中小企業向け不正アクセス対策ガイド

2025年11月03日作成

コラム

中小企業の約60%が何らかのサイバー攻撃を受けているという調査結果がある一方、セキュリティ対策に充てられる予算は限定的です。しかし、工夫次第で大企業並みのセキュリティを低コストで実現できます。本記事では、無料ツールの活用から月額1,000円程度で導入できる対策まで、費用対効果の高い方法を優先順位付きで紹介します。

最低限必要な5つの対策

中小企業における不正アクセス対策は、限られた予算とリソースの中で最大の効果を得ることが重要です。ここでは、コストパフォーマンスが高く、すぐに実施できる5つの対策を優先順位順に紹介します。これらを実施するだけで、サイバー攻撃のリスクを大幅に低減できます。

①パスワードポリシー策定（無料）

なぜ最優先なのか

パスワード管理の強化が最優先である理由は明確です。不正アクセスの約60%がパスワード関連の脆弱性を突いたものだからです。パスワードリスト攻撃や総当たり攻撃（ブルートフォース）の被害は、適切なパスワード管理により防ぐことができます。

最大の魅力は実施コストが0円であることです。新たなシステムやソフトウェアの導入は不要で、ルールを決めて徹底するだけで効果があります。効果は非常に高く、実施難易度も低いため、今すぐ始められる対策です。

多くの中小企業では「password123」「会社名2024」といった推測しやすいパスワードが使われています。また、同じパスワードを複数のシステムで使い回しているケースも多く、一つのサービスから漏洩すると連鎖的に被害が拡大します。お金・アカウントを守るための第一歩として、パスワードポリシーの策定は必須です。

最低12文字ルールの設定

パスワードの長さを8文字から12文字に変更するだけで、解読時間は約1万倍になります。これは、総当たり攻撃に対する防御力が飛躍的に向上することを意味します。

複雑性より長さを優先する理由は、人間の記憶力の限界です。「P@ssw0rd!」のような複雑に見えるパスワードも、実は攻撃者のリストには載っており、簡単に破られます。一方、「渋谷で朝8時にコーヒーを飲む」のような日本語の文章を基にした長いパスフレーズは、覚えやすく、かつ破られにくいのです。

パスフレーズ方式の具体例：

日本語フレーズ：「渋谷で朝8時にコーヒーを飲む」
変換例1：「Shibuya8jiCoffee!」（18文字）
変換例2：「ShibuyaAsa8Coffee2024」（21文字）
変換例3：「渋谷Morning8時Coffee!」（20文字）

このように、個人的な習慣や思い出を基にしたフレーズを作ることで、覚えやすく、かつ強固なパスワードを作成できます。重要なのは、辞書に載っている単語の組み合わせではなく、個人的な文脈を持つフレーズを使うことです。

さらに、サービスごとに少し変化を加えることで、使い回しを防ぎます。例えば、銀行なら末尾に「_Bank」、メールなら「_Mail」を追加するなどの工夫です。

パスワード管理表テンプレート

パスワードの管理は、デジタル化せず紙で管理することを推奨します。デジタルファイルは、マルウェア感染やクラウドサービスの侵害により流出するリスクがあるためです。

【パスワード管理表】※紙で保管、デジタル化禁止
==============================================
システム名：___________（例：経理システム）
ユーザーID：___________（例：keiri_tanaka）
パスワードヒント：___________（例：朝の習慣＋会社創立年）
※パスワードそのものは絶対に書かない
最終更新日：___________（例：2024/11/01）
次回更新予定：___________（例：2025/05/01）
管理責任者：___________（例：田中）
==============================================

この管理表は、金庫や鍵付きキャビネットに保管し、限られた管理者のみがアクセスできるようにします。パスワードそのものではなく「ヒント」を記載することで、万が一盗まれても直接的な被害を防げます。

社内ルールの作り方

パスワードポリシーを実効性のあるものにするには、就業規則への明記と従業員への周知が必要です。

就業規則への追記例: 「第○条（情報セキュリティの遵守）従業員は会社が定める情報セキュリティポリシーを遵守し、業務で使用するすべてのシステムにおいて12文字以上のパスワードを設定しなければならない。パスワードは6ヶ月ごとに変更し、他のサービスとの使い回しを禁止する。」
違反時の対処: 段階的な対応により、従業員の理解と協力を得ます。
1回目：口頭注意と再教育（なぜ重要かを説明）
2回目：書面による警告（始末書提出）
3回目：懲戒処分の検討（減給、降格等）
ただし、悪意ある違反や情報漏洩に繋がった場合は、即座に厳正な処分を行います。
従業員への周知方法: 形式的な通知では浸透しません。以下の方法を組み合わせます：
・月曜朝礼での5分説明（毎月第1月曜）
・休憩室へのポスター掲示（視覚的に訴求）
・入社時の誓約書への明記
・年2回のセキュリティ研修での確認テスト実施

