セキュリティ

「うちは中小企業だから、サイバー攻撃なんて関係ない」 そう思っている経営者の方こそ、今回の記事を読んでほしいと思います。 ランサムウェアとは、パソコンやサーバー内のデータを暗号化し、「元に戻してほしければ身代金を払え」と要求するサイバー攻撃です。近年、その被害は急増しており、IPAが発表した「情報セキュリティ10大脅威 2025」では、組織部門で5年連続の第1位に選ばれています。 しかも、その被害は大企業だけの話ではありません。 最新データによると、被害を受けた組織のうち中小企業が半数以上を占めています。 そして感染してしまった場合、復旧にかかる費用は想像をはるかに超えます。 復旧費用1,000万円以上が、約半数という現実 警察庁の調査によると、ランサムウェアの被害を受けた企業・団体のうち、調査や復旧にかかった費用が1,000万円以上に上ったケースは全体の約半数を占めています。 「それって大企業の話でしょ？」と感じる方もいるかもしれません。 ところが、中小企業の1社あたりの平均年間売上高（約2.1億円）に対して、1,000万円の復旧費用は年間売上

先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows

「御社から不審なメールが届いているのですが……」 ある日突然、大切な取引先からかかってくる一本の電話。 もし、それがサイバー攻撃や情報漏洩の合図だとしたら。 その瞬間、あなたの頭に浮かぶのは「うちは対策していたはずなのに、なぜ？」という戸惑いかもしれません。しかし、パニックに陥っている現場や、報告を待つ取引先から突きつけられるのは、もっと切実な問いです。 「何が起きたのか、説明してください」 このとき、自信を持って答えられる準備ができているでしょうか。 「守っている」から「説明できる」への転換 多くの中小企業では、すでに最低限のセキュリティ対策は行われています。 ウイルス対策ソフトは入れている UTM（境界防御）も設置した クラウドサービスを使っているから安心だ もちろん、これらは重要です。 しかし、どれほど高い壁を作っても、100%防げる保証はありません。 事故が起きたとき、本当に必要なのは「対策はしていました」という言い訳ではなく、 「事実を裏付ける証拠」 です。 いつ、侵入されたのか？ どのパソコンが原因なのか？ 誰が、どのデータに触れたの

〜報道されない現場の「静かな悲鳴」〜 また大手で情報漏えいか。 まぁ、うちは狙われるほど有名じゃないから ニュースを眺めながら、そんなふうに思っていませんか？ 確かに、大企業の事故は派手に報じられます。 数十万件のデータ流出、工場の完全停止、数億円の賠償。 それらは世間を騒がせる「大事件」です。 しかし、私が日々向き合っているのは、そんな華々しい（と言っては語弊がありますが）ニュースの裏側。 決して報道はされないけれど、確実に一社の経営を揺るがしている「現場の真実」です。 「誰も知らない」だけで、事故は隣で起きている 中小企業の事故がニュースにならない理由はシンプルです。 上場していないから、公表義務が曖昧だから、そして何より「取引先にバレたくない」という切実な事情があるからです。 ですが、現場で起きている現実は過酷そのものです。 朝一番、パソコンのファイルがすべて「暗号化」されて開かなくなっている。 取引先から「お宅の担当者の名前で、怪しいメールが届いたぞ」と怒りの電話が入る。 普段使っているクラウドのアカウントが乗っ取られ、勝手に操作されてい

経産省の「セキュリティ対策評価制度」という言葉を聞いて、 多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 何だか難しそう 高度なセキュリティ対策が必要そう 専門のIT担当がいないと無理そう ですが、最初にお伝えしておきたいことがあります。 この制度は、セキュリティを“強化させる”ための制度ではありません。 この制度が見ているのは「技術」ではない 誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 最新のセキュリティ製品を使っているか 高度な防御ができているか ではありません。 評価されるのは、もっと基本的な部分です。 誰が判断するのか決まっているか 何を守るべきか整理されているか 事故が起きたとき、最低限どう動くか考えられているか つまり、 「ITやセキュリティを、経営として扱えているか」 が問われています。 なぜ「評価制度」という形を取っているのか この制度の背景には、はっきりした目的があります。 それは、 中小企業に“高度な対策”を求めることではなく、 取引先が安心して仕事を任せられる最低ラインを示

