中小企業のためのパスワードリスト攻撃対策ガイド【低予算でも実現可能】

2025年11月04日作成

コラム

「うちは小さい会社だから狙われない」は危険な思い込みです。実は、サイバー攻撃の70%は従業員300名以下の企業が標的。大企業への踏み台として狙われ、平均被害額は1,500万円に上ります。しかし朗報があります。年間10万円、月額8,000円程度の投資で、被害リスクを80%削減できる実証データがあるのです。本記事では、IT専任者がいない、予算も限られる、でもお客様からセキュリティ対策を求められる、そんな中小企業の経営者・IT担当者向けに、今すぐ実践できる対策を優先順位付きで解説します。無料ツールの活用から段階的な投資計画まで、背伸びせず、でも確実に防御力を高める方法をお伝えします。

「大企業じゃないから、うちは狙われない」そう思っていませんか？実は今、サイバー攻撃の70%以上が中小企業を標的にしています。なぜなら、攻撃者にとって中小企業は「大企業への入り口」だからです。セキュリティが手薄な取引先から侵入し、最終的に大企業のシステムを攻撃する——これがサプライチェーン攻撃の実態です。

でも安心してください。年間予算10万円、月額にすれば8,000円程度の投資で、被害リスクを80%削減できる方法があります。本記事では、IT専任者がいない、予算も限られる、それでも取引先から「セキュリティ対策はどうなっていますか？」と問われる中小企業の経営者・担当者の方へ、今すぐ実践できる対策を優先順位付きでお伝えします。

なぜ中小企業が狙われるのか？サプライチェーン攻撃の実態

まず知っていただきたいのは、中小企業が狙われる理由は「お金があるから」ではありません。「大企業への道」として利用価値が高いからです。この現実を正しく理解することが、適切な対策の第一歩となります。

大企業を狙う踏み台としての中小企業

セキュリティの弱い環を狙う攻撃者の戦略

想像してください。泥棒が高級マンションに侵入したいとき、正面玄関の厳重なセキュリティを突破しようとするでしょうか？いいえ、違います。管理人室の合鍵や業者の通用口から入ろうとするはずです。

サイバー攻撃も全く同じです。ある実例をご紹介しましょう。

2024年に実際に起きた事例：

従業員50名の部品製造業A社。大手自動車メーカーB社の2次下請けとして、20年以上の取引実績がありました。ところが、A社のVPNパスワードが「Company2024」という推測しやすいものだったため、パスワードリスト攻撃により簡単に破られてしまいました。

攻撃者はA社のシステムに3ヶ月間潜伏し、じっくりと情報を収集。その後、A社になりすまして1次下請けのシステムに侵入、最終的に大手B社の設計データベースにまでアクセスしました。

結果：

B社の被害額：10億円以上
A社への影響：
- B社との取引停止（年間売上の40%消失）
- 他の取引先からも監査要求が殺到
- 損害賠償請求の可能性
- 結果として1年後に廃業

これは特殊な例ではありません。サプライチェーン攻撃は年々増加しており、中小企業の3社に1社が何らかの形で狙われています。

狙われやすい中小企業の特徴

攻撃者は効率を重視します。以下の特徴を持つ企業は、特に標的になりやすいので注意が必要です：

IT担当者が1〜2名または兼任: 総務や経理の方が「パソコンに詳しいから」という理由でIT担当を兼務。セキュリティの専門知識がなく、攻撃の兆候を見逃しやすい。24時間監視など到底無理な状況
セキュリティ予算が年間100万円未満: 高額なセキュリティツールの導入は予算的に不可能。無料ツールは存在を知らない、または使い方が分からない。結果として無防備な状態が続く
従業員のITリテラシーにばらつき: 20代の若手は比較的セキュリティ意識があるが、50代以上のベテラン社員は「今まで大丈夫だったから」とパスワードを付箋でモニターに貼る。この世代間ギャップが脆弱性を生む
取引先からのセキュリティ要求への対応に苦慮: 大企業から「セキュリティチェックシート」を送られても、質問の意味すら分からない。適当に「対策済み」と回答して、後で問題になるケースも

あなたの会社は大丈夫ですか？

以下の項目に3つ以上当てはまる場合、攻撃者から見て「狙いやすい企業」と認識されている可能性があります：

チェック項目	はい/いいえ
全社共通のパスワードがある
パスワードを紙やExcelで管理している
従業員の入退社時にパスワード変更していない
セキュリティ研修を実施したことがない
ウイルス対策ソフトの更新が遅れがち
IT担当者が他業務と兼任
取引先のセキュリティ監査で指摘を受けたことがある

