結論:予防だけでなく、奪われた・消えた後に止めて戻せる準備をする
セキュリティ事故を完全にゼロにすることはできません。だから、侵入されにくくする対策、被害を広げない権限、消えたデータを戻すバックアップ、事故に気づいた人が迷わない連絡手順を組み合わせます。
最初の30日で優先するのは、会社メール、銀行・会計、顧客情報、Web・EC・SNS、契約書など、止まると売上・支払い・信用に影響するものです。
まず「機密性・完全性・可用性」を知る
情報セキュリティでは次の3つの言葉が使われます。用語を覚えることより、自社で何が困るかに置き換えます。
| 用語 | かんたんな意味 | 会社で起きる困りごと |
|---|---|---|
| 機密性 | 見てよい人だけが見られる。 | 顧客名簿、給与、パスワードが外へ漏れる。 |
| 完全性 | 勝手に書き換えられていない。 | 振込先、見積金額、商品価格、Webページが改ざんされる。 |
| 可用性 | 必要なときに使える。 | 会計、予約、決済、メール、ECが止まり仕事ができない。 |
たとえばバックアップは可用性だけでなく、改ざん前の状態へ戻す完全性にも関係します。一つの対策で複数の困りごとを減らせます。
1週目:会社のアカウント・端末・データを一覧にする
守る対象が分からないまま設定はできません。完璧な資産台帳を目指さず、まず次の項目を一つの表へまとめます。
| 種類 | 記録する項目 | 優先例 |
|---|---|---|
| アカウント | サービス名、管理者、利用者、登録メール、多要素認証、解約方法。 | メール、銀行、会計、クラウド、EC、SNS、ドメイン。 |
| 端末 | 利用者、機種、OS、資産番号、暗号化、更新、返却予定。 | PC、スマホ、タブレット、NAS、ルーター。 |
| データ | 内容、正式な保存場所、閲覧者、バックアップ、保存期限。 | 顧客、契約、給与、会計、商品、制作データ。 |
| 外部事業者 | サービス・委託先、預ける情報、担当窓口、障害時連絡先、解約時の出力。 | クラウド、制作会社、外注、会計・給与サービス。 |
パスワードそのものを台帳へ平文で書くのではなく、誰がどのパスワード管理ツールで保管するかを記録します。
2週目:アカウントの入口を守る
- 共有IDをやめる:できる限り一人ずつアカウントを発行し、誰の操作か分かるようにする。
- 使い回しをやめる:サービスごとに異なる長いパスワードを使い、パスワード管理ツールで保管する。
- 多要素認証を有効にする:メール、銀行、会計、クラウド、EC、SNS、ドメインから優先する。
- 管理者を絞る:設定変更が必要な人だけ管理者にし、普段の作業は一般権限で行う。
- 回復方法を会社管理にする:個人の携帯番号や私用メールだけを復旧先にしない。
- 退職者・休眠IDを止める:最終出勤日ではなく、アクセスが不要になる時点を決めて停止する。
会社メールを奪われると、ほかのサービスのパスワード再設定にも使われるおそれがあります。メールとドメインの管理者は特に優先します。
端末は更新・画面ロック・暗号化を基本にする
| 対策 | すること | 確認方法 |
|---|---|---|
| 更新 | OS、ブラウザ、Office、PDF閲覧、ルーター等を自動更新する。 | サポートが終了したOS・機器がないか台帳で確認。 |
| 画面ロック | 短時間の離席でも自動でロックし、推測されにくい解除方法にする。 | 設定時間を実機で確認。 |
| 保存領域の暗号化 | 紛失・盗難時に内部データを読み出されにくくする。 | PC・スマホの暗号化設定を確認。 |
| マルウェア対策 | OS標準または法人向け対策を有効にし、停止されていないか見る。 | 更新日、検知通知、管理画面を確認。 |
| 持ち出し | 社外利用、USB、個人クラウド、公共Wi-Fiのルールを決める。 | 例外が必要な人と承認者を記録。 |
私物端末を使う場合は、会社がどこまで設定・削除できるかを先に決めます。詳しくは法人スマホのセキュリティルールで整理しています。
3週目:同期とは別に、戻せるバックアップを作る
クラウドの同期は便利ですが、誤削除や暗号化されたファイルまで同期されることがあります。正式な保存場所に加え、別のアカウント・サービス・媒体など、同時に壊れにくい場所へ複数世代を保存します。
解約したクラウドから何を出力できるかも確認します。詳しくは文書管理・クラウドストレージの設計へ進んでください。
人が入る・変わる・辞めるときに権限を見直す
| 時点 | 行うこと | 残す記録 |
|---|---|---|
| 入社・参加 | 職務に必要な最小権限、端末、会社メール、ルール説明を用意。 | 付与日、承認者、対象サービス、貸与物。 |
| 異動・役割変更 | 追加だけでなく、不要になった権限を外す。 | 変更前後の権限と実施日。 |
| 退職・契約終了 | アカウント停止、共有リンク解除、端末・鍵・カード返却、データ引継ぎ。 | 停止確認、返却物、引継ぎ先。 |
外注先にも同じ考え方が必要です。案件終了後も共有フォルダやテスト環境へ入れる状態を残さないよう、契約終了のチェックへ含めます。
偽メール・振込先変更は別の連絡手段で確認する
メールに書かれた電話番号やリンクをそのまま使わず、以前から知っている番号、契約書、公式サイト、ブックマークから確認します。特に振込先変更、パスワード再設定、共有ファイル、至急の支払い、経営者名義の依頼は、別経路で確かめます。
- 差出人名ではなく、実際のメールアドレスとドメインを見る。
- リンク先へログインせず、公式画面を自分で開く。
- 添付ファイルを急いで開かず、送信者へ確認する。
- 不審な連絡を受けた人が責められず、すぐ相談できる窓口を作る。
事故に気づいた直後の手順を一枚にする
- 広げない:感染が疑われる端末はネットワークから切り離し、勝手に操作を続けない。
- 連絡する:社内責任者、保守会社、利用サービスの緊急窓口へ連絡する。
- 記録する:発見時刻、画面、メール、操作、影響がありそうなアカウントを残す。
- 確認する:漏れた・変えられた・止まった情報と、顧客・取引先への影響を調べる。
- 止める・戻す:必要な認証情報を安全な端末から変更し、確認済みバックアップから復旧する。
- 外部対応を判断する:関係者への連絡、個人情報保護委員会等への報告、警察・専門機関への相談を検討する。
原因が分からない段階でログやファイルを消すと、調査が難しくなることがあります。自社だけで判断できない場合は、保守会社や専門窓口へ早めに相談します。
30日チェックリスト
公式情報の確認先
- IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」:基本方針、台帳、クラウド、事故対応などのひな形。
- IPA「5分でできる!情報セキュリティ自社診断」:できていない対策の洗い出し。
- NISC「サイバーセキュリティ関係法令Q&Aハンドブック」:事故発生時の対応と関係者対応。