セキュリティ

セキュリティ対策というと、 「まずはツールを導入する」 「全従業員に研修を実施する」 といった対策を思い浮かべる方が多いかもしれません。 実際、ITワークラボにご相談いただく中小企業の多くでも、 最初のご要望は 「何か良いセキュリティ製品はありませんか？」 「全員研修をやった方がいいですよね？」 という形で出てきます。 もちろん、ツール導入や研修は重要な対策です。 ただし、ここで一度立ち止まって考えていただきたいことがあります。 全員研修が抱えやすい“現実的な課題” 全従業員を対象にしたセキュリティ研修は、分かりやすい反面、次のような課題を抱えがちです。 研修費用が高くなりやすい 業務時間をまとめて確保する必要がある すでに知識のある人にとっては内容が重複しやすい その結果、 「コストをかけた割に、どれだけリスクが下がったのか分からない」 という状態になってしまうことも少なくありません。 これは研修そのものが悪いのではなく、 「誰に、どの程度の対策が必要なのか」が見えないまま実施している ことが原因です。 標的型メール訓練が“起点”になる理由..

「とりあえずネットがつながればいい」 そんな理由で、家庭用ルーターをそのままオフィスで使っている企業は意外と多いものです。個人事業主や小規模オフィスでは特に、 自宅と同じルーター  を持ち込んで利用しているケースがよくあります。 しかし、家庭用ルーターは“家庭で使う前提”で作られた製品。 業務利用では、見えないところで大きなリスクを抱えることになります。 この記事では、 なぜ家庭用ルーターは会社に向かないのか？どうすれば安全にWi-Fiを運用できるのか？ を、専門知識がなくてもわかるように解説します。 ① 自宅と同じルーターをオフィスで使っていませんか？ 個人事業主・小規模事業者の現場でよくあるのが、 自宅で余っていたルーターを使っている 家電量販店で買った安価なルーターをそのまま接続 設定は触らず“買ったそのまま”で運用 SSIDもパスワードも初期設定のまま というパターンです。 しかし、これらは企業にとって 非常にリスクが高い 状態です。 ② 家庭用ルーターが“会社利用に向かない”理由 家庭用ルーターは「家族が数台の端末をつなぐ」ことを想定し

業務のやり取りで、当たり前のように「メール添付」を使っている企業は多いと思います。 見積書、請求書、写真、資料…何でも添付して送るのが、昔からの習慣になっている会社も少なくありません。 しかし今、メール添付は 会社のデータを危険に晒す“古い仕事術”  と言われ始めています。 誤送信、マルウェア、ファイルの混乱など、実務の中で発生するトラブルは数え切れません。 今回は、中小企業でも今日からできる、「メール添付をやめて安全にファイルを共有する方法」をお伝えします。 ① まだ“メール添付文化”を続けていませんか？ 中小企業では、今も添付ファイルが日常的に使われています。 ちょっとした修正資料を送る 写真をまとめて送る 見積書や契約書をやり取りする 便利そうに見えますが、実は添付ファイルは セキュリティの事故が最も起きやすいポイント  です。 クラウド共有が一般的になっている今、添付に頼るのは「リスクの高い働き方」になっています。 ② なぜメール添付は危険なのか？ 添付ファイルが危険と言われるのには理由があります。 実際に多いトラブルを整理すると、次のよ

外出先や自宅で仕事をする機会が増え、会社のノートPCを持ち帰るシーンは珍しくなくなりました。 「明日の資料を家で作りたい」 「急ぎのメールだけ自宅で確認したい」 「リモートワークだから会社PCを使う」 どの会社でもよくある場面です。 しかし、実はこの「PCの持ち帰り」が、 情報漏えいの入口になりやすいポイント でもあります。少しの油断が大きなトラブルにつながるため、最低限のルールを知っておくことが大切です。 ① 持ち帰りPCで起きやすい“よくある失敗” まずは、現場で本当に多いトラブル例を紹介します。 1. 自宅Wi-Fiにそのまま接続してしまう 家族が使っている端末にウイルスが入っていると、同じWi-Fiにつないだ会社PCにもリスクが及びます。 2. 私物USBメモリでデータを移動する 実務で最も多い事故原因です。ウイルス感染やデータ漏えいのリスクが非常に高く、会社からUSBの持ち込みを禁止しているケースも増えています。 3. 家族の前で業務画面を開いてしまう（のぞき見） 営業資料や顧客情報などが、家族に見られてしまうケースは意外と多いものです

