攻撃者が狙う意外な入口 「サイバー攻撃」と聞くと、何か特別な技術でシステムをこじ開けられるような場面を想像するかもしれません。 ですが、実際にはもっと地味で、もっと身近な入口が使われています。 それが、 正規のIDとパスワードで“普通にログインされる”攻撃 です。 CrowdStrikeは、日本で2022年に観測した侵入のうち 60%が有効なアカウントの悪用を含んでいた と報告しています。 つまり、攻撃者は必ずしも「壁を壊して入る」とは限りません。 合鍵を手に入れて、正面から入ってくる。 今の攻撃は、そう考えた方が実態に近い場面が増えています。 IPA（独立行政法人 情報処理推進機構）も、流出したID・パスワードや推測されたパスワードが悪用され、不正ログイン被害が増えていると注意喚起しています。 「侵入」ではなく「ログイン」とはどういうことか 昔ながらのサイバー攻撃のイメージは、外からシステムの弱点を突いて無理やり入り込むものです。もちろん今でも、脆弱性を突く攻撃はあります。 ただ最近はそれに加えて、 盗まれたIDとパスワードを使って、本人になり

フィッシングメールが届いたとき、「開いただけでも危ないのでは？」と不安になる方は少なくありません。 特に、会社のメールや個人のスマートフォンで怪しいメールを見つけると、慌ててしまいやすいものです。ですが、まず落ち着いて確認したいのは、 どこまで操作したか です。 IPA（独立行政法人 情報処理推進機構）では、フィッシングのメールやSMSは 開いただけでは被害は発生しない と案内しています。また、本文のURLを開いてしまった場合でも、その先で 情報を入力したり、アプリをインストールしたりしていなければ、基本的に被害は発生しない とされています。 つまり、怖いのは「受け取ったこと」そのものではなく、 その後の操作 です。 この記事では、 フィッシングメールとは何か 開いただけで何が起きるのか 本当に危ないのはどこからか 操作別にどう対処すればよいか を、中小企業の経営者やIT担当者が社内で案内しやすいように、できるだけ分かりやすく整理します。 フィッシングメールとは何か フィッシングとは、実在する企業やサービスを装って、利用者を偽サイトへ誘導し、ID

2025年の調査によると、 日本の消費者の71% が何らかの形でパスワードを再利用しており、世界平均の 68%を上回っている そうです。 「パスワードの使い回しは危ない」と聞くと、すべてのサービスで同じパスワードを使っている状態を思い浮かべるかもしれません。でも実際には、もっと身近な形の使い回しが多いようです。 今回の調査では、日本では「すべての個人アカウントで同じパスワードを使っている」人は13%でした。一方で、 少数のパスワードを複数のサービスで使い回している人が58% を占め、世界平均の51%より高くなっていました。 つまり、多くの人は「 全部同じではないから大丈夫 」と思いながら、実際には いくつかのパスワードを使いまわす危ない運用 をしている可能性があります。一見すると安全そうに感じるかもしれませんが、セキュリティの観点では、これも十分に危険です。 そしてこの問題は、個人の話だけで終わりません。社員の日常的なパスワードの習慣が、会社のメール、クラウドサービス、業務アカウントのリスクにつながることがあります。 この記事では、なぜパスワード

IPA情報セキュリティ安心相談窓口によると、2025年7月に寄せられた 不正ログインに関する相談は144件 で、これまでで最も多くなりました。 内容としては、InstagramやFacebookなどのサービスに不正ログインされ、 自分ではログインできなくなった という相談が多く寄せられています。 ここで大事なのは、これは「相談件数」だということです。つまり、実際に表面化して相談までつながったケースだけでも、かなり多いという見方ができます。 不正ログインは、大企業や有名人だけの話ではありません。 SNS、ショッピングサイト、ネットバンキング、クラウドサービスなど、日常的に使うサービスで起こりえます。 しかも厄介なのは、気づいたときにはすでに パスワードを変更されていた 登録メールアドレスや電話番号を変えられていた 多要素認証まで設定されていた という状態になっていることがある点です。 この記事では、IPAの注意喚起をもとに、 不正ログインはどんな手口で起きるのか 不正ログインの証拠とは何か 被害にあったとき、まず何をすべきか 日頃からどんな対策をし