②Windows Defenderの活用（無料）

有料ソフトとの性能比較

多くの中小企業が「無料のWindows Defenderで大丈夫か？」と不安を感じていますが、最新のテスト結果を見れば、その性能は有料製品に引けを取りません。

項目	Windows Defender	有料ソフトA	有料ソフトB
マルウェア検出率	99.5%	99.8%	99.7%
誤検知率	低（0.3%）	低（0.2%）	中（0.8%）
システム負荷	軽（CPU使用率3%）	中（CPU使用率5%）	重（CPU使用率8%）
年間費用（10台）	0円	50,000円	80,000円
サポート	Microsoftサポート	24時間電話対応	メールのみ

Windows Defenderの検出率99.5%は、実用上十分な性能です。0.3%の差に年間5万円以上を支払う価値があるかは、企業の判断次第ですが、中小企業にとっては無料のWindows Defenderで十分というのが現実的な結論です。

むしろ重要なのは、Windows Defenderを正しく設定し、常に最新の状態に保つことです。初期設定のままでは、その能力を十分に発揮できません。

必須設定10項目

Windows Defenderを最大限活用するための設定を、優先順位順に解説します。

1. リアルタイム保護：ON
「設定」→「更新とセキュリティ」→「Windows セキュリティ」→「ウイルスと脅威の防止」から設定。これが最も基本的で重要な設定です。

2. クラウド提供の保護：ON
最新の脅威情報をリアルタイムで取得します。インターネット接続が必須ですが、検出率が大幅に向上します。

3. 自動サンプル送信：ON
疑わしいファイルをMicrosoftに自動送信し、解析してもらいます。機密ファイルがある場合は、除外フォルダを設定できます。

4. 改ざん防止：ON
マルウェアがWindows Defenderを無効化することを防ぎます。ランサムウェア対策として必須です。

5. ランサムウェア防止：フォルダー制御
重要なフォルダ（ドキュメント、デスクトップ等）への不正なアクセスをブロックします。

6. 定期スキャン：週1回・日曜深夜
業務に影響しない時間帯に完全スキャンを実行。日曜日の午前2時などがお勧めです。

7. ネットワーク検査：ON
ネットワーク経由の攻撃を検知します。特に中間者攻撃の防御に有効です。

8. 悪意のあるWebサイトのブロック：ON
Microsoft Edgeと連携して、フィッシング詐欺サイトをブロックします。

9. 望ましくないアプリのブロック：ON
アドウェアやPUA（Potentially Unwanted Application）をブロックします。

10. エクスプロイト保護：既定値
メモリ保護機能により、ゼロデイ攻撃からも保護します。カスタマイズも可能ですが、既定値で十分です。

③自動アップデート設定（無料）

Windows Update設定

セキュリティパッチの適用は、既知の脆弱性を塞ぐ最も基本的な対策です。不正アクセスの手口の多くは、パッチ未適用の脆弱性を狙っています。

「アクティブ時間」の適切な設定が重要です。業務時間（例：9:00-18:00）を設定することで、作業中の強制再起動を防げます。「設定」→「更新とセキュリティ」→「Windows Update」→「アクティブ時間の変更」から設定します。

「詳細オプション」での自動再起動は、営業時間外に設定します。夜間や週末に自動的に再起動させることで、パッチ適用の遅れを防ぎます。

更新の一時停止は最大7日間までに留めるべきです。それ以上の延期は、重大な脆弱性を放置することになります。どうしても延期が必要な場合は、代替のセキュリティ対策（ネットワーク分離等）を実施します。

月例パッチ（Patch Tuesday）は、毎月第2火曜日（日本時間では水曜日）にリリースされます。この翌日には必ず適用状況を確認し、未適用のPCがないかチェックする習慣をつけましょう。

主要ソフトの自動更新

ソフトウェア	自動更新設定方法	注意点
Chrome	自動（設定不要）	ブラウザ再起動で適用。週1回は再起動を
Firefox	ヘルプ→Firefoxについて	バックグラウンドで自動確認・更新
Adobe Reader	編集→環境設定→アップデーター	脆弱性が多いため更新は最重要
Java	コントロールパネル→Java→更新タブ	不要なら完全削除を推奨
Office	ファイル→アカウント→更新オプション	月1回は手動確認も実施
Zoom	設定→一般→自動更新	会議前の更新は時間に余裕を