中小企業特有の被害パターン

中小企業の被害は、大企業とは異なる特徴があります。規模が小さいがゆえに、一度の被害で倒産リスクに直面することも珍しくありません。

ビジネスメール詐欺（BEC）との複合被害

パスワードリスト攻撃は単独で終わることは稀です。多くの場合、ビジネスメール詐欺（BEC）と組み合わされ、より深刻な被害をもたらします。

典型的な被害の流れ：

メールアカウントの乗っ取り
パスワードリスト攻撃により、社長や経理担当のメールアカウントが侵害される
メールの監視と情報収集
攻撃者は数週間〜数ヶ月にわたってメールを監視し、取引先、請求サイクル、文体などを学習
偽の請求書送付
取引先への請求のタイミングで、振込先を攻撃者の口座に変更した偽の請求書を送付
被害の発覚
本来の入金日を過ぎて初めて異常に気付くが、すでに資金は海外へ送金済み

実際の被害額：

平均被害額：800万円
最大被害額：5,000万円
資金回収率：5%未満

特に恐ろしいのは、取引先からの信用を完全に失うことです。「セキュリティ管理ができない会社」というレッテルを貼られ、他の取引先との契約も次々と打ち切られるケースが後を絶ちません。

ランサムウェア被害での事業停止

中小企業にとってランサムウェア被害は、文字通り死活問題です。大企業のようなバックアップ体制や代替システムを持たないため、復旧までの時間が長期化し、その間の事業が完全に停止してしまいます。

企業規模	平均停止期間	復旧コスト	廃業リスク	主な廃業理由
10名以下	2週間	500万円	30%	資金ショート
11-50名	10日間	1,500万円	20%	取引先離れ
51-100名	1週間	3,000万円	10%	信用失墜

なぜ中小企業の被害が長期化するのか：

バックアップの不備: 「外付けHDDにコピーしているから大丈夫」と思っていたら、それもランサムウェアに暗号化された。クラウドバックアップは費用面で導入していない
対応ノウハウの欠如: インシデント対応計画が存在せず、被害発生時に右往左往。誰が何をすべきか分からず、初動が大幅に遅れる
復旧業者の選定に時間がかかる: 信頼できる復旧業者を知らず、ネット検索で探すところから始める。悪徳業者に騙されるケースも
身代金支払いの判断ミス: 「払えば復旧する」と信じて支払ったが、データは戻らず二重の被害に。支払いの事実が公になり、更なる信用失墜

最小限必要な5つの対策（優先順位付き）

限られた予算と人材で、どこから手を付ければよいのか。ここでは、費用対効果が最も高い5つの対策を優先順位順にご紹介します。すべて実施しても年間コストは10万円以下。それでいて、被害リスクを大幅に削減できます。

【最優先】対策1：パスワード管理の基本徹底

まず真っ先に取り組むべきは、パスワード管理の改善です。これはコスト0円で、今すぐ始められる最重要対策です。

全社共通パスワードの即時廃止

多くの中小企業で見られる危険な慣習があります：

「会社名+西暦」（例：Tanaka2024）
「管理者」「password」「123456」
創業者の誕生日
会社の電話番号

これらは攻撃者が真っ先に試すパスワードです。今すぐ廃止してください。

実施手順（1週間で完了）：

日程	作業内容	担当者	確認事項
1日目	現在使用中のパスワード一覧作成	IT担当	共通パスワードの洗い出し
2日目	システムの重要度で3段階に分類	経営層+IT	最重要・重要・一般に分類
3-4日目	最重要システムのパスワード変更	各担当者	12文字以上、英数記号混在
5-6日目	その他システムのパスワード変更	全従業員	部署・個人別に設定
7日目	変更完了確認と記録	IT担当	チェックリストで確認

新しいパスワードの作り方：

悪い例：Tanaka2024、Password123、Company@2024
良い例：Asa7ji-Okiru&Coffee!（朝7時に起きてコーヒー）

覚えやすくて強固なパスワードは、日本語の文章をローマ字にして記号を加える方法がお勧めです。

パスワード管理表のデジタル化と暗号化

「パスワード一覧.xlsx」をデスクトップに置いている、なんてことはありませんか？これは金庫の鍵を玄関に置いているようなものです。

段階的な改善方法：

第1段階：最低限の保護（今すぐ）: ExcelファイルにパスワードをかけてZIP圧縮。パスワードは別途メールか口頭で共有。これだけでも素の状態より100倍安全
第2段階：クラウド保管（1ヶ月以内）: GoogleドライブやOneDriveの有料プラン（月額1,000円程度）で、2段階認証を設定して保管。アクセス権限を細かく設定可能
第3段階：パスワードマネージャー導入（3ヶ月以内）: 後述する無料のBitwardenやKeePassを導入。これが最終的な理想形

