「ちょっと要約するだけだから」 「社内で禁止されているわけじゃないし」 「個人アカウントで少し使っただけ」 生成AIの普及とともに、こうした会社が把握していないAI利用が急速に増えています。 いわゆる「シャドーAI」です。 最近の調査で、 シャドーAI利用者の23.1%が機密情報を入力 課長・部長クラスでは37.5% 一般社員（18.8%）の約2倍 という結果が話題になりました。 しかも興味深いのは、リスクが高いのがITに詳しくない社員だけではないことです。 むしろ、業務を効率化したい管理職ほど、AIに機密情報を入力している 現実が見えてきています。 シャドーAIは、悪意ではなく「業務効率化」から始まる シャドーAIというと、ルール違反や危険行為のように聞こえるかもしれません。 でも実際には、 メール文面を整えたい 会議メモを要約したい 提案書を効率化したい アイデア出しをしたい など、仕事を早く終わらせたいという善意から始まるケースがほとんどです。 実際、生成AIの利用用途では、 アイデア出し：57% メール作成：46% 報告書作成：35%..

「うちは今まで一度も被害に遭っていないから大丈夫」 中小企業の現場では、こうした声を聞くことがあります。 確かに、毎日の業務が普通に回っていると、セキュリティ対策は“後回し”になりがちです。 実際に、IPA（情報処理推進機構）の調査で、中小企業の約半数がセキュリティ対策に投資していないという結果が出ています。 そして、問題なのは「投資額の大小」よりも、 “何も起きていないから必要ない”という空気 の方かもしれません。 「問題が起きていない」は、本当に安全？ セキュリティ対策は、売上のように成果が見えやすいものではありません。 そのため、 今まで被害がない 社員が困っていない 業務が止まっていない という状態だと、「まだ大丈夫」と感じやすくなります。 でも、実際のサイバー攻撃は、 ある日突然メールが送れなくなる クラウドにログインできなくなる 共有フォルダが暗号化される 取引先に不審メールが送られる など、何も起きていなかった会社に突然発生します。 事故が起きてから、 「もっと早く見直しておけばよかった」 となるケースは少なくありません。 セキュリ

「うちはまだ大丈夫だと思う」 中小企業のセキュリティ相談を受けていると、本当によく聞く言葉です。 実際、多くの会社では、ウイルス対策ソフトを入れたり、怪しいメールに気をつけたり、できる範囲で対策をしています。 ただ、その一方で、こんな状態になっている会社も少なくありません。 パソコン管理はなんとなく詳しい社員任せ 退職者アカウントが残ったまま Wi-Fiの設定を誰も把握していない NASやルーターの更新時期が不明 「困ったら業者に聞く」以外の運用がない ここでいう“社員任せ”とは、各社員が悪いという意味ではありません。 会社として担当者やルールが決まっておらず、詳しい人・気づいた人・各社員の判断に頼っている状態のことです。 中小企業の約7割は、セキュリティを組織で管理できていない IPA（情報処理推進機構）の調査では、情報セキュリティ対策を組織的には行っていない中小企業が69.7%という結果が出ています。 つまり、約7割の中小企業では、セキュリティ対策が会社全体の仕組みとして管理されておらず、現場任せ・詳しい人任せになっている状態です。...

2025年の調査によると、 日本の消費者の71% が何らかの形でパスワードを再利用しており、世界平均の 68%を上回っている そうです。 「パスワードの使い回しは危ない」と聞くと、すべてのサービスで同じパスワードを使っている状態を思い浮かべるかもしれません。でも実際には、もっと身近な形の使い回しが多いようです。 今回の調査では、日本では「すべての個人アカウントで同じパスワードを使っている」人は13%でした。一方で、 少数のパスワードを複数のサービスで使い回している人が58% を占め、世界平均の51%より高くなっていました。 つまり、多くの人は「 全部同じではないから大丈夫 」と思いながら、実際には いくつかのパスワードを使いまわす危ない運用 をしている可能性があります。一見すると安全そうに感じるかもしれませんが、セキュリティの観点では、これも十分に危険です。 そしてこの問題は、個人の話だけで終わりません。社員の日常的なパスワードの習慣が、会社のメール、クラウドサービス、業務アカウントのリスクにつながることがあります。 この記事では、なぜパスワード