日々の業務の中で、「パソコンの動きがいつもと違う」「ウイルス感染かも？」といった不安に直面することはあります。 そんな時、思わず とりあえず再起動 ウイルススキャンをすぐに実行 故障だと思って初期化 といった対応をしてしまいがちです。 しかし、こうした行動が その後の調査や対応を難しくすること があるのをご存じでしょうか？ 証拠保全って何？ 証拠保全とは、 後から「何が起きたのか」を確認できるように、 パソコンやログの状態をできるだけ変えずに残すこと 不正アクセスや被害の調査では、 いつ／どこから／どのアカウントで／何が行われたか という情報が、 ログやシステムの状態として残っています 。 再起動や初期化は、これらの“手がかり”を消してしまう可能性があります。 フォレンジック調査って何？ ここで出てくる専門用語に 「 フォレンジック調査」  という言葉があります。 「何のこと？」と思われる経営者の方もいるでしょう。 フォレンジック調査とは、 専門家が“デジタルの証拠”をもとに 何が起きたのかを客観的に調べる調査のことです。 イメージとしては、IT

先日、ITワークラボ実務環境において、非常に巧妙なフィッシングメールを確認しました。 今回の攻撃は、単なる情報の窃取に留まらず、企業のセキュリティフィルタを回避して「個人のプライベート空間」へ侵入しようとする、極めて悪質な構造を持っています。 IT担当者および経営層が知っておくべき、その手口の裏側を解説します。 1. 実際の攻撃メールの構造分析 Google Workspace等の高度なメールフィルタリング環境下では、上図のように「赤い警告」が表示されます。しかし、このメールが恐ろしいのは、 悪意のあるURLや添付ファイルが直接含まれていない という点です。 攻撃のステップ 偽装： 信頼性の高いフリーメール（Hotmail等）を使用し、実在しそうな名称（ワークラボ等）を名乗る。 回避：  文面に「リンク」や「ファイル」を載せないことで、従来のアンチウイルスソフトの検知をすり抜ける。 誘導：  「業務調整」という口実で、監視の行き届かない LINE という外部プラットフォームへターゲットを移動させる。 2. なぜ「LINEグループのQRコード」を要

セキュリティ対策というと、 「まずはツールを導入する」 「全従業員に研修を実施する」 といった対策を思い浮かべる方が多いかもしれません。 実際、ITワークラボにご相談いただく中小企業の多くでも、 最初のご要望は 「何か良いセキュリティ製品はありませんか？」 「全員研修をやった方がいいですよね？」 という形で出てきます。 もちろん、ツール導入や研修は重要な対策です。 ただし、ここで一度立ち止まって考えていただきたいことがあります。 全員研修が抱えやすい“現実的な課題” 全従業員を対象にしたセキュリティ研修は、分かりやすい反面、次のような課題を抱えがちです。 研修費用が高くなりやすい 業務時間をまとめて確保する必要がある すでに知識のある人にとっては内容が重複しやすい その結果、 「コストをかけた割に、どれだけリスクが下がったのか分からない」 という状態になってしまうことも少なくありません。 これは研修そのものが悪いのではなく、 「誰に、どの程度の対策が必要なのか」が見えないまま実施している ことが原因です。 標的型メール訓練が“起点”になる理由..