カフェや駅、ホテルのロビーなど、外出先で無料Wi-Fiに接続して仕事をする──いまではよくある光景です。 しかし、実は 無料Wi-Fiは ITトラブルが最も起きやすい場所  の一つ。 特に中小企業では、“会社のアカウントを個人PCで操作する”状況も多く、リスクが一気に高まります。 今回は、外で仕事する際に気をつけたいポイントを専門用語なしで、できるだけわかりやすくまとめました。 ① 無料Wi-Fiにはどんなリスクがある？ 「無料Wi-Fi＝危険」ではありませんが、“仕組みを理解しないまま使う”のが問題です。 1. 通信が盗み見られる可能性がある 同じWi-Fiに入った他の利用者から、 メール・ログイン情報・ファイルの中身 が覗かれてしまうことがあります。 特にHTTPSに対応していない古いサービスを使っているとそのまま見えてしまう場合もあります。 2. なりすましWi-Fi（偽物アクセスポイント） 攻撃者が本物そっくりのWi-Fiを作り、そこにつないでしまうと、どんな操作をしても すべて攻撃者に筒抜け になります。 名前が似ているWi-Fiは特に

社員には「セキュリティを徹底しよう」と伝えているのに、実は 社長自身のパスワードが一番弱い ──。 中小企業では、こうした状況が意外と多く見られます。 しかし、誰も社長に直接注意することができないため、問題が表面化しないまま放置されがちです。 ところが、最も守らなければならないのは、実は 社長アカウント です。 攻撃者にとって“最も価値の高い入り口”だからです。 ① なぜ、社長アカウントが危険なのか？ 社長のアカウントは、一般社員とは比べものにならないほど 重要な権限 を持っています。 クラウドサービスの契約・請求情報 会社全体のデータアクセス権 社内の設定変更（管理者権限） 社外への信用に関わるメールやSNS つまり社長アカウントが乗っ取られると、 会社のほぼすべてを乗っ取られるのと同じ 状態になります。 攻撃者が狙うのは、セキュリティが強い社員のアカウントではありません。 “最も影響力があるアカウント”です。その筆頭が、社長アカウントです。 ② よくある「社長パスワード」の危険例 現場でよく見かけるケースをいくつか紹介します。 会社名＋数字

多くの会社で、ログインは「パスワードを入力するだけ」という状態が続いています。 しかし今の時代、 パスワードだけで会社を守るのはほぼ不可能 です。 ・パスワードの使い回し ・フィッシング詐欺 ・情報流出サイトからの漏洩 どれか1つでも当てはまると、外部からアカウントを乗っ取られる可能性があります。 しかも、もし1人のアカウントが突破されると── メール・クラウド・顧客情報・社内資料が、すべて攻撃者に見られる 状況になります。 そこで必要なのが 多要素認証（MFA）  です。 “パスワード＋もう1つ”の仕組みでログインを守る、今もっとも効果的な安全対策です。 ① パスワードが守りきれない時代 パスワードは、 見破られる 盗まれる 推測される フィッシングで抜き取られる あらゆるリスクにさらされています。 たとえば、攻撃者は漏えいしたメールアドレスやパスワードを自動で試し続け、たまたま一致したアカウントから侵入します。その際、狙われるのは必ずしも“社長や管理者”だけではありません。 一般社員1人のアカウントから、会社全体の情報が抜かれる。 これは今、

先日、Amazon Web Services（AWS）で大規模な障害が発生し、多くの企業でネットワークやシステムの一部が停止しました。 参考：🔗 AWSで一時障害、世界でネットサービスに影響　任天堂も さらに、Microsoft 365でも一部のサービスで不具合が報告されました。 参考：🔗 Microsoftのクラウド基盤「Azure」と業務ソフト「365」で障害 大手クラウドでも止まることがある──このニュースに「クラウドってやっぱり不安」と感じた方も多いかもしれません。 でも、実はそれでも クラウド導入を進めるべき理由 があります。 ① 「止まっても復旧が早い」 クラウドは、一時的に障害が起きても、ほとんどの場合は 数時間〜1日以内に自動復旧 します。サーバーやネットワークがすべて自社内にある環境では、復旧まで数日〜数週間かかることもあります。 つまり、クラウドは「壊れない仕組み」ではなく、“すぐに直せる仕組み”なのです。 ② 「どこでも仕事が再開できる」 クラウドを使えば、オフィスが止まっても自宅や出先で業務を継続できます。...