——業種・規模に関係なく、「隙がある会社」が狙われる時代 「サイバー 攻撃 って、大企業の話でしょ？」 そう思っていた経営者の方に、ぜひ見てほしいデータがあります。 2025年1年間で、国内のセキュリティインシデントの公表件数は559件。 1日あたり約1.5件 のペースで、どこかの会社がサイバー攻撃の被害を発表し続けていた計算になります。 そして攻撃者の狙い方は変わってきました。 かつては「大企業を狙う」という傾向がありましたが、今は違います。 「侵入できる隙があれば、どこでも狙う」 ——業種も規模も関係ない時代に入っています。 1日1.5件——数字が示す「日常化」したリスク トレンドマイクロが公表した2025年の国内インシデント集計によると、年間559件のセキュリティインシデントが公表されました。これは2024年（622件）からわずかに減少しているものの、依然として高水準が続いています。 2025年1月〜12月の国内セキュリティインシデント 公表件数：559件（1日あたり約1.5件） 攻撃カテゴリ1位：不正アクセス　2位：ランサムウェア 出典：

取引先から 「 セキュリティ対策の状況を確認したい 」 と言われたとき、 何を整理すればよいのか どこまで準備すればよいのか 誰が対応すればよいのか で迷う中小企業は多いと思います。 そこで今回、 SCS評価制度（セキュリティ対策評価制度）への対応を求められたときに、 中小企業が最初にやる10項目 を、実務目線で整理したnote有料記事を公開しました。 この記事では、制度の難しい解説だけではなく、 使っている機器やクラウドの整理 管理者アカウントや権限の確認 外部委託先の整理 バックアップや更新確認 取引先に説明できる状態の整え方 など、 実際に手を動かすためのポイント をまとめています。 また、購入者向けの付録として、次の4点も用意しました。 初動チェックリスト 情報資産管理台帳（Excel） セキュリティ対応の役割分担 参考シート 取引先説明前の整理シート 「制度の話は気になるけれど、まず何から始めればいいか分からない」 という方の、最初の整理に使っていただける内容です。 現在、公開記念として 4月中は980円 で公開しています。 5月以

IPAから、「中小企業の情報セキュリティ対策ガイドライン 第4.0版」が公開されました。 今回の改訂は、単なる更新ではありません。ランサムウェア被害の深刻化、サプライチェーン全体での対策の必要性、人材不足といった現実を踏まえて、中小企業が取り組みやすい形へ見直されています。改訂版では、情報セキュリティ6か条、自社診断、SCS評価制度を踏まえた整理、人材確保・育成に関する付録などが盛り込まれています。 つまり今回の第4.0版は、難しい仕組みを増やしたというより、 今の中小企業に必要な対策を、より実務に近い形で整理したもの と考えると分かりやすいです。 この記事では、ガイドライン全体を細かく追うのではなく、 中小企業がまず見直したい3つのポイント に絞って整理します。 1. まず見直したいのは「バックアップ」 “取っている”ではなく、“戻せる”まで確認する 第4.0版で特に目立つ変化のひとつが、従来の「5か条」が「6か条」になったことです。 追加されたのは、 「バックアップを取ろう！」 です。本文でも、情報セキュリティ6か条の中にバックアップが