——業種・規模に関係なく、「隙がある会社」が狙われる時代 「サイバー 攻撃 って、大企業の話でしょ？」 そう思っていた経営者の方に、ぜひ見てほしいデータがあります。 2025年1年間で、国内のセキュリティインシデントの公表件数は559件。 1日あたり約1.5件 のペースで、どこかの会社がサイバー攻撃の被害を発表し続けていた計算になります。 そして攻撃者の狙い方は変わってきました。 かつては「大企業を狙う」という傾向がありましたが、今は違います。 「侵入できる隙があれば、どこでも狙う」 ——業種も規模も関係ない時代に入っています。 1日1.5件——数字が示す「日常化」したリスク トレンドマイクロが公表した2025年の国内インシデント集計によると、年間559件のセキュリティインシデントが公表されました。これは2024年（622件）からわずかに減少しているものの、依然として高水準が続いています。 2025年1月〜12月の国内セキュリティインシデント 公表件数：559件（1日あたり約1.5件） 攻撃カテゴリ1位：不正アクセス　2位：ランサムウェア 出典：

取引先から 「 セキュリティ対策の状況を確認したい 」 と言われたとき、 何を整理すればよいのか どこまで準備すればよいのか 誰が対応すればよいのか で迷う中小企業は多いと思います。 そこで今回、 SCS評価制度（セキュリティ対策評価制度）への対応を求められたときに、 中小企業が最初にやる10項目 を、実務目線で整理したnote有料記事を公開しました。 この記事では、制度の難しい解説だけではなく、 使っている機器やクラウドの整理 管理者アカウントや権限の確認 外部委託先の整理 バックアップや更新確認 取引先に説明できる状態の整え方 など、 実際に手を動かすためのポイント をまとめています。 また、購入者向けの付録として、次の4点も用意しました。 初動チェックリスト 情報資産管理台帳（Excel） セキュリティ対応の役割分担 参考シート 取引先説明前の整理シート 「制度の話は気になるけれど、まず何から始めればいいか分からない」 という方の、最初の整理に使っていただける内容です。 現在、公開記念として 4月中は980円 で公開しています。 5月以

——ただし、「無料版をそのまま使う」のは危ない。 「ChatGPTって、うちの社員も使っているのかな」 そう思っている経営者の方へ、少し気になるデータをお伝えします。 MITがScience誌に発表した研究によると、ChatGPTを使った専門職は同じ 業務にかかる時間が約40%短縮 され、1日に 約59%多くの成果物を生み出せる という結果が出ています。 つまり、AIを使う社員と使わない社員の間に、じわじわと「生産性の差」が生まれ始めているのです。中小企業にとっても、もはや他人事ではありません。 ChatGPTで生産性が「約6割」上がるという現実 2023年、MITの研究チームは453名の専門職を対象に、ChatGPTの有無が業務生産性に与える影響を実験しました。結果は明確でした。 ChatGPTを使ったグループは、文書作成にかかる時間が平均27分から17分に短縮（約37%削減）。さらに、1日に作成できる成果物の量は約59%増加した。加えて、専門家が評価した成果物の「質」も平均約18%高かった。 出典：MIT（マサチューセッツ工科大学）「Expe

IPAから、「中小企業の情報セキュリティ対策ガイドライン 第4.0版」が公開されました。 今回の改訂は、単なる更新ではありません。ランサムウェア被害の深刻化、サプライチェーン全体での対策の必要性、人材不足といった現実を踏まえて、中小企業が取り組みやすい形へ見直されています。改訂版では、情報セキュリティ6か条、自社診断、SCS評価制度を踏まえた整理、人材確保・育成に関する付録などが盛り込まれています。 つまり今回の第4.0版は、難しい仕組みを増やしたというより、 今の中小企業に必要な対策を、より実務に近い形で整理したもの と考えると分かりやすいです。 この記事では、ガイドライン全体を細かく追うのではなく、 中小企業がまず見直したい3つのポイント に絞って整理します。 1. まず見直したいのは「バックアップ」 “取っている”ではなく、“戻せる”まで確認する 第4.0版で特に目立つ変化のひとつが、従来の「5か条」が「6か条」になったことです。 追加されたのは、 「バックアップを取ろう！」 です。本文でも、情報セキュリティ6か条の中にバックアップが