業務にも使っているスマホ、そのままで大丈夫？ メールの確認、チャットでのやり取り、写真の送付。 気づけば仕事でもスマートフォンを使うのが当たり前になりました。 しかしその便利さの裏で、スマホが「新しい情報漏えいの入口」になっていることをご存じでしょうか。 パソコンよりも個人利用の意識が強く、ロックをかけずに持ち歩いたり、SNSアプリから誤って送信したり──。そんな小さな油断が、企業の信用を揺るがすトラブルにつながることがあります。 ① 紛失・盗難による情報漏えい スマホは最も「持ち出しやすい端末」です。営業先や出張、通勤中など、どこでも持ち歩ける分、 紛失や盗難のリスク が常にあります。 スマホの中には、会社のメール、クラウドのデータ、取引先の連絡先など、 想像以上に多くの情報 が詰まっています。 もしロックがかかっていなければ、端末を拾った人がそのままアクセスできてしまう可能性も。 スマホは「名刺入れ」でもあり「書類棚」でもある。 その意識があるだけで、取り扱い方が変わります。 ② 私用アプリやSNS経由での誤送信 もう一つのリスクは、“私用ア

「うっかりクリック」で止まる会社 ある日、B社（従業員20名の小さな建設業）の営業担当が、取引先を名乗るメールを開きました。「請求書データを確認してください」という件名。何の疑いもなく添付ファイルをクリックした瞬間、画面が止まり、ファイルが開けなくなりました。 実は、添付されていたのは ランサムウェア感染を狙う偽装メール 。その日のうちに社内サーバーのデータが暗号化され、取引先にも同様のメールが送られてしまいました。 幸い早期に気づき、大事には至りませんでしたが、復旧には３日を要しました。 社員は「自分のせいで会社が止まった」と肩を落としました。 しかし、B社の社長は叱ることなく言いました。 「誰にでも起こりうること。だから、次に備えよう」 そこから、B社の“セキュリティ文化づくり”が始まりました。 ７割の攻撃は“人”から始まる サイバー攻撃というと、専門的な技術で突破されるようなイメージがありますが、 実際には 約７割が「人のミス」から始まっている と言われています。 メールの添付ファイルを不用意に開く USBやクラウドに無断でデータを保存する

ある朝、ファイルが開けなくなった 月曜の朝。いつも通り出社したA社の社長は、社員からこう報告を受けました。 「共有フォルダのファイルが開けません。拡張子が見慣れない文字に変わっていて…」 画面には、英語で書かれた奇妙なメッセージ。 「あなたのデータは暗号化された。復元したければ、ビットコインを送れ。」 サイバー攻撃──ランサムウェア感染でした。 A社は社員10名の小さな製造業。IT専門部署はなく、システムは外部業者任せ。 「まさか、うちが…？」という言葉が社内に広がりました。 だがこの後、A社の経営を左右するのは “感染したこと”ではなく、“どう対応したか” でした。 最初の24時間で運命が変わる サイバー被害の現場では、 最初の24時間がすべてを決める と言われます。 慌てて操作したり、黙って様子を見ることが、被害を何倍にも広げてしまうのです。 被害を最小限にするために──中小企業が今知っておくべき、初動対応の基本を紹介します。 STEP 1：被害範囲を止める（拡大防止） 最初にすべきことは「止める」こと。調べたり直したりする前に、 感染を広げ

「このパソコン、誰の？」から始まるトラブル ある中小企業で、社員が退職した後にパソコンが１台残りました。ところが、どの社員が使っていたのか分からず、パスワードも不明。ログインできないまま放置……。 似たような話、実は少なくありません。「うちは社員数も少ないから大丈夫」と思っていても、業務端末を明確に管理していない会社は意外と多いのです。 そして、トラブルや情報漏えいが起きたときに、 「誰のパソコンか分からない」＝対応できない という状況に陥ります。 ① 紛失・盗難時に追跡できない ノートパソコンやUSBメモリなど、持ち運びできる端末は便利ですが、「紛失したら誰のものか分からない」というのが最大の問題です。 社外での打ち合わせやリモートワーク中に紛失した場合、管理台帳がなければ、機器の特定すらできません。 また、個人情報や取引先データが保存されていた場合、報告や対策が遅れることで、信用にも大きな影響を与えます。 管理できていない＝責任を取れない。 端末管理は「トラブル後の行動」を決める準備でもあります。 ② 退職・異動時の端末が放置される 社員が退