「うちは中小企業だから、サイバー攻撃なんて関係ない」 そう思っている経営者の方こそ、今回の記事を読んでほしいと思います。 ランサムウェアとは、パソコンやサーバー内のデータを暗号化し、「元に戻してほしければ身代金を払え」と要求するサイバー攻撃です。近年、その被害は急増しており、IPAが発表した「情報セキュリティ10大脅威 2025」では、組織部門で5年連続の第1位に選ばれています。 しかも、その被害は大企業だけの話ではありません。 最新データによると、被害を受けた組織のうち中小企業が半数以上を占めています。 そして感染してしまった場合、復旧にかかる費用は想像をはるかに超えます。 復旧費用1,000万円以上が、約半数という現実 警察庁の調査によると、ランサムウェアの被害を受けた企業・団体のうち、調査や復旧にかかった費用が1,000万円以上に上ったケースは全体の約半数を占めています。 「それって大企業の話でしょ？」と感じる方もいるかもしれません。 ところが、中小企業の1社あたりの平均年間売上高（約2.1億円）に対して、1,000万円の復旧費用は年間売上

先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows

「御社から不審なメールが届いているのですが……」 ある日突然、大切な取引先からかかってくる一本の電話。 もし、それがサイバー攻撃や情報漏洩の合図だとしたら。 その瞬間、あなたの頭に浮かぶのは「うちは対策していたはずなのに、なぜ？」という戸惑いかもしれません。しかし、パニックに陥っている現場や、報告を待つ取引先から突きつけられるのは、もっと切実な問いです。 「何が起きたのか、説明してください」 このとき、自信を持って答えられる準備ができているでしょうか。 「守っている」から「説明できる」への転換 多くの中小企業では、すでに最低限のセキュリティ対策は行われています。 ウイルス対策ソフトは入れている UTM（境界防御）も設置した クラウドサービスを使っているから安心だ もちろん、これらは重要です。 しかし、どれほど高い壁を作っても、100%防げる保証はありません。 事故が起きたとき、本当に必要なのは「対策はしていました」という言い訳ではなく、 「事実を裏付ける証拠」 です。 いつ、侵入されたのか？ どのパソコンが原因なのか？ 誰が、どのデータに触れたの

日々の業務の中で、「パソコンの動きがいつもと違う」「ウイルス感染かも？」といった不安に直面することはあります。 そんな時、思わず とりあえず再起動 ウイルススキャンをすぐに実行 故障だと思って初期化 といった対応をしてしまいがちです。 しかし、こうした行動が その後の調査や対応を難しくすること があるのをご存じでしょうか？ 証拠保全って何？ 証拠保全とは、 後から「何が起きたのか」を確認できるように、 パソコンやログの状態をできるだけ変えずに残すこと 不正アクセスや被害の調査では、 いつ／どこから／どのアカウントで／何が行われたか という情報が、 ログやシステムの状態として残っています 。 再起動や初期化は、これらの“手がかり”を消してしまう可能性があります。 フォレンジック調査って何？ ここで出てくる専門用語に 「 フォレンジック調査」 という言葉があります。 「何のこと？」と思われる経営者の方もいるでしょう。 フォレンジック調査とは、 専門家が“デジタルの証拠”をもとに 何が起きたのかを客観的に調べる調査のことです。 イメージとしては、IT

先日、ITワークラボの実務環境において、非常に巧妙なフィッシングメールを確認しました。 今回の攻撃は、単なる情報の窃取に留まらず、企業のセキュリティフィルタを回避して「個人のプライベート空間」へ侵入しようとする、極めて悪質な構造を持っています。 IT担当者および経営層が知っておくべき、その手口の裏側を解説します。 1. 実際の攻撃メールの構造分析 Google Workspace等の高度なメールフィルタリング環境下では、上図のように「赤い警告」が表示されます。しかし、このメールが恐ろしいのは、 悪意のあるURLや添付ファイルが直接含まれていない という点です。 攻撃のステップ 偽装 ： 信頼性の高いフリーメール（Hotmail等）を使用し、実在しそうな名称（ワークラボ等）を名乗る。 回避 ： 文面に「リンク」や「ファイル」を載せないことで、従来のアンチウイルスソフトの検知をすり抜ける。 誘導 ： 「業務調整」という口実で、監視の行き届かない LINE という外部プラットフォームへターゲットを移動させる。 2. なぜ「LINEグループのQRコー