「IT担当者がいないから、困っている」 この悩みを抱えている経営者は、実は非常に多いです。 トラブルが起きても誰に聞けばいいかわからない。 新しいツールを導入したくても判断できない。 セキュリティが心配だけど、何をすればいいかわからない——。 そこで「IT担当者を採用しよう」と考える経営者の方も多いのですが、実際に求人を出そうとして驚く現実があります。 採用にかかる費用が、100万円以上になるのです。 ITエンジニアの採用、実際いくらかかるのか マイナビの「中途採用状況調査2024年版」によると、IT・通信・インターネット業界の平均採用コストは年間574万円以上にのぼります。採用手法別に1人あたりの費用を見ると、次のようになります。 採用手法 1人あたりの費用相場 人材紹介エージェント 約 454 万円 求人広告（転職サイト） 約 274 万円 ダイレクトリクルーティング 約 253 万円 合同企業説明会 約 166 万円 出典：マイナビ「中途採用状況調査2024年版」 これはあくまで「採用できたとき」の費用です。 採用できなかった場合でも、求人

「ITツールを入れたのに、なぜか業務が楽にならない」 そんな声を、経営者の方からよく耳にします。 クラウドサービスを導入した、勤怠管理システムを入れた、チャットツールを使い始めた。 でも、現場は相変わらずExcelと紙が中心——。 これは、決して珍しいことではありません。 ITツールの導入プロジェクトのうち、 約70%が期待した成果を得られていない といわれています。「導入した＝成功」ではないのです。 では、成功した会社と失敗した会社の間には、いったい何の違いがあるのでしょうか。 失敗する会社に共通する「3つのパターン」 多くの失敗事例を分析すると、IT導入がうまくいかない会社には明確な共通点があります。 パターン① 「とりあえずDX」で目的が曖昧なまま導入する 失敗の原因として最も多いのが「明確な目標設定の欠如」で、全体の約32%を占めています。「国が補助金を出しているから」「周りの会社が導入しているから」という理由で、何のために入れるのかが曖昧なまま進んでしまうケースです。 具体的なKPIを設定していない企業のIT導入成功率はわずか23%（帝

「うちは中小企業だから、サイバー攻撃なんて関係ない」 そう思っている経営者の方こそ、今回の記事を読んでほしいと思います。 ランサムウェアとは、パソコンやサーバー内のデータを暗号化し、「元に戻してほしければ身代金を払え」と要求するサイバー攻撃です。近年、その被害は急増しており、IPAが発表した「情報セキュリティ10大脅威 2025」では、組織部門で5年連続の第1位に選ばれています。 しかも、その被害は大企業だけの話ではありません。 最新データによると、被害を受けた組織のうち中小企業が半数以上を占めています。 そして感染してしまった場合、復旧にかかる費用は想像をはるかに超えます。 復旧費用1,000万円以上が、約半数という現実 警察庁の調査によると、ランサムウェアの被害を受けた企業・団体のうち、調査や復旧にかかった費用が1,000万円以上に上ったケースは全体の約半数を占めています。 「それって大企業の話でしょ？」と感じる方もいるかもしれません。 ところが、中小企業の1社あたりの平均年間売上高（約2.1億円）に対して、1,000万円の復旧費用は年間売上

〜報道されない現場の「静かな悲鳴」〜 また大手で情報漏えいか。 まぁ、うちは狙われるほど有名じゃないから ニュースを眺めながら、そんなふうに思っていませんか？ 確かに、大企業の事故は派手に報じられます。 数十万件のデータ流出、工場の完全停止、数億円の賠償。 それらは世間を騒がせる「大事件」です。 しかし、私が日々向き合っているのは、そんな華々しい（と言っては語弊がありますが）ニュースの裏側。 決して報道はされないけれど、確実に一社の経営を揺るがしている「現場の真実」です。 「誰も知らない」だけで、事故は隣で起きている 中小企業の事故がニュースにならない理由はシンプルです。 上場していないから、公表義務が曖昧だから、そして何より「取引先にバレたくない」という切実な事情があるからです。 ですが、現場で起きている現実は過酷そのものです。 朝一番、パソコンのファイルがすべて「暗号化」されて開かなくなっている。 取引先から「お宅の担当者の名前で、怪しいメールが届いたぞ」と怒りの電話が入る。 普段使っているクラウドのアカウントが乗っ取られ、勝手に操作されてい

「パソコンが動かないんだけど…」 「メールが送れないんだけど…」 社内でITトラブルが起きたとき、 決まって同じ人に聞いていませんか？ 中小企業ではよくある光景です。 IT担当がいない会社ほど、「詳