先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理

経産省の「セキュリティ対策評価制度」という言葉を聞いて、 多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 何だか難しそう 高度なセキュリティ対策が必要そう 専門のIT担当がいないと無理そう ですが、最初にお伝えしておきたいことがあります。 この制度は、セキュリティを“強化させる”ための制度ではありません。 この制度が見ているのは「技術」ではない 誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 最新のセキュリティ製品を使っているか 高度な防御ができているか ではありません。 評価されるのは、もっと基本的な部分です。 誰が判断するのか決まっているか 何を守るべきか整理されているか 事故が起きたとき、最低限どう動くか考えられているか つまり、 「ITやセキュリティを、経営として扱えているか」 が問われています。 なぜ「評価制度」という形を取っているのか この制度の背景には、はっきりした目的があります。 それは、 中小企業に“高度な対策”を求めることではなく、 取引先が安心して仕事を任せられる最低ラインを示

「ITには、できるだけお金をかけたくない」 中小企業の経営者として、とても自然な感覚だと思います。 実際、 ・大きなトラブルは起きていない ・何とか回っている ・今すぐ困っているわけではない そう感じている会社も多いはずです。 ただ一方で、 ITにお金をかけないことで、気づかないうちに“失っているモノ”がある というケースも、現場ではよく見かけます。 今回は、その代表的なものを3つ紹介します。 ① 静かに削られていく「時間」 ITにお金をかけない会社で、最も失われやすいのが 人の時間 です。 ・PCの動作が遅い ・ちょっとした不具合が頻発する ・トラブルが起きるたびに調べる ・詳しい人を探して声をかける 1回1回は数分、数十分でも、それが毎日・何人分も積み重なると、かなりの時間になります。 社員の時間だけではありません。 「これ、どうなってる？」と経営者が確認に入る時間も増えていきます。 ITにお金をかけていないつもりでも、 実際には“人の時間”という形で支払い続けている 状態です。 ② トラブル時に失う「選択肢」 もう一つ、見えにくいのが 選択

「セキュリティ対策は大事だと分かっているけど、正直、どこまでやればいいのか分からない…」 IT担当がいない中小企業の経営者から、よく聞く悩みです。 ネットや営業の話を聞いていると、「これも必要」「あれも危険」と不安ばかりが増えてしまい、結果として 何も手を付けられない  というケースも少なくありません。 でも実は、 IT担当がいない会社だからこそ「やらなくていいIT対策」もあります。 今回は、現場を見てきた立場から、「優先度が低い」「今は手を出さなくていい」IT対策を整理します。 ① いきなり高額なセキュリティ製品を入れること 「とりあえず有名なセキュリティ製品を入れておけば安心」 これは、よくある誤解です。 高額な製品を導入しても、 設定が初期状態のまま 誰も管理していない アラートが出ても気づかない この状態では、 ほとんど意味がありません。 IT担当がいない会社にとって重要なのは、 使い切れること 管理できること 日常業務に負担をかけないこと 製品選びよりも、 「今の運用に合っているか？」を考える方が先です。 ② 完璧なルール・細かすぎるI

「IT担当がいないから、全部外注してしまってもいいのだろうか？」 中小企業の経営者から、よく聞く悩みです。 ITは専門性が高く、社内に詳しい人がいないと「何が正解か分からない」「判断できない」そんな状態になりがちです。 一方で、 「全部外注するとコストが不安」 「丸投げして大丈夫なのか心配」 「どこまで任せて、どこを社内でやるべきか分からない」という声も多く聞きます。 結論から言うと、 ITは“全部外注”でも“全部内製”でもなく、役割分担が大切 です。 ① 外注していいIT業務・しないほうがいいIT業務 まず整理したいのは、「外注に向いているIT業務」と「社内で判断すべきIT業務」は違う、という点です。 外注して問題ない（むしろ外注したほうが良い）業務 ネットワークやWi-Fiの設計・設定 クラウド（Microsoft 365 / Google Workspace）の初期設定 セキュリティ対策の設計・導入 バックアップ環境の構築 PC・アカウントの初期設定 トラブル時の調査・復旧対応 これらは専門性が高く、社内で無理に抱えると 時間もリスクも増え

「パソコンが動かないんだけど…」 「メールが送れないんだけど…」 社内でITトラブルが起きたとき、 決まって同じ人に聞いていませんか？ 中小企業ではよくある光景です。 IT担当がいない会社ほど、「詳しそうな人」「昔設定した人」「若いから分かりそうな人」に自然と質問が集中していきます。 しかしこの状態、実は 会社にとってかなり危険 です。 なぜ、同じ人にITトラブルが集中するのか？ 理由はとてもシンプルです。 正式なIT担当が決まっていない マニュアルやルールがない 「とりあえず分かる人に聞けばいい」文化になっている その結果、 本来の業務を中断して対応している 対応内容がその人の頭の中にしか残らない その人が休むと誰も対応できない という状態が生まれます。 最初は善意で対応していたはずが、いつの間にか その人だけが抱え込む構造 になってしまいます。 「詳しい人がいるから大丈夫」は危険な勘違い 経営者の方から、よくこんな言葉を聞きます。 「うちは詳しい人が一人いるから、何とかなっている」 短期的には、その通りかもしれません。 しかし、長期的に見ると

「資料を家で作りたいから、USBに入れて持って帰りますね」 中小企業の現場では、いまだに当たり前のように行われている光景です。 しかし最近、USBメモリの紛失による情報流出事件が相次ぎ、深刻な問題になっています。 たとえば札幌市では、教頭が児童や保護者の個人情報を入れたUSBメモリを失くし、後日、匿名で返送されて発覚したケースがありました。 https://www.uhb.jp/news/single.html?id=48567 「うっかり落とした」 「つい持ち出してしまった」──これらは誰にでも起こりえるミスです。 USBメモリは軽くて便利。 だからこそ、 一度なくすと取り返しがつかない 。 今回は、中小企業が今すぐ見直すべき「USBメモリの持ち運び」について解説します。 ① USBメモリは“最も危険な記録媒体” USBメモリ自体は悪いものではありません。 しかし、ビジネスで使うにはリスクが大きすぎます。 ● 小さくて軽い → とにかく失くしやすい ポケット、バッグ、デスクの隙間……。どこにでも落ちます。 ● 暗号化されていない → 拾われたら

管理するだけでは不十分。次は「守る仕組み」を整える 端末の一覧をつくって「誰がどのパソコンを使っているか」が分かるようになったら、次に取り組むべきは その端末を安全に使うための設定と運用 です。 「管理している＝安全」ではありません。 大切なのは、 日々の使い方や設定を通じてトラブルを防ぐこと です。 ① ログインには必ずパスワードを設定する 意外と多いのが、ログイン時のパスワード未設定。「社内だから大丈夫」と思っていても、盗難・紛失・外部持ち出しのリスクは常にあります。 Windows・Macともに、必ず ログインパスワード またはPINコードを設定 10分以内に自動ロックがかかるように設定 USB接続や共有設定を「必要な人だけ」に制限 ログインパスワードは“面倒な作業”ではなく、“会社の入り口のカギ”です。 ② OSとセキュリティソフトは常に最新に保つ 多くのウイルス感染や脆弱性攻撃は、「古い状態のまま」が原因です。 特に、更新を止めているパソコンは“セキュリティホール”になりがちです。 チェックポイント： Windows Updateを自動