特にAdobe ReaderとJavaは脆弱性が頻繁に発見されるため、自動更新は必須です。Javaについては、業務で使用していない場合は完全にアンインストールすることを強く推奨します。

④データバックアップ（月1,000円〜）

3-2-1ルールの実践

バックアップの基本である3-2-1ルールは、ランサムウェア対策としても有効です。

3つのコピー：オリジナルデータ＋バックアップ2つ
2種類の異なるメディア：例）内蔵HDD＋外付けHDD＋クラウド
1つはオフサイト：物理的に離れた場所（クラウドまたは自宅持ち帰り）

従業員10名の中小企業の具体的構成例：

本番データ：社内ファイルサーバー（NAS）500GB使用
バックアップ1：外付けHDD 2TB（週次でフルバックアップ）
バックアップ2：Google Drive 2TB（日次で差分同期）

この構成なら、初期費用約2万円（外付けHDD）＋月額1,300円（Google One）で実現できます。ランサムウェアに感染しても、オフラインの外付けHDDかクラウドからデータを復旧できます。

重要なのは、バックアップの定期的なテスト復元です。月に1回は実際にファイルを復元し、正常に開けることを確認しましょう。「バックアップは取っていたが、いざという時に復元できなかった」という事例は少なくありません。

コスト別バックアップ方法

無料：Googleドライブ15GB: 最重要データ（見積書、請求書、顧客リスト等）のみを選別して手動アップロード。容量は限られますが、Excelファイルなら数千件は保存可能です。毎日5分の手動作業で、事業継続に必要な最小限のデータは守れます。
月500円：Google One 100GB: 基幹業務データの自動同期が可能に。「バックアップと同期」アプリを使い、指定フォルダを自動的にクラウドと同期。過去30日間のバージョン履歴も保持されるため、誤って上書きしても復元可能です。
月1,300円：Google One 2TB: 全社データのバックアップが現実的に。CADデータや画像ファイルなど、容量の大きいファイルも含めて保護できます。5ユーザーまで共有可能なので、部門ごとのバックアップ管理も可能です。
月2,500円：Backblaze Business Backup: 完全自動バックアップソリューション。PCごとに無制限容量でバックアップ可能。30日間のバージョン管理、暗号化転送、Webからの個別ファイル復元など、プロ仕様の機能を低価格で利用できます。設定も簡単で、技術者不在の企業でも導入可能です。

⑤従業員教育（無料教材活用）

IPA無料教材の活用法

独立行政法人情報処理推進機構（IPA）が提供する無料教材は質が高く、中小企業に最適です。これらを活用することで、外部研修費用を大幅に削減できます。

主要な無料教材と活用方法：

「情報セキュリティ10大脅威」解説書
毎年更新される最新の脅威情報。朝礼での話題提供に最適。1つの脅威を5分で解説する形式で、10週間の教育プログラムが作れます。
「5分でできる！情報セキュリティ自社診断」
25問の簡単なチェックリストで現状把握。全社員で実施し、平均点を出すことで、組織の弱点が見えてきます。
「中小企業向けサイバーセキュリティ対策の極意」
マンガ形式で読みやすい。新入社員教育や、ITが苦手な従業員への教育に活用できます。
映像教材「見えざる脅威」シリーズ
ドラマ仕立ての教育ビデオ。昼休みに流すだけでも効果があります。

これらの教材は、IPAのWebサイトから無料でダウンロードできます。印刷して配布するも良し、社内サーバーに保存して共有するも良し、使い方は自由です。

月1回勉強会の進め方

定期的な勉強会は、セキュリティ意識を維持するために重要です。しかし、業務時間を大きく割くことは難しいため、30分という短時間で効果的に実施する方法を提案します。

【勉強会スケジュール例】
==============================================
開催日時：第1月曜日 17:00-17:30（定時後30分）
場所：会議室（オンライン参加も可）
司会：IT担当者（月替わりでも可）

【タイムテーブル】
17:00-17:05（5分）：最近の事件紹介
  - 新聞やニュースから1つピックアップ
  - 「もし、うちの会社だったら...」という視点で解説

17:05-17:20（15分）：今月のテーマ解説
  - 第1月：パスワード管理
  - 第2月：メール対策
  - 第3月：ランサムウェア
  - 第4月：SNSのリスク
  ※IPAの教材を活用

17:20-17:25（5分）：実習・訓練
  - 実際にパスワードを作ってみる
  - 怪しいメールの見分け方クイズ
  - USBを拾った時の対処法ロールプレイ

17:25-17:30（5分）：質疑応答
  - 日頃の疑問を解決
  - 次回テーマのリクエスト受付
==============================================