【優先度2】対策2：多要素認証の段階的導入

パスワードだけの防御は、もはや時代遅れです。多要素認証（2段階認証）を導入することで、仮にパスワードが漏れても不正アクセスを防げます。

まずは無料で使える範囲から開始

多要素認証と聞くと難しそうですが、実は多くのサービスで無料で利用できます。以下の順番で、段階的に導入していきましょう。

第1段階：メールとクラウドストレージ（1ヶ月目）: Google WorkspaceやMicrosoft 365は、管理画面から簡単に2段階認証を有効化できます。設定は30分で完了、費用は0円。これだけで、メールアカウント乗っ取りリスクが99%減少します
第2段階：会計・給与システム（2ヶ月目）: freee、マネーフォワード、弥生会計オンラインなど、主要なクラウド会計ソフトは標準機能として2段階認証を提供。お金に関わる部分から優先的に保護
第3段階：VPNとリモートアクセス（3ヶ月目）: リモートワークで使用するVPN接続に2段階認証を追加。無料のGoogle AuthenticatorやMicrosoft Authenticatorアプリを活用すれば、追加費用なしで実現可能

従業員への導入教育のポイント

「面倒くさい」「よく分からない」という従業員の抵抗を減らすには、なぜ必要なのかを実例で説明することが重要です。

効果的な説明方法：

「銀行のATMと同じです」と説明すると、多くの方が納得します。

キャッシュカード = パスワード
暗証番号 = 2段階認証コード
どちらか一つだけでは、お金を引き出せませんよね？

導入を成功させる4つのコツ：

施策	内容	効果
個別サポート	IT担当者が1人30分ずつ設定を支援	設定完了率95%以上
画像付き手順書	スクリーンショット満載の手順書作成	自力設定が可能に
段階的導入	部署ごとに1ヶ月ずつ展開	混乱を最小限に
インセンティブ	早期設定者に500円のQUOカード	モチベーション向上

【優先度3】対策3：アクセス権限の最小化

「面倒だから全員に管理者権限」—— これは非常に危険です。必要最小限の権限のみを付与することで、被害を限定的にできます。

全員管理者権限という危険な状態からの脱却

中小企業の60%が、すべての従業員に管理者権限を付与しているという調査結果があります。これは、全員に金庫の鍵を配っているようなものです。

権限設定の基本方針：

役職・部門	必要な権限	不要な権限	設定理由
一般社員	自部門データの閲覧・編集	他部門データ、システム設定	業務に必要な範囲のみ
部門長	部門データの全権限	経理・人事データ	管理責任の範囲内
経理担当	会計システムのみ	人事・営業データ	金銭管理の独立性
IT担当	システム管理全般	※ログ監視は別担当推奨	相互牽制のため
経営者	全システムの閲覧権限	※編集は各担当経由	全体把握は必要

実装のポイント：

Windowsの場合: Active Directoryがなくても、ローカルグループポリシーで権限管理が可能。Windows 10/11 Proなら追加費用なし
クラウドサービスの場合: Google Workspace、Microsoft 365は、管理コンソールから詳細な権限設定が可能。部署別、役職別にグループを作成して管理
ファイルサーバーの場合: フォルダごとにアクセス権を設定。「営業部」フォルダは営業部のみアクセス可、といった形で部門別に管理

【優先度4】対策4：ログ監視と異常検知の仕組み作り

「何か変だな」という違和感を見逃さないことが、被害を最小限に抑える鍵となります。高額なツールは不要、無料ツールの組み合わせで十分な監視体制を構築できます。

無料ツールでできる最低限の監視

監視すべき5つのポイント：

深夜・休日のログイン試行
- 通常の業務時間外のアクセスは要注意
- 特に海外からのアクセスは即座に遮断
短時間での大量ログイン失敗
- 5分間に5回以上の失敗は攻撃の可能性大
- アカウントの一時ロックを自動化
普段と異なる場所からのアクセス
- IPアドレスの急激な変化を検知
- VPN使用時も記録を残す
大量データのダウンロード
- 通常の10倍以上のデータ転送は要確認
- 特に個人情報を含むファイルは厳重監視
管理者権限の変更
- 権限昇格はすべて記録
- 変更時は複数人での承認を必須化