「とりあえずネットがつながればいい」 そんな理由で、家庭用ルーターをそのままオフィスで使っている企業は意外と多いものです。個人事業主や小規模オフィスでは特に、 自宅と同じルーター  を持ち込んで利用しているケースがよくあります。 しかし、家庭用ルーターは“家庭で使う前提”で作られた製品。 業務利用では、見えないところで大きなリスクを抱えることになります。 この記事では、 なぜ家庭用ルーターは会社に向かないのか？どうすれば安全にWi-Fiを運用できるのか？ を、専門知識がなくてもわかるように解説します。 ① 自宅と同じルーターをオフィスで使っていませんか？ 個人事業主・小規模事業者の現場でよくあるのが、 自宅で余っていたルーターを使っている 家電量販店で買った安価なルーターをそのまま接続 設定は触らず“買ったそのまま”で運用 SSIDもパスワードも初期設定のまま というパターンです。 しかし、これらは企業にとって 非常にリスクが高い 状態です。 ② 家庭用ルーターが“会社利用に向かない”理由 家庭用ルーターは「家族が数台の端末をつなぐ」ことを想定し

業務のやり取りで、当たり前のように「メール添付」を使っている企業は多いと思います。 見積書、請求書、写真、資料…何でも添付して送るのが、昔からの習慣になっている会社も少なくありません。 しかし今、メール添付は 会社のデータを危険に晒す“古い仕事術”  と言われ始めています。 誤送信、マルウェア、ファイルの混乱など、実務の中で発生するトラブルは数え切れません。 今回は、中小企業でも今日からできる、「メール添付をやめて安全にファイルを共有する方法」をお伝えします。 ① まだ“メール添付文化”を続けていませんか？ 中小企業では、今も添付ファイルが日常的に使われています。 ちょっとした修正資料を送る 写真をまとめて送る 見積書や契約書をやり取りする 便利そうに見えますが、実は添付ファイルは セキュリティの事故が最も起きやすいポイント  です。 クラウド共有が一般的になっている今、添付に頼るのは「リスクの高い働き方」になっています。 ② なぜメール添付は危険なのか？ 添付ファイルが危険と言われるのには理由があります。 実際に多いトラブルを整理すると、次のよ

外出先や自宅で仕事をする機会が増え、会社のノートPCを持ち帰るシーンは珍しくなくなりました。 「明日の資料を家で作りたい」 「急ぎのメールだけ自宅で確認したい」 「リモートワークだから会社PCを使う」 どの会社でもよくある場面です。 しかし、実はこの「PCの持ち帰り」が、 情報漏えいの入口になりやすいポイント でもあります。少しの油断が大きなトラブルにつながるため、最低限のルールを知っておくことが大切です。 ① 持ち帰りPCで起きやすい“よくある失敗” まずは、現場で本当に多いトラブル例を紹介します。 1. 自宅Wi-Fiにそのまま接続してしまう 家族が使っている端末にウイルスが入っていると、同じWi-Fiにつないだ会社PCにもリスクが及びます。 2. 私物USBメモリでデータを移動する 実務で最も多い事故原因です。ウイルス感染やデータ漏えいのリスクが非常に高く、会社からUSBの持ち込みを禁止しているケースも増えています。 3. 家族の前で業務画面を開いてしまう（のぞき見） 営業資料や顧客情報などが、家族に見られてしまうケースは意外と多いものです

カフェや駅、ホテルのロビーなど、外出先で無料Wi-Fiに接続して仕事をする──いまではよくある光景です。 しかし、実は 無料Wi-Fiは ITトラブルが最も起きやすい場所  の一つ。 特に中小企業では、“会社のアカウントを個人PCで操作する”状況も多く、リスクが一気に高まります。 今回は、外で仕事する際に気をつけたいポイントを専門用語なしで、できるだけわかりやすくまとめました。 ① 無料Wi-Fiにはどんなリスクがある？ 「無料Wi-Fi＝危険」ではありませんが、“仕組みを理解しないまま使う”のが問題です。 1. 通信が盗み見られる可能性がある 同じWi-Fiに入った他の利用者から、 メール・ログイン情報・ファイルの中身 が覗かれてしまうことがあります。 特にHTTPSに対応していない古いサービスを使っているとそのまま見えてしまう場合もあります。 2. なりすましWi-Fi（偽物アクセスポイント） 攻撃者が本物そっくりのWi-Fiを作り、そこにつないでしまうと、どんな操作をしても すべて攻撃者に筒抜け になります。 名前が似ているWi-Fiは特に