参加率を上げる工夫：

残業代を支給（30分分）
軽食を用意（お茶とお菓子程度）
皆勤賞の設定（年12回参加で表彰）
録画して後日視聴も可能に

無料・低コストツール活用法

Google Workspace無料版

15GBの効率的活用

Google Workspace（旧G Suite）の無料版は、1アカウントあたり15GBのストレージが提供されます。限られた容量を最大限活用する方法を解説します。

優先順位付けによるデータ選別が重要です。以下の優先順位で保存します：

第1優先：事業継続に必須のデータ（3GB以内）
- 顧客リスト、売上データ、仕入先情報
- 銀行口座情報、契約書スキャン
- 従業員名簿、給与データ
第2優先：業務効率に関わるデータ（5GB以内）
- 見積書・請求書テンプレート
- マニュアル、手順書
- よく使う画像素材
第3優先：過去データのアーカイブ（7GB以内）
- 3年以上前の取引データ
- 完了プロジェクトの資料
- 古いメール添付ファイル

圧縮技術の活用により、実質的な容量を50%増やせます。特にOfficeファイルは、ZIP圧縮で60-70%のサイズになります。月次でまとめて圧縮する運用がお勧めです。

定期的な不要ファイル削除も重要です。毎月最終金曜日を「デジタル大掃除の日」と定め、以下を実施します：

重複ファイルの削除（Duplicate Cleaner等を使用）
大容量の動画ファイルの外部移動
ゴミ箱の完全削除
古いバージョンファイルの削除

セキュリティ設定必須10項目

Google Workspaceを安全に使うための設定を、重要度順に解説します。

2段階認証の強制
管理コンソール→セキュリティ→2段階認証プロセス→「ユーザーに2段階認証プロセスの有効化を許可する」をON。これだけでアカウント乗っ取りの99%を防げます。
安全性の低いアプリのブロック
各ユーザーの「Googleアカウント管理」→「セキュリティ」→「安全性の低いアプリのアクセス」を無効化。古いメールクライアントなどからの不正アクセスを防ぎます。
外部共有の制限
Google Drive設定で「組織外のユーザーとの共有を許可しない」を選択。誤って機密ファイルを外部公開するリスクを防ぎます。
リンク共有の有効期限設定
共有リンクに7日間や30日間の期限を設定。永続的なリンクによる情報漏洩を防ぎます。
ダウンロード制限
重要ファイルは「閲覧のみ」権限とし、ダウンロード・印刷・コピーを禁止。
コピー制限
スプレッドシートやドキュメントのコピー作成を制限し、管理下から外れることを防ぎます。
印刷制限
機密文書の印刷を禁止し、紙媒体からの情報漏洩を防ぎます。
アクティビティダッシュボード確認
週1回、誰がどのファイルにアクセスしたかを確認。不審なアクセスを早期発見できます。
不審なログイン通知
新しいデバイスからのログインがあった場合、即座にメール通知を受け取る設定に。
APIアクセス管理
サードパーティアプリのアクセス権限を定期的に見直し。不要なアプリは削除します。

Cloudflare無料プランでのWeb防御

導入手順

CloudflareはCDN（Content Delivery Network）サービスですが、無料プランでも強力なセキュリティ機能を提供します。以下、設定手順を詳しく解説します。

アカウント作成
Cloudflareのウェブサイトでメールアドレスを登録。確認メールのリンクをクリックして有効化。
ドメイン追加
「Add a Site」をクリックし、保護したいドメイン名（例：example.com）を入力。
DNSレコード確認
Cloudflareが自動的に既存のDNSレコードをスキャン。結果を確認し、不足があれば手動で追加。
ネームサーバー変更
ドメインレジストラ（お名前.com等）にログインし、ネームサーバーをCloudflareのものに変更。
```
例：
旧：ns1.example-registrar.com
新：anna.ns.cloudflare.com
```
SSL/TLS設定
「SSL/TLS」→「Overview」で「Full」または「Full (Strict)」を選択。HTTPSの暗号化を有効化。
ファイアウォールルール設定
「Security」→「WAF」で、以下のルールを設定：
- 特定国からのアクセスブロック
- 疑わしいユーザーエージェントのブロック
- レート制限（1分間に100リクエスト以上はブロック）
DDoS保護有効化
自動的に有効になっていますが、「Security」→「DDoS」で感度を「High」に設定。
Bot対策設定
「Security」→「Bots」で、悪意のあるボットを自動ブロック。正当なボット（Googlebot等）は許可。
キャッシング設定
「Caching」→「Configuration」で、ブラウザキャッシュTTLを「4 hours」に設定。サイト高速化とサーバー負荷軽減を実現。
アナリティクス確認
「Analytics」で攻撃の状況を可視化。週次でチェックし、異常がないか確認。