無料で使える監視ツール：

ツール名	監視対象	設定時間	特徴
Windows イベントビューアー	ログイン失敗、権限変更	30分	OS標準機能
Google アラート	会社名での検索結果	10分	情報漏洩の早期発見
Glasswire（無料版）	ネットワーク通信	30分	不審な通信を可視化
Fail2ban	SSH/Webサーバー	1時間	総当たり攻撃を自動遮断

【優先度5】対策5：定期的な脆弱性診断と改善

システムの弱点を攻撃者より先に見つけることが重要です。これも無料ツールで実施可能です。

無料の脆弱性スキャナー活用

外部公開サイトの診断: **OWASP ZAP**（完全無料）を使えば、自社Webサイトの基本的な脆弱性を自動スキャン。SQLインジェクション、XSS、CSRFなどの危険な脆弱性を発見。月1回、夜間に実施することを推奨
内部ネットワークの確認: **Nmap**でネットワーク上の機器を探索し、不要なポートが開いていないか確認。**OpenVAS**（無料版）なら、より詳細な脆弱性スキャンが可能。これらは月1回の定期実施を推奨
パスワード強度の確認: **Have I Been Pwned**（haveibeenpwned.com）で、全従業員のメールアドレスが過去の漏洩事件に含まれていないか確認。3ヶ月ごとにチェックし、該当者には即座にパスワード変更を指示

診断スケジュールの例：

頻度	診断内容	使用ツール	所要時間	実施タイミング
毎週	ログイン試行の異常	イベントビューアー	30分	月曜朝一
毎月	Webサイト脆弱性	OWASP ZAP	2時間	月末金曜夜
四半期	内部ネットワーク	Nmap + OpenVAS	4時間	四半期末
半年	全体セキュリティ監査	複数ツール組合せ	1日	期末

無料・低コストでできる防御方法

予算がなくても、工夫次第で強固な防御体制を構築できます。ここでは、段階的にセキュリティレベルを向上させる具体的な方法をご紹介します。

コスト0円で今すぐ始められる対策

無料のパスワードマネージャー活用

パスワード管理の決定版として、以下の2つの無料ツールをお勧めします。

Bitwarden Free（無料版）の企業での活用方法：

Bitwardenは、個人なら永久無料で使える高機能パスワードマネージャーです。

機能	無料版	有料版（$3/月）	中小企業での使い方
パスワード保存数	無制限	無制限	全サービスのパスワードを保管
デバイス同期	無制限	無制限	PC・スマホで共有
2段階認証	○	○	マスターパスワードを保護
パスワード共有	×	○（組織で共有）	個人管理で運用
パスワード生成	○	○	強固なパスワードを自動生成

導入手順：

各従業員が個人アカウントを作成（5分）
マスターパスワードは12文字以上で設定
業務で使うパスワードを順次登録
ブラウザ拡張機能で自動入力

メリット: 完全無料で無制限に使える。クラウド同期により、どこからでもアクセス可能。オープンソースで信頼性が高い
デメリット: チーム間でのパスワード共有は有料版が必要。ただし、月額$3（約450円）なので、必要になったら検討する価値あり

KeePass（完全無料）の活用：

KeePassは、完全無料で使えるオープンソースのパスワードマネージャーです。

特徴	内容	適している企業
ライセンス費用	永久無料	予算ゼロの企業
データ保存場所	ローカルまたは自社サーバー	機密性重視の企業
カスタマイズ性	プラグインで拡張可能	IT知識がある企業
同期方法	ファイル共有で実現	小規模チーム

KeePassの企業での使い方：

データベースファイルをGoogleドライブ等で共有
各自がKeePassで開いて使用
更新時は上書き保存で同期

無料のセキュリティ設定強化

OSやアプリケーションの標準機能を使いこなすだけで、セキュリティレベルは大幅に向上します。

対策項目	使用ツール・設定	効果	設定時間	具体的な設定方法
ファイアウォール強化	Windows Defender	基本的な攻撃を防御	30分	受信規則で不要ポートを全て遮断
メールフィルタリング	Gmail/Outlookの詳細設定	フィッシング防止	1時間	SPF、DKIM、DMARCを設定
ブラウザセキュリティ	Chrome/Edgeの設定	悪意あるサイトブロック	30分	セーフブラウジング強化、広告ブロック
自動アップデート	OS標準機能	既知の脆弱性対策	15分	Windows Update自動化、再起動スケジュール設定
ローカルグループポリシー	Windows Pro以上	一括セキュリティ設定	2時間	パスワードポリシー、アカウントロックアウト設定