「ITには、できるだけお金をかけたくない」 中小企業の経営者として、とても自然な感覚だと思います。 実際、 ・大きなトラブルは起きていない ・何とか回っている ・今すぐ困っているわけではない そう感じている会社も多いはずです。 ただ一方で、 ITにお金をかけないことで、気づかないうちに“失っているモノ”がある というケースも、現場ではよく見かけます。 今回は、その代表的なものを3つ紹介します。 ① 静かに削られていく「時間」 ITにお金をかけない会社で、最も失われやすいのが 人の時間 です。 ・PCの動作が遅い ・ちょっとした不具合が頻発する ・トラブルが起きるたびに調べる ・詳しい人を探して声をかける 1回1回は数分、数十分でも、それが毎日・何人分も積み重なると、かなりの時間になります。 社員の時間だけではありません。 「これ、どうなってる？」と経営者が確認に入る時間も増えていきます。 ITにお金をかけていないつもりでも、 実際には“人の時間”という形で支払い続けている 状態です。 ② トラブル時に失う「選択肢」 もう一つ、見えにくいのが 選択

「セキュリティ対策は大事だと分かっているけど、正直、どこまでやればいいのか分からない…」 IT担当がいない中小企業の経営者から、よく聞く悩みです。 ネットや営業の話を聞いていると、「これも必要」「あれも危険」と不安ばかりが増えてしまい、結果として 何も手を付けられない というケースも少なくありません。 でも実は、 IT担当がいない会社だからこそ「やらなくていいIT対策」もあります。 今回は、現場を見てきた立場から、「優先度が低い」「今は手を出さなくていい」IT対策を整理します。 ① いきなり高額なセキュリティ製品を入れること 「とりあえず有名なセキュリティ製品を入れておけば安心」 これは、よくある誤解です。 高額な製品を導入しても、 設定が初期状態のまま 誰も管理していない アラートが出ても気づかない この状態では、 ほとんど意味がありません。 IT担当がいない会社にとって重要なのは、 使い切れること 管理できること 日常業務に負担をかけないこと 製品選びよりも、 「今の運用に合っているか？」を考える方が先です。 ② 完璧なルール・細かすぎるI

「資料を家で作りたいから、USBに入れて持って帰りますね」 中小企業の現場では、いまだに当たり前のように行われている光景です。 しかし最近、USBメモリの紛失による情報流出事件が相次ぎ、深刻な問題になっています。 たとえば札幌市では、教頭が児童や保護者の個人情報を入れたUSBメモリを失くし、後日、匿名で返送されて発覚したケースがありました。 https://www.uhb.jp/news/single.html?id=48567 「うっかり落とした」 「つい持ち出してしまった」──これらは誰にでも起こりえるミスです。 USBメモリは軽くて便利。 だからこそ、 一度なくすと取り返しがつかない 。 今回は、中小企業が今すぐ見直すべき「USBメモリの持ち運び」について解説します。 ① USBメモリは“最も危険な記録媒体” USBメモリ自体は悪いものではありません。 しかし、ビジネスで使うにはリスクが大きすぎます。 ● 小さくて軽い → とにかく失くしやすい ポケット、バッグ、デスクの隙間……。どこにでも落ちます。 ● 暗号化されていない → 拾われたら