得られる効果

Cloudflareを導入することで、以下の効果が無料で得られます：

DDoS攻撃を自動ブロック：大量アクセスによるサービス停止を防ぐ
SSL証明書無料提供：Let's Encryptの設定が不要に
サイト高速化（30%改善）：世界中のCDNサーバーでコンテンツをキャッシュ
帯域幅節約（50%削減）：サーバーのデータ転送量とコストを削減

特にDDoS攻撃は中小企業でも被害に遭う可能性があり、対策なしでは数時間のダウンタイムが発生します。Cloudflareなら、このリスクを無料で回避できます。

Let's Encrypt SSL証明書

導入のメリット

SSL証明書は、Webサイトの通信を暗号化し、中間者攻撃から保護します。Let's Encryptは完全無料で、以下のメリットがあります：

完全無料：年間数万円のコスト削減
自動更新可能：3ヶ月ごとの更新を自動化
主要ブラウザ対応：Chrome、Firefox、Safari、Edgeすべてで「安全」表示
SEO効果：GoogleはHTTPSサイトを優遇

特にECサイトや問い合わせフォームがあるサイトでは、SSL証明書は必須です。「保護されていません」という警告は、顧客の信頼を大きく損ないます。

Certbotでの自動更新設定

Let's Encryptの証明書は90日で有効期限が切れるため、自動更新の設定が重要です。

# Ubuntuでのインストール例
sudo apt-get update
sudo apt-get install certbot python3-certbot-apache

# 証明書取得（Apacheの場合）
sudo certbot --apache -d example.com -d www.example.com

# 対話形式で以下を入力
# メールアドレス：admin@example.com
# 利用規約：Agree
# メール配信：No
# リダイレクト：2（HTTPSへ強制リダイレクト）

# 自動更新設定（cron設定）
sudo crontab -e

# 以下を追加（毎日午前3時に更新チェック）
0 3 * * * /usr/bin/certbot renew --quiet

# 更新テスト
sudo certbot renew --dry-run

Windows ServerやIISを使用している場合は、「Win-ACME」というツールを使用することで、同様の自動化が可能です。GUIで設定できるため、コマンドが苦手な方でも導入できます。

オープンソースセキュリティツール

ClamAV（ウイルス対策）

ClamAVは、オープンソースの無料アンチウイルスソフトです。Windows Defenderのバックアップとして、または Linux サーバーの保護に活用できます。

Windows版インストール手順：

ClamAVの公式サイトからインストーラーをダウンロード
インストール時に「Add ClamAV to the system PATH」にチェック

コマンドプロンプトで初期設定：

freshclam  # ウイルス定義更新
clamscan -r C:\Users\%USERNAME%\Documents  # ドキュメントフォルダスキャン

定期スキャンの設定（タスクスケジューラ使用）：

毎週日曜日午前2時に全ディスクスキャン
検出時はログファイルに記録
重要：誤検知が多いため、削除ではなく隔離を推奨

pfSense（ファイアウォール）

pfSenseは、古いPCを高機能ファイアウォールに変身させられる無料ソフトウェアです。

必要スペック（最小構成）：

CPU：1GHz以上
メモリ：1GB以上（推奨2GB）
HDD：8GB以上
NIC：2枚以上（WAN用とLAN用）

活用例：10年前のPCの再利用：

使わなくなったWindows 7時代のPCを用意
USB LANアダプタを追加（1,000円程度）
pfSenseをUSBメモリからインストール
基本設定（ウィザードに従うだけ）
結果：数十万円の商用ファイアウォールと同等の機能