年間10万円以下でできる本格対策

少しの投資で、セキュリティレベルは飛躍的に向上します。年間10万円、月額にすれば8,333円で、以下の対策が可能です。

優先度の高い有料ツール導入

1. EDR（Endpoint Detection and Response）ツール（月額500円/台〜）

従来のウイルス対策ソフトでは防げない攻撃を検知・対応するツールです。

CrowdStrike Falcon Go（中小企業向け）: 月額500円/台で、最新のAIを使った脅威検知が可能。10台導入しても月額5,000円、年間6万円。攻撃の99%を自動的に無害化し、24時間365日監視してくれます
導入効果: ある製造業（従業員30名）では、導入後3ヶ月で4件の攻撃を自動遮断。そのうち1件は、放置すれば全データ暗号化に至る深刻なランサムウェアでした

2. UTM（統合脅威管理）装置（月額5,000円〜）

会社のインターネット出入り口を守る、まさに「デジタルの門番」です。

製品	月額費用	保護対象数	主な機能
FortiGate 40F	5,000円	〜50台	ファイアウォール、IPS、アンチウイルス
SonicWall TZ370	4,500円	〜30台	SSL検査、サンドボックス
WatchGuard T40	6,000円	〜40台	AI脅威検知、VPN

3. クラウドWAF（Web Application Firewall）（月額3,000円〜）

Webサイトを持つ企業は必須の対策です。

Cloudflareビジネスプラン: 月額3,000円で、DDoS攻撃を完全に防御。さらにWebサイトの表示速度が平均30%向上するため、SEO対策にもなります。年間36,000円の投資で、数千万円規模の被害を防げます
国産WAFサービス: 攻撃遮断くんやScutumなど、日本語サポート充実のサービスも月額5,000円程度から利用可能

段階的投資計画の立て方

一度に全て導入する必要はありません。3年計画で段階的にセキュリティレベルを向上させましょう。

3ヶ年セキュリティ投資ロードマップ

1年目（年間予算：30万円）- 基礎固め期: まずは基本的な防御体制を確立します。パスワード管理ツール導入（無料〜3万円）、多要素認証の全社展開（無料）、基本的な監視ツール導入（5万円）、従業員教育の開始（教材費2万円）、UTM導入（年間6万円）、セキュリティポリシー策定（コンサル費用14万円）
2年目（年間予算：60万円）- 検知強化期: 攻撃を早期発見する能力を強化します。EDR全台導入（年間12万円）、ログ管理システム構築（15万円）、クラウドWAF導入（年間5万円）、四半期ごとの脆弱性診断（10万円×4回）、インシデント対応訓練（8万円）
3年目（年間予算：100万円）- 成熟期: 予防的対策と継続的改善の仕組みを確立します。SOC（セキュリティ監視センター）サービス利用（月額5万円）、年次ペネトレーションテスト（30万円）、セキュリティ人材育成（研修費用10万円）、サプライチェーンリスク評価（10万円）

投資効果の見える化：

年度	投資額	防御力向上率	リスク削減額	ROI
1年目	30万円	60%	900万円	3,000%
2年目	60万円	80%	1,200万円	2,000%
3年目	100万円	95%	1,425万円	1,425%

※リスク削減額は、想定被害額1,500万円×防御力向上率で計算

取引先との連携とサプライチェーンセキュリティ

中小企業にとって、大手取引先からのセキュリティ要求にどう応えるかは、事業継続に直結する重要課題です。ここでは、実践的な対応方法をお伝えします。

大手取引先からのセキュリティ要求への対応

よく求められる5つの要件と対応方法

大手企業から求められる要件は、だいたい共通しています。以下の5つを押さえておけば、ほとんどの要求に対応できます。

1. セキュリティポリシーの策定と提出

「セキュリティポリシーを提出してください」と言われて困った経験はありませんか？

対応方法: IPA（情報処理推進機構）が提供する「中小企業向けセキュリティポリシーサンプル」を活用。これを自社用にカスタマイズすれば、2日で完成します。重要なのは、実態に合った内容にすること。守れないルールを作っても意味がありません
カスタマイズのポイント: 会社名、組織体制、使用システム名を自社のものに変更。実施できない項目は「段階的に導入予定」として、導入時期を明記。年1回の見直しを必ず実施し、更新履歴を残す

2. インシデント発生時の連絡体制

要求事項	具体的な対応	準備期間	費用
24時間以内の一次報告	テンプレート作成、自動通知設定	1週間	0円
エスカレーションフロー	連絡順序と判断基準の明文化	3日	0円
緊急連絡先リスト	携帯番号含む一覧作成、四半期更新	1日	0円
報告書フォーマット	5W1Hを含むA4・1枚のテンプレート	1日	0円