「うちは狙われない」という誤解 「うちは有名企業でもないし、機密情報なんて持っていないから大丈夫」そう考えている中小企業の経営者は少なくありません。 しかし、最近ニュースになっている大手メーカーへのサイバー攻撃をきっかけに、多くの中小企業が“他人事ではない”現実に直面しています。 実は、攻撃の多くは 特定の企業を狙ったものではありません。 攻撃者は、インターネット上に存在するあらゆるシステムを自動でスキャンし、 「守りが弱い会社」から順に侵入していく のです。つまり、狙われるというより「見つかってしまう」時代です。 中小企業庁やIPA（情報処理推進機構）の調査でも、 被害企業の約7割が中小企業 というデータがあります。しかも、被害の内容は「業務停止」「顧客情報流出」「取引停止」など、会社の信頼を直撃するものばかり。 なぜ中小企業が狙われやすいのか？ サイバー犯罪者にとって、“中小企業は攻撃しやすい標的”です。その理由は単純で、「防御が弱い」から。 1. IT担当がいない、または兼務で後回しになっている 専任のセキュリティ担当者を置ける中小企業は多

「同じアカウントでいいじゃない？」から始まるリスク パソコンを使う社員が数人。 「全員で同じユーザーを使えば、設定もラクで早い」──そう思っていませんか？ あるいは、GoogleやDropboxの共有用アカウントを１つ作り、「みんなこのパスワードでログインしてね」と運用している企業も多いはずです。 一見、手間もコストもかからず便利。 しかし、この“共用アカウント”こそが、 中小企業で最も多いセキュリティリスク のひとつです。 共用アカウントで起きがちな３つのトラブル ① 誰が何をしたのか分からない ファイルが削除されても、「誰が消したのか」が分かりません。 誤操作なのか、意図的なのか、確認できないまま時間だけが過ぎます。 トラブル対応では「証拠」が何より大切ですが、 共用アカウントでは 操作ログが“全員の行動”として記録される ため、追跡できません。 ② 退職・異動後の“抜け漏れ” 社員が退職したあとも、そのアカウントが生きているケース。 クラウドにアクセスできるパスワードを知っていれば、退職後でもデータの閲覧・ダウンロードが可能です。...

Googleドライブは、社内外のファイル共有を簡単にできる便利なツールです。しかし、その「手軽さ」が思わぬ情報漏えいの原因になることもあります。 この記事では、実際によくある共有設定のミスと、安全に使うためのポイントをわかりやすく解説します。 ミス①：リンク共有が「全員に公開」になっている Googleドライブの共有リンクには、「リンクを知っている全員が閲覧可能」という設定があります。一見便利ですが、この設定のままだと、URLを知っていれば 誰でもファイルを見られてしまう 状態です。 たとえば社内の誰かがうっかりURLを転送してしまうと、取引先以外の人にもデータが届いてしまう可能性があります。 ✅ 対策：リンク共有は「制限付き（指定ユーザーのみ）」を基本にする。 ファイルを共有する際は、相手のメールアドレスを指定してアクセス権を与えるのが安全です。 ミス②：退職者が個人アカウントで共有していたファイル 社内でGoogleドライブを利用していても、個人のGmailアカウントを使っているケースがまだ多く見られます。 この場合、退職やアカウント削除があ

「セキュリティ対策が大事なのはわかっているけど、うちは専門のIT担当がいないから難しい…」 そんな声を、現場でよく耳にします。でも実は、セキュリティ運用は 専門知識がなくても“仕組み”で守ることができる んです。 この記事では、少人数の会社でも今日から始められる「セキュリティ運用の仕組みづくり」のステップを紹介します。 ステップ1：まず“守るべき情報”を整理する 最初にやるべきことは、 何を守るのかを明確にすること です。 会社の中には、次のようにさまざまな情報があります。 顧客データ（氏名・住所・連絡先など） 契約書や請求書などの重要書類 社内マニュアルや社外秘の資料 社員や取引先とのメール履歴 これらの情報がどこに保存されていて、誰がアクセスできるのかを把握することが第一歩です。 Google Workspaceを使っている会社なら、「Googleドライブ」の共有設定をチェックしてみましょう。 不要な共有リンクが外部に公開されていないか 退職者のアカウントにデータが残っていないか 機密情報が“全員に共有”になっていないか この確認だけでも、情