従業員教育のポイント

標的型メール訓練

無料訓練サービス

標的型メール訓練は、従業員のセキュリティ意識を測る最も効果的な方法です。IPAが提供する「標的型攻撃メール訓練キット」は無料で利用できます。

訓練の目標は、開封率を段階的に下げることです：

初回訓練：50%（半数が開封してしまう）
3ヶ月後：30%（教育効果が現れる）
6ヶ月後：20%以下（望ましい水準）
1年後：10%以下（理想的な水準）

効果測定のポイント：

開封率だけでなく、報告率も測定（怪しいメールを報告した割合）
部門別、年代別の分析で弱点を把握
開封した従業員へのフォローアップ教育

訓練メール作成例

効果的な訓練メールの例を3パターン紹介します：

【パターン1：緊急性を装う】
件名：【至急】健康診断の日程変更について
本文：
社員各位

お疲れ様です。総務部です。
来月予定していた健康診断の日程が、病院の都合により
変更となりました。

新しい日程は添付ファイルをご確認ください。
期限までに必ず確認をお願いします。

添付：健康診断日程変更.exe

※これは訓練メールです。開封した方は総務部まで報告してください。

【パターン2：金銭的利益を装う】
件名：【重要】賞与支給額の確認
本文：
各位

人事部よりお知らせします。
今期の賞与支給額が決定しました。

下記リンクより各自の支給額を確認してください。
http://company-bonus.fake-site.com/login

確認期限：本日17時まで

※これは訓練メールです。

【パターン3：取引先を装う】
件名：請求書の件でご確認
本文：
○○商事 ご担当者様

いつもお世話になっております。
△△工業の山田です。

先月分の請求書に誤りがありましたので、
修正版を送付いたします。

お手数ですが、ご確認をお願いいたします。

※これは訓練メールです。

朝礼5分セキュリティ

週替わりテーマ設定（12週分）

毎週月曜日の朝礼で、5分間のセキュリティ講話を実施します。短時間で要点を伝え、継続することが重要です。

週	テーマ	話す内容（ポイント）
第1週	パスワード	使い回しの危険性、12文字ルール、パスフレーズの作り方
第2週	メール	添付ファイルの確認、怪しい件名の見分け方、報告の重要性
第3週	USB	拾得USBの危険性、私物USBの禁止、データ持ち出しルール
第4週	SNS	会社情報の投稿禁止、プライバシー設定、炎上リスク
第5週	Wi-Fi	公衆Wi-Fiの危険性、VPNの必要性、テザリング推奨
第6週	アップデート	Windows Update、ソフトの更新、再起動の重要性
第7週	バックアップ	3-2-1ルール、テスト復元の実施、ランサムウェア対策
第8週	フィッシング	偽サイトの見分け方、URLの確認、2段階認証の効果
第9週	ランサムウェア	感染経路、初期症状、発見時の対処法
第10週	内部不正	情報持ち出しの罰則、アクセス権限、退職時の注意
第11週	ソーシャルエンジニアリング	電話での情報聞き出し、なりすまし、ゴミ箱あさり対策
第12週	インシデント対応	発見時の報告、証拠保全、連絡先確認

3ヶ月で1サイクルとし、年4回繰り返します。2回目以降は、最新事例を交えて内容を更新します。

インシデント対応訓練

机上演習シナリオ

年2回、実際のインシデントを想定した机上演習を実施します。以下はランサムウェア感染を想定したシナリオです。

シナリオ：月曜日の朝、ランサムウェア感染発覚

9:00 - 経理担当者から連絡
「パソコンが起動しない。変な画面が出ている」

9:15 - 確認すると身代金要求画面
「あなたのファイルは暗号化されました。
復号するには3日以内に50万円相当のビットコインを支払ってください」

9:30 - 共有フォルダも開けない
サーバー上の共有フォルダもアクセス不可。
他のPCからもアクセスできない。

【演習課題】
1. 最初に何をすべきか？
2. 誰に連絡すべきか？
3. 業務継続はどうするか？
4. 顧客への対応は？
5. 支払うべきか？

模範解答と解説：

最初の行動（5分以内）
- 感染PCのLANケーブルを即座に抜く（Wi-Fiも切断）
- 他のPCも予防的にネットワークから切断
- 感染範囲の確認（何台が感染しているか）
連絡体制（30分以内）
- 社長への第一報
- IT保守業者への連絡
- 警察（県警サイバー犯罪対策課）への相談
- 保険会社への連絡（サイバー保険加入の場合）
業務継続策
- バックアップの状態確認（最新はいつか）
- 紙ベースでの業務継続検討
- 代替PC の準備
- 取引先への連絡（納期遅延の可能性）
顧客対応
- 24時間以内の公表検討
- 影響範囲の特定
- お詫び文書の準備
- 問い合わせ窓口の設置
身代金への対応
- 原則：支払わない（不正アクセス禁止法違反の可能性）
- バックアップからの復旧を試みる
- 専門業者による復号可能性の検討

インシデント対応計画

緊急連絡先リスト（A4用紙1枚）

以下のリストを印刷し、全従業員の見える場所に掲示します。デジタル版は、ランサムウェア感染時に見られない可能性があるため、必ず紙で用意します。

========================================
     緊急時連絡先リスト
     （令和6年11月1日現在）
========================================

【社内連絡先】
社長（田中）：090-1234-5678
副社長（山田）：090-2345-6789
IT担当（鈴木）：090-3456-7890
総務部長（佐藤）：090-4567-8901