「とりあえずネットがつながればいい」 そんな理由で、家庭用ルーターをそのままオフィスで使っている企業は意外と多いものです。個人事業主や小規模オフィスでは特に、 自宅と同じルーター を持ち込んで利用しているケースがよくあります。 しかし、家庭用ルーターは“家庭で使う前提”で作られた製品。 業務利用では、見えないところで大きなリスクを抱えることになります。 この記事では、 なぜ家庭用ルーターは会社に向かないのか？どうすれば安全にWi-Fiを運用できるのか？ を、専門知識がなくてもわかるように解説します。 ① 自宅と同じルーターをオフィスで使っていませんか？ 個人事業主・小規模事業者の現場でよくあるのが、 自宅で余っていたルーターを使っている 家電量販店で買った安価なルーターをそのまま接続 設定は触らず“買ったそのまま”で運用 SSIDもパスワードも初期設定のまま というパターンです。 しかし、これらは企業にとって 非常にリスクが高い 状態です。 ② 家庭用ルーターが“会社利用に向かない”理由 家庭用ルーターは「家族が数台の端末をつなぐ」ことを想定し

最近、PCの動作が「なんだか遅い」「固まることが増えてきた」と感じる場面はありませんか？特に中小企業では、PCの不調を“仕方ないもの”として放置してしまうケースがとても多いです。 しかし、PCの動作不良は生産性を大きく下げ、場合によっては業務停止やトラブルにつながることもあります。 今回は、専門知識がなくても今日からできる“PCを快適に保つための定期メンテナンス”を分かりやすくまとめました。 ① PCが遅くなる原因は、実は“たった5つ” PCが重くなる理由は複雑に見えて、ほとんどが次の5つに収まります。 1. Windowsアップデートを放置している 仕事中に再起動が入るのが嫌で、「また後で」を繰り返し、気づけばアップデートが何十個も溜まっている…。これは非常に多いケースです。 2. ストレージの空き容量が少ない デスクトップにファイルが大量にある状態は要注意。 PCは“空き容量が減るほど”動作が遅くなります。 3. 不要なアプリや常駐ソフトが多い 使わないアプリを入れっぱなしにしていませんか？ 知らないうちに常駐して動作を重くしていることがあり

業務のやり取りで、当たり前のように「メール添付」を使っている企業は多いと思います。 見積書、請求書、写真、資料…何でも添付して送るのが、昔からの習慣になっている会社も少なくありません。 しかし今、メール添付は 会社のデータを危険に晒す“古い仕事術” と言われ始めています。 誤送信、マルウェア、ファイルの混乱など、実務の中で発生するトラブルは数え切れません。 今回は、中小企業でも今日からできる、「メール添付をやめて安全にファイルを共有する方法」をお伝えします。 ① まだ“メール添付文化”を続けていませんか？ 中小企業では、今も添付ファイルが日常的に使われています。 ちょっとした修正資料を送る 写真をまとめて送る 見積書や契約書をやり取りする 便利そうに見えますが、実は添付ファイルは セキュリティの事故が最も起きやすいポイント です。 クラウド共有が一般的になっている今、添付に頼るのは「リスクの高い働き方」になっています。 ② なぜメール添付は危険なのか？ 添付ファイルが危険と言われるのには理由があります。 実際に多いトラブルを整理すると、次のよ

外出先や自宅で仕事をする機会が増え、会社のノートPCを持ち帰るシーンは珍しくなくなりました。 「明日の資料を家で作りたい」 「急ぎのメールだけ自宅で確認したい」 「リモートワークだから会社PCを使う」 どの会社でもよくある場面です。 しかし、実はこの「PCの持ち帰り」が、 情報漏えいの入口になりやすいポイント でもあります。少しの油断が大きなトラブルにつながるため、最低限のルールを知っておくことが大切です。 ① 持ち帰りPCで起きやすい“よくある失敗” まずは、現場で本当に多いトラブル例を紹介します。 1. 自宅Wi-Fiにそのまま接続してしまう 家族が使っている端末にウイルスが入っていると、同じWi-Fiにつないだ会社PCにもリスクが及びます。 2. 私物USBメモリでデータを移動する 実務で最も多い事故原因です。ウイルス感染やデータ漏えいのリスクが非常に高く、会社からUSBの持ち込みを禁止しているケースも増えています。 3. 家族の前で業務画面を開いてしまう（のぞき見） 営業資料や顧客情報などが、家族に見られてしまうケースは意外と多いものです