3. 従業員教育の実施証明

「セキュリティ教育を実施していますか？」という質問には、以下の記録で対応します：

年2回の研修実施記録（参加者名簿、実施日時）
使用した教材（IPAの無料教材でOK）
理解度テストと結果（10問程度の簡単なもの）
改善計画（テスト結果を踏まえた次回研修内容）

4. アクセスログの保管

最低要件: 3ヶ月分のログ保管。多くのシステムでデフォルト設定されているので、消さないようにするだけでも対応可能
推奨要件: 1年分のログ保管。外付けHDDやクラウドストレージを活用。改ざん防止のため、書き込み専用設定にする
必須項目: ログイン試行（成功/失敗）、データアクセス記録、システム設定変更、異常終了記録

5. 脆弱性対策の実施状況

対策項目	実施内容	証跡	更新頻度
OS更新	Windows Update	更新履歴画面キャプチャ	月1回
ソフトウェア更新	各種アプリのバージョン管理	バージョン一覧表	四半期
パッチ適用	緊急度別の適用ルール	適用記録表	都度
例外管理	適用できない理由と対策	リスク評価書	半年

セキュリティ監査への準備

取引先からの監査は、事前準備が成否を分けます。

監査でよく指摘される項目と対策

過去3年間の中小企業向け監査結果を分析すると、以下の項目が頻繁に指摘されています：

指摘事項	発生率	対策	準備期間	改善のポイント
パスワードポリシー不備	85%	ポリシー策定と強制設定	1週間	12文字以上、90日更新を必須化
ログ管理不足	70%	ログ収集・保管体制整備	1ヶ月	自動化ツールで収集効率化
パッチ未適用	65%	月次パッチ適用ルール化	2週間	第2水曜を「パッチの日」に設定
教育記録なし	60%	研修実施と記録保管	3ヶ月	e-ラーニングで効率化
BCP未策定	55%	簡易版BCP作成	1ヶ月	最低限の連絡体制から開始

監査対応を成功させる3つのコツ：

正直に現状を伝える
できていないことを「できている」と言うのは最悪。「現在対応中で、○月完了予定」と正直に伝える方が信頼される
改善計画を示す
完璧でなくても、改善への取り組みを評価してもらえる。具体的なスケジュールと予算計画を提示
基本的な攻撃への対策を優先
パスワードリスト攻撃対策など、基本的な部分から確実に対応していることをアピール

中小企業同士の情報共有ネットワーク

一社だけで対策するより、同じ立場の企業と協力する方が効果的です。

地域や業界でのセキュリティ協力体制

商工会議所のセキュリティ部会: 多くの商工会議所で、中小企業向けセキュリティ部会が設置されています。月1回の勉強会で、最新の脅威情報や対策事例を共有。参加費は無料〜年会費5,000円程度
同業他社との情報交換会: 競合関係にない同業他社3〜5社で、セキュリティ情報交換会を結成。インシデント情報を匿名化して共有することで、同じ手口での被害を防げます
共同調達によるコスト削減: セキュリティツールを複数社でまとめて購入することで、単価を30〜50%削減。特にUTMやEDRなどの高額製品で効果的
相互支援協定: インシデント発生時に、他社のIT担当者が応援に駆けつける協定を締結。専門知識を持つ人材を共有することで、対応力を向上

従業員教育と意識改革

技術的対策をいくら講じても、従業員一人一人の意識が低ければ意味がありません。しかし、外部研修は高額。ここでは、コストをかけずに効果的な教育を行う方法をお伝えします。

コストをかけない教育プログラム

IPAの無料教材を活用した研修カリキュラム

IPA（情報処理推進機構）は、質の高い教材を完全無料で提供しています。これを活用した教育プログラムをご紹介します。

基礎編（全従業員対象）- 年2回実施：

時間	内容	使用教材	到達目標
30分	情報セキュリティ5か条	IPA「5分でできる！情報セキュリティ自社診断」	基本ルールの理解
30分	パスワード管理の重要性	IPA「不正ログイン対策」	強固なパスワード作成
45分	標的型メール対策	IPA「標的型攻撃メールの見分け方」	怪しいメールの識別
15分	理解度テスト	オリジナル10問	80点以上で合格

実践編（各部門リーダー対象）- 年1回実施：

インシデント対応初動（1時間）: 異常を発見した際の初動対応手順を、実際のシナリオを使って訓練。「パソコンがランサムウェアに感染した」という想定で、隔離から報告までを実践
部門別リスク評価（1時間）: 営業部、経理部、製造部など、部門特有のリスクを洗い出し。扱う情報の重要度を5段階で評価し、優先的に守るべきデータを明確化
セキュリティ規程の理解（45分）: 自社のセキュリティポリシーを読み合わせ。特に、違反した場合の処分内容を確認し、部下への指導方法を学習