【社外連絡先】
◆警察
県警サイバー犯罪相談：03-5805-1731
緊急時：110

◆相談窓口
IPA セキュリティセンター：03-5978-7509
JPCERT/CC：03-6811-0610

◆保守・サポート
IT保守業者（ABCシステム）：03-1234-5678
  担当：高橋 090-5678-9012
  
◆保険
○○損保サイバー保険窓口：0120-123-456
  証券番号：CYB-2024-123456

◆インフラ
電力会社：0120-995-001
インターネット回線：0120-116-116

【確認事項チェックリスト】
□ いつ発生したか（時刻）
□ 何が起きているか（症状）
□ 被害範囲は（影響を受けたPC台数、データ量）
□ 原因は何か（判明している範囲で）
□ 現在の対応状況
□ 業務への影響度
□ 外部への影響（顧客、取引先）
□ 報道機関からの問い合わせの有無

【記録様式】
発生日時：＿＿年＿＿月＿＿日＿＿時＿＿分
発見者：＿＿＿＿＿＿＿＿
症状：＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
========================================

初動対応チェックリスト

インシデント発生時は混乱しがちです。最初の1時間でやるべきことをチェックリスト化し、誰でも対応できるようにします。

【インシデント初動対応チェックリスト】
※この順番で実施すること

====== 最初の15分 ======
□ 1. 被害PCの隔離
  - LANケーブルを抜く
  - Wi-Fiをオフにする
  - 電源は切らない（証拠保全のため）

□ 2. 被害範囲の確認
  - 他のPCの状態確認
  - サーバーへのアクセス確認
  - 共有フォルダの確認

□ 3. 証拠保全
  - エラー画面の写真撮影（スマホで）
  - 時刻の記録
  - 発生直前の操作内容をメモ

====== 30分以内 ======
□ 4. 社長への報告
  - 状況の概要
  - 現時点での被害範囲
  - 推奨する対応案

□ 5. バックアップ確認
  - 最新バックアップの日時
  - バックアップメディアの隔離
  - 復旧可能性の評価

====== 1時間以内 ======
□ 6. 他システムへの影響確認
  - メールシステム
  - Webサイト
  - 基幹業務システム

□ 7. 暫定対策実施
  - 全PCのネットワーク遮断
  - 外部からのアクセス遮断
  - 必要最小限の業務継続策

□ 8. 記録開始
  - 対応記録シートの作成
  - 5W1Hで詳細記録
  - 担当者の割り当て

サイバー保険の検討

中小企業にとって、サイバー保険は最後の安全網として重要です。以下、主要3社の比較表を示します。

保険会社	月額保険料	補償限度額	免責金額	特徴・付帯サービス
A社	5,000円	1,000万円	10万円	・24時間ホットライン・フォレンジック費用込み・緊急対応チーム派遣
B社	8,000円	3,000万円	5万円	・営業損失補償あり・データ復旧費用全額・風評被害対策費用
C社	3,000円	500万円	20万円	・最低価格プラン・基本的な補償のみ・オプションで拡張可能

保険選択のポイント：

年商の0.1%程度を保険料の目安に
免責金額は支払い可能な範囲で
付帯サービスの充実度も重要（特に24時間対応）
補償対象外項目の確認（戦争、テロ、既知の脆弱性放置等）