Google Workspaceを導入して、業務のデジタル化が一歩進んだ──それは大きな前進ですが、「導入しただけ」で満足してしまうと、思わぬトラブルが起こることがあります。 実は、運用の仕方次第で「使いづらい」「セキュリティが不安」「データが整理されない」といった課題が出てしまうのです。 この記事では、 Google Workspace運用でよくある3つのミス と、その 防ぎ方 をわかりやすく紹介します。 ① 管理者権限が属人化している 導入当初、「詳しい人がひとりで全部設定した」というケースはよくあります。ところがその担当者が異動・退職すると、設定変更ができなくなったり、トラブル時に誰も対応できなかったりすることがあります。 対策：管理者を複数人に分散させる メイン管理者とサブ管理者を設定する 管理用アカウントを共有せず、個人アカウントに権限を付与する 権限を細かく分けて「誰が何を操作できるか」を明確にする 💡 ポイント 「Google管理コンソール」で、権限の範囲を細かく設定できます。1人の担当者に依存しない運用体制をつくりましょう。 ②

「そろそろGoogle Workspaceを導入した方がいいかも」と思っても、実際に動き出す前に何を準備すればいいのか分からない──そんな企業は多いのではないでしょうか。 会社アカウントの導入は、単なるメールアドレスの切り替えではなく、 社内の情報管理と働き方を大きく変えるプロジェクト です。 この記事では、導入をスムーズに進めるために押さえておきたい５つの準備ポイントをわかりやすく解説します。 １．導入の目的を明確にする 最初に確認すべきは「なぜ導入するのか」です。セキュリティ強化、情報共有の効率化、テレワーク対応など、目的を明確にすることで、導入後の運用方針がブレにくくなります。 ポイント 💡 目的を一言で説明できるようにしておく：例「社外からでも安全に業務データへアクセスできるようにする」 ２．現状のアカウント利用状況を整理する 次に、社員がどのアカウントを使って業務しているかを把握します。「個人のGmailを使っている」「複数の共有メールが混在している」など、現状を正確に洗い出すことで、移行の設計がスムーズになります。 チェック項目 �

会社アカウント（Google WorkspaceやMicrosoft 365など）を導入して、ひと安心——しかし、実は「導入後の運用ルールづくり」こそが、成否を分ける重要なポイントです。 せっかく導入しても、アカウント管理が曖昧だったり、セキュリティ設定が統一されていなかったりすると、結局「誰がどこまで使えるのか分からない」「データがバラバラ」といった問題が起きてしまいます。 今回は、会社アカウント導入の効果を最大限に引き出すための３つのポイントを紹介します。 ポイント①：アカウント管理のルールを明確にする まず大切なのは、「誰がアカウントを発行し、誰が削除できるのか」を明確にしておくことです。退職・異動・再雇用など、従業員の出入りはどの企業でも起こります。ここでルールが曖昧だと、退職後もアクセス権が残ってしまうなど、重大なリスクにつながります。 担当者しか手順を知らない状態は避け、文書として残しておくことが重要です。 ワンポイント💡 Google WorkspaceやMicrosoft 365では、「管理者権限」を複数人に分けることができます

社員がそれぞれの個人GmailやMicrosoftアカウントで仕事をしている——そんな中小企業は意外と多いものです。 この記事では、「個人アカウント」と「会社アカウント」の違いを、 所有者・セキュリティ・業務効率・信頼性 の4つの視点からわかりやすく解説します。「うちは個人アカウントのままかも？」という方は、ぜひチェックしてみてください。 1. 個人アカウントと会社アカウントの【所有者】の違い 個人アカウント メールアドレスもデータも、すべて「個人」に紐づきます。退職やトラブルがあると、会社側がアクセスできなくなる危険性があります。 会社アカウント（Google WorkspaceやMicrosoft 365など） 所有者は「会社」。社員が退職しても管理者がアクセスをコントロールでき、安心して運用できます。 2. 個人利用と企業利用では【セキュリティ対策】が違う 個人アカウント パスワード管理は本人任せ。二段階認証（パスワードに加えてスマホ認証などでもう一度確認する仕組み）を使わないことも多く、情報漏えいのリスクが高まります。 会社アカウント..