効果的な啓発活動の実例

座学だけでは身につきません。日常的な啓発活動が重要です。

月例セキュリティ通信の発行: A4用紙1枚で、その月のセキュリティトピックをまとめて配布。実際に起きた事件を題材に、「もし当社で起きたら」という視点で解説。作成時間は月2時間程度
ヒヤリハット報告制度: 「怪しいメールが来た」「変なポップアップが出た」など、些細なことでも報告した従業員を表彰。月間MVP には500円のQUOカードを進呈。報告文化が根付くと、早期発見率が格段に向上
セキュリティ標語の募集: 年1回、従業員から標語を募集。優秀作品は社内にポスター掲示。「パスワード　使い回しは　命取り」など、覚えやすい標語で意識を維持
メール訓練の実施: 四半期に1回、IT担当者が疑似的なフィッシングメールを送信。クリックした従業員には個別指導を実施。初回は50%がクリックしても、1年後には5%以下に改善

経営層の意識改革

セキュリティ対策の成否は、経営層の意識にかかっています。

経営リスクとしての認識促進

経営者に響くのは、やはり数字です。以下の投資対効果を示すことで、予算確保が容易になります。

投資対効果の可視化：

項目	金額	説明
対策なしの想定被害額	2,000万円	業界平均値から算出
年間対策費用	100万円	本記事の推奨対策合計
リスク低減率	80%	統計データに基づく
期待損失削減額	1,600万円	2,000万円×80%
投資回収期間	1.5ヶ月	100万円÷1,600万円×12ヶ月

取引機会の創出効果：

新規取引の獲得: 大手企業の取引先選定で、セキュリティ対策は必須要件化。対策により年間5,000万円の新規受注を獲得した事例も。「ISO27001は不要でも、基本対策は必須」がトレンド
既存取引の維持: 取引先の定期監査をパスすることで、安定した受注を確保。逆に対策不備で取引停止となれば、売上の30〜50%を失うリスク
競合との差別化: 「セキュリティ対策実施企業」として、提案時の加点要素に。特に官公庁案件では、必須要件になりつつある

経営者が理解すべき3つのポイント：

セキュリティは保険ではなく投資
事故が起きてから対応するのではなく、事故を防ぐための投資
完璧を求めない段階的改善
100点を目指すと挫折する。60点から始めて、毎年10点ずつ改善
従業員は最強の防御壁
高額なツールより、従業員の意識向上の方が効果的な場合も多い

インシデント発生時の初動対応

どんなに対策を講じても、インシデントの可能性をゼロにはできません。重要なのは、発生した時にいかに迅速かつ適切に対応するかです。

被害を最小限に抑える黄金の48時間

インシデント対応は、最初の48時間が勝負です。この間の対応が、被害額を10万円で済ませるか、1,000万円に膨らむかを決めます。

発覚から2時間以内にすべきこと

1. 被害範囲の初期確認（30分以内）

まず状況を正確に把握します。パニックにならず、以下をチェック：

確認項目	確認方法	記録すべき内容
影響アカウント数	ログイン履歴確認	アカウント名、最終アクセス日時
アクセスされたデータ	ファイルアクセスログ	ファイル名、アクセス日時、操作内容
攻撃の継続性	リアルタイムログ監視	現在も不正アクセスが続いているか
被害拡大の可能性	関連システムの確認	同じパスワードを使用している他システム

2. 緊急隔離措置（1時間以内）

被害拡大を防ぐため、即座に以下を実行：

該当アカウントの無効化: 侵害されたアカウントを即座に無効化。管理者アカウントの場合は、新しい管理者アカウントを作成してから無効化
ネットワークからの切り離し: 感染したPCは、LANケーブルを抜く、Wi-Fiを切断。ただし、電源は切らない（証拠保全のため）
全従業員への緊急通知: メール、電話、口頭で「パスワード変更」を指示。特に、同じパスワードを使い回している可能性のあるシステムは最優先

3. 証拠保全（2時間以内）

後の調査や法的対応のため、証拠を確実に保全：

ログファイルの別媒体へのバックアップ
画面表示のスクリーンショット撮影（日時が分かるように）
作業内容の詳細な記録（誰が、いつ、何をしたか）
可能ならシステム全体のイメージバックアップ