よくある質問（FAQ）

Q: 従業員10名の小規模企業ですが、本当にサイバー攻撃の標的になりますか？: A: はい、むしろ中小企業の方が狙われやすいのが現実です。理由は3つあります。(1)セキュリティ対策が脆弱で侵入しやすい、(2)大企業との取引がある場合、踏み台として価値がある（サプライチェーン攻撃）、(3)「うちは狙われない」という油断がある。実際、従業員50名以下の企業の約60%が何らかのサイバー攻撃を経験しています。最低限、Windows Defenderの適切な設定、パスワード管理の徹底、定期的なバックアップは必須です。月額3,000円程度の投資で、致命的な被害を防げます。
Q: IT専任者がいませんが、セキュリティ対策は可能ですか？: A: 可能です。本記事で紹介した対策の多くは、一度設定すれば自動的に動作します。Windows Defenderの設定（30分）、自動アップデート設定（30分）、Google Driveバックアップ設定（1時間）など、初期設定に数時間かければ、その後は自動運用できます。また、月1回30分の勉強会で従業員教育を継続すれば、人的な脆弱性も改善できます。どうしても難しい場合は、月額2-3万円でIT保守サービスに委託することも検討してください。
Q: 無料のセキュリティソフトで本当に大丈夫ですか？: A: Windows Defenderの性能は、有料ソフトとほぼ同等（検出率99.5%）です。重要なのは、ソフトの種類ではなく、(1)常に最新の状態に保つ、(2)適切に設定する、(3)定期的にスキャンを実行する、という運用です。むしろ、有料ソフトを入れて安心し、更新を怠る方が危険です。ただし、機密性の高い情報を扱う場合は、EDRなどの高度な監視ツールの導入も検討すべきです。
Q: クラウドバックアップは情報漏洩のリスクがありませんか？: A: 適切に設定すれば、社内サーバーより安全な場合もあります。Google DriveやMicrosoft OneDriveは、(1)データセンターの物理セキュリティ、(2)暗号化転送・保存、(3)アクセスログの記録、(4)2段階認証など、中小企業では実現困難な高度なセキュリティを提供しています。リスクを最小化するには、(1)強固なパスワード設定、(2)2段階認証の有効化、(3)共有設定の制限、(4)定期的なアクセス権限の見直しが重要です。機密度が特に高いデータは、暗号化してからアップロードすることも検討してください。
Q: 従業員が個人のスマホを業務で使っていますが、対策は必要ですか？: A: BYOD（Bring Your Own Device）のリスク管理は重要です。最低限、以下の対策を実施してください：(1)業務データは個人端末に保存させない（クラウド利用を徹底）、(2)画面ロックの設定を義務化（6桁以上のPINまたは生体認証）、(3)紛失時の遠隔消去設定、(4)業務用アプリは会社が指定したものに限定、(5)公衆Wi-Fi利用時はVPN必須。可能であれば、月額500円程度のMDM（Mobile Device Management）サービスの導入も検討してください。
Q: ランサムウェアに感染したら、どこに相談すればいいですか？: A: まず警察のサイバー犯罪相談窓口（各都道府県警察本部）に連絡してください。次に、IPA（情報処理推進機構）のセキュリティセンター（03-5978-7509）で技術的なアドバイスを受けられます。データ復旧が必要な場合は、信頼できる専門業者（データ復旧協会加盟企業）に相談しますが、費用は50万円以上かかることが多いです。絶対に身代金は支払わないでください。支払っても40%はデータが復号されず、80%は再攻撃を受けます。日頃からのバックアップ対策が最も重要です。
Q: セキュリティ投資の適正な金額はどれくらいですか？: A: 一般的にIT予算の10-15%、年商の0.5-1%が目安とされています。年商1億円の企業なら年間50-100万円（月額4-8万円）程度です。ただし、最初は無料・低コストの対策から始め、段階的に投資を増やすアプローチが現実的です。優先順位は、(1)バックアップ（月1,300円〜）、(2)セキュリティソフト（無料〜）、(3)従業員教育（無料教材活用）、(4)サイバー保険（月5,000円〜）、(5)専門サービス（月20,000円〜）の順で検討してください。

まとめ

中小企業における不正アクセス対策は、高額な投資は不要で、工夫次第で大企業並みのセキュリティを実現できます。本記事で紹介した対策を優先順位に従って実施することで、サイバー攻撃のリスクを大幅に低減できます。

最優先で実施すべき5つの対策（すべて無料〜月1,000円程度）：

パスワードポリシーの策定と12文字ルールの徹底
Windows Defenderの適切な設定
自動アップデートの有効化
クラウドバックアップの実施（3-2-1ルール）
月1回30分の従業員教育

これらの基本対策を実施するだけで、不正アクセスリスクの80%以上を防御できます。完璧を求めるのではなく、できることから着実に実施することが重要です。

また、インシデント対応計画を事前に準備しておくことで、万が一の際も被害を最小限に抑えることができます。緊急連絡先リストの作成、初動対応チェックリストの準備、サイバー保険への加入検討など、「転ばぬ先の杖」を用意しておきましょう。

セキュリティは経営課題です。「ITに詳しくないから」「予算がないから」という理由で対策を先送りにすると、取り返しのつかない被害を受ける可能性があります。本記事を参考に、今日から一つずつ対策を始めてください。

詳しい情報は不正アクセス対策完全ガイドや最新の攻撃手口も参照してください。

中小企業だからこそ、基本に忠実なセキュリティ対策が効果を発揮します。
今すぐ始められることから、着実に実施していきましょう。

【重要なお知らせ】

本記事の内容は2024年11月時点の情報に基づいています
セキュリティ対策は継続的な改善が必要です
重大なインシデントが発生した場合は、速やかに専門家に相談してください
各種ツールやサービスの仕様は変更される可能性があります

更新履歴

2025年11月03日: 初稿公開