社員には「セキュリティを徹底しよう」と伝えているのに、実は 社長自身のパスワードが一番弱い ──。 中小企業では、こうした状況が意外と多く見られます。 しかし、誰も社長に直接注意することができないため、問題が表面化しないまま放置されがちです。 ところが、最も守らなければならないのは、実は 社長アカウント です。 攻撃者にとって“最も価値の高い入り口”だからです。 ① なぜ、社長アカウントが危険なのか？ 社長のアカウントは、一般社員とは比べものにならないほど 重要な権限 を持っています。 クラウドサービスの契約・請求情報 会社全体のデータアクセス権 社内の設定変更（管理者権限） 社外への信用に関わるメールやSNS つまり社長アカウントが乗っ取られると、 会社のほぼすべてを乗っ取られるのと同じ 状態になります。 攻撃者が狙うのは、セキュリティが強い社員のアカウントではありません。 “最も影響力があるアカウント”です。その筆頭が、社長アカウントです。 ② よくある「社長パスワード」の危険例 現場でよく見かけるケースをいくつか紹介します。 会社名＋数字

多くの会社で、ログインは「パスワードを入力するだけ」という状態が続いています。 しかし今の時代、 パスワードだけで会社を守るのはほぼ不可能 です。 ・パスワードの使い回し ・フィッシング詐欺 ・情報流出サイトからの漏洩 どれか1つでも当てはまると、外部からアカウントを乗っ取られる可能性があります。 しかも、もし1人のアカウントが突破されると── メール・クラウド・顧客情報・社内資料が、すべて攻撃者に見られる 状況になります。 そこで必要なのが 多要素認証（MFA）  です。 “パスワード＋もう1つ”の仕組みでログインを守る、今もっとも効果的な安全対策です。 ① パスワードが守りきれない時代 パスワードは、 見破られる 盗まれる 推測される フィッシングで抜き取られる あらゆるリスクにさらされています。 たとえば、攻撃者は漏えいしたメールアドレスやパスワードを自動で試し続け、たまたま一致したアカウントから侵入します。その際、狙われるのは必ずしも“社長や管理者”だけではありません。 一般社員1人のアカウントから、会社全体の情報が抜かれる。 これは今、

先日、Amazon Web Services（AWS）で大規模な障害が発生し、多くの企業でネットワークやシステムの一部が停止しました。 参考：🔗 AWSで一時障害、世界でネットサービスに影響　任天堂も さらに、Microsoft 365でも一部のサービスで不具合が報告されました。 参考：🔗 Microsoftのクラウド基盤「Azure」と業務ソフト「365」で障害 大手クラウドでも止まることがある──このニュースに「クラウドってやっぱり不安」と感じた方も多いかもしれません。 でも、実はそれでも クラウド導入を進めるべき理由 があります。 ① 「止まっても復旧が早い」 クラウドは、一時的に障害が起きても、ほとんどの場合は 数時間〜1日以内に自動復旧 します。サーバーやネットワークがすべて自社内にある環境では、復旧まで数日〜数週間かかることもあります。 つまり、クラウドは「壊れない仕組み」ではなく、“すぐに直せる仕組み”なのです。 ② 「どこでも仕事が再開できる」 クラウドを使えば、オフィスが止まっても自宅や出先で業務を継続できます。...