24時間以内の対応事項

初動対応が済んだら、次は関係者への連絡と、本格的な対応体制の構築です。

対応事項	担当	期限	注意点	連絡先例
取引先への一報	営業責任者	6時間	事実のみ、推測は含めない	「システム障害」として第一報
警察への相談	経営層	12時間	サイバー犯罪相談窓口へ	都道府県警のサイバー犯罪対策課
保険会社連絡	総務	24時間	初動を誤ると補償対象外に	サイバー保険の24時間ホットライン
専門家支援要請	IT担当	12時間	フォレンジック業者選定	JPCERT/CC、セキュリティベンダー
従業員説明会	経営層	24時間	憶測を防ぐため事実を共有	全社緊急ミーティング

よくある失敗と対策：

失敗：慌てて電源を切ってしまう: 対策：メモリ上の証拠が消えるため、電源は切らない。ネットワークから切り離すだけに留める
失敗：内部で解決しようとして被害拡大: 対策：48時間以内に専門家に相談。初動を間違えると、復旧費用が10倍になることも
失敗：取引先への連絡を躊躇して信用失墜: 対策：「調査中」でも良いので、24時間以内に第一報。隠蔽は最悪の選択

外部支援の活用

中小企業だけで対応するには限界があります。積極的に外部支援を活用しましょう。

無料・低コストで使える支援サービス

IPA（情報処理推進機構）相談窓口: 電話：03-5978-7509、平日10:00-12:00、13:30-17:00。無料で専門家がアドバイス。「どうすればいいか分からない」という段階でも相談可能
JPCERT/CC（JPCERTコーディネーションセンター）: インシデント対応の専門機関。24時間365日対応。技術的な支援から、他組織との調整まで幅広くサポート。費用は無料
警察サイバー犯罪相談窓口: 各都道府県警察に設置。24時間対応の県も多い。被害届の提出方法から、証拠保全のアドバイスまで対応
地域のIT支援センター: 商工会議所や産業振興センターに設置。初動アドバイスは無料。その後の対応も、会員なら格安で支援
セキュリティベンダーの緊急対応サービス: 多くのベンダーが初動支援を無料で提供。その後の本格対応は有料だが、初動だけでも大きな助けに

支援を受ける際の準備：

準備項目	内容	なぜ必要か
インシデント概要	5W1Hでまとめる	状況を正確に伝えるため
システム構成図	ネットワーク図、機器一覧	影響範囲を特定するため
ログファイル	直近1週間分	攻撃手法を分析するため
対応記録	これまでの対応内容	二次被害を防ぐため
契約書類	保守契約、保険証券	支援範囲を確認するため

まとめ：今すぐ始められる第一歩

ここまで長い記事を読んでいただき、ありがとうございます。多くの情報をお伝えしましたが、すべてを一度にやる必要はありません。大切なのは、今すぐ第一歩を踏み出すことです。

今日中にできる3つのアクション

全社共通パスワードの廃止（30分）
- 使い回しパスワードをリストアップ
- 最重要システムから変更開始
- 新パスワードは12文字以上に
無料パスワードマネージャーの試用（1時間）
- Bitwarden無料版をインストール
- まず自分のアカウントで試す
- 使い勝手を確認してから展開
Have I Been Pwnedでメール確認（10分）
- 全従業員のメールアドレスをチェック
- 漏洩が見つかったら即パスワード変更
- 3ヶ月ごとの定期確認をカレンダー登録

投資対効果の再確認

年間10万円の投資で、以下のリターンが期待できます：

被害リスク80%削減（1,600万円相当）
取引継続による売上確保（年商の30-50%）
新規取引の獲得チャンス（年間5,000万円の可能性）
従業員の安心感向上（離職率低下）

継続的改善への道筋

1ヶ月後: 基本対策の完了、全従業員の意識向上
3ヶ月後: 取引先監査への対応準備完了
6ヶ月後: インシデント対応訓練の実施
1年後: サプライチェーンの信頼できるパートナーとして認知

中小企業だからこそ、フットワークの軽さを活かして、大企業より素早く対策を進められます。完璧を求めず、できることから始めましょう。

パスワードリスト攻撃による被害は、決して他人事ではありません。しかし、本記事で紹介した対策を実践すれば、確実に防御力は向上します。

あなたの会社と、大切な従業員、そして取引先を守るために、今すぐ行動を起こしてください。

サプライチェーンの一員として、共に安全なビジネス環境を作っていきましょう。

【重要なお知らせ】

本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
実際に被害に遭われた場合は、警察（#9110）や専門機関にご相談ください
法的な対応が必要な場合は、弁護士などの専門家にご相談ください
記載内容は作成時点の情報であり、手口は日々進化している可能性があります

更新履歴

2025年11月04日: 初稿公開