了のチェックへ含めます。

偽メール・振込先変更は別の連絡手段で確認する

メールに書かれた電話番号やリンクをそのまま使わず、以前から知っている番号、契約書、公式サイト、ブックマークから確認します。特に振込先変更、パスワード再設定、共有ファイル、至急の支払い、経営者名義の依頼は、別経路で確かめます。

  • 差出人名ではなく、実際のメールアドレスとドメインを見る。
  • リンク先へログインせず、公式画面を自分で開く。
  • 添付ファイルを急いで開かず、送信者へ確認する。
  • 不審な連絡を受けた人が責められず、すぐ相談できる窓口を作る。

事故に気づいた直後の手順を一枚にする

  1. 広げない:感染が疑われる端末はネットワークから切り離し、勝手に操作を続けない。
  2. 連絡する:社内責任者、保守会社、利用サービスの緊急窓口へ連絡する。
  3. 記録する:発見時刻、画面、メール、操作、影響がありそうなアカウントを残す。
  4. 確認する:漏れた・変えられた・止まった情報と、顧客・取引先への影響を調べる。
  5. 止める・戻す:必要な認証情報を安全な端末から変更し、確認済みバックアップから復旧する。
  6. 外部対応を判断する:関係者への連絡、個人情報保護委員会等への報告、警察・専門機関への相談を検討する。

原因が分からない段階でログやファイルを消すと、調査が難しくなることがあります。自社だけで判断できない場合は、保守会社や専門窓口へ早めに相談します。

30日チェックリスト

重要アカウント管理者・登録メール・多要素認証・回復方法を確認した。
端末利用者・更新・暗号化・返却状況を一覧にした。
権限共有ID、退職者、不要な管理者を整理した。
バックアップ別系統へ保存し、一つ復元できた。
社外共有共有相手、期限、再共有可否を確認した。
入退社付与・変更・停止・返却の担当者を決めた。
怪しい連絡別経路で確認する方法を周知した。
事故初動社内・保守会社・サービス会社の連絡先を一枚にした。
ユウ
バックアップが毎日動いている表示なので、復元テストは不要ですね。
ミナミ
保存できた表示と、仕事に使える形で戻せることは別です。一つ選んで開いてみましょう。
ユウ
非常口の看板だけ見て、ドアが開くか試していませんでした。

公式情報の確認先