業務にも使っているスマホ、そのままで大丈夫？ メールの確認、チャットでのやり取り、写真の送付。 気づけば仕事でもスマートフォンを使うのが当たり前になりました。 しかしその便利さの裏で、スマホが「新しい情報漏えいの入口」になっていることをご存じでしょうか。 パソコンよりも個人利用の意識が強く、ロックをかけずに持ち歩いたり、SNSアプリから誤って送信したり──。そんな小さな油断が、企業の信用を揺るがすトラブルにつながることがあります。 ① 紛失・盗難による情報漏えい スマホは最も「持ち出しやすい端末」です。営業先や出張、通勤中など、どこでも持ち歩ける分、 紛失や盗難のリスク が常にあります。 スマホの中には、会社のメール、クラウドのデータ、取引先の連絡先など、 想像以上に多くの情報 が詰まっています。 もしロックがかかっていなければ、端末を拾った人がそのままアクセスできてしまう可能性も。 スマホは「名刺入れ」でもあり「書類棚」でもある。 その意識があるだけで、取り扱い方が変わります。 ② 私用アプリやSNS経由での誤送信 もう一つのリスクは、“私用ア

「うっかりクリック」で止まる会社 ある日、B社（従業員20名の小さな建設業）の営業担当が、取引先を名乗るメールを開きました。「請求書データを確認してください」という件名。何の疑いもなく添付ファイルをクリックした瞬間、画面が止まり、ファイルが開けなくなりました。 実は、添付されていたのは ランサムウェア感染を狙う偽装メール 。その日のうちに社内サーバーのデータが暗号化され、取引先にも同様のメールが送られてしまいました。 幸い早期に気づき、大事には至りませんでしたが、復旧には３日を要しました。 社員は「自分のせいで会社が止まった」と肩を落としました。 しかし、B社の社長は叱ることなく言いました。 「誰にでも起こりうること。だから、次に備えよう」 そこから、B社の“セキュリティ文化づくり”が始まりました。 ７割の攻撃は“人”から始まる サイバー攻撃というと、専門的な技術で突破されるようなイメージがありますが、 実際には 約７割が「人のミス」から始まっている と言われています。 メールの添付ファイルを不用意に開く USBやクラウドに無断でデータを保存する

ある朝、ファイルが開けなくなった 月曜の朝。いつも通り出社したA社の社長は、社員からこう報告を受けました。 「共有フォルダのファイルが開けません。拡張子が見慣れない文字に変わっていて…」 画面には、英語で書かれた奇妙なメッセージ。 「あなたのデータは暗号化された。復元したければ、ビットコインを送れ。」 サイバー攻撃──ランサムウェア感染でした。 A社は社員10名の小さな製造業。IT専門部署はなく、システムは外部業者任せ。 「まさか、うちが…？」という言葉が社内に広がりました。 だがこの後、A社の経営を左右するのは “感染したこと”ではなく、“どう対応したか” でした。 最初の24時間で運命が変わる サイバー被害の現場では、 最初の24時間がすべてを決める と言われます。 慌てて操作したり、黙って様子を見ることが、被害を何倍にも広げてしまうのです。 被害を最小限にするために──中小企業が今知っておくべき、初動対応の基本を紹介します。 STEP 1：被害範囲を止める（拡大防止） 最初にすべきことは「止める」こと。調べたり直したりする前に、 感染を広げ

「このパソコン、誰の？」から始まるトラブル ある中小企業で、社員が退職した後にパソコンが１台残りました。ところが、どの社員が使っていたのか分からず、パスワードも不明。ログインできないまま放置……。 似たような話、実は少なくありません。「うちは社員数も少ないから大丈夫」と思っていても、業務端末を明確に管理していない会社は意外と多いのです。 そして、トラブルや情報漏えいが起きたときに、 「誰のパソコンか分からない」＝対応できない という状況に陥ります。 ① 紛失・盗難時に追跡できない ノートパソコンやUSBメモリなど、持ち運びできる端末は便利ですが、「紛失したら誰のものか分からない」というのが最大の問題です。 社外での打ち合わせやリモートワーク中に紛失した場合、管理台帳がなければ、機器の特定すらできません。 また、個人情報や取引先データが保存されていた場合、報告や対策が遅れることで、信用にも大きな影響を与えます。 管理できていない＝責任を取れない。 端末管理は「トラブル後の行動」を決める準備でもあります。 ② 退職・異動時の端末が放置される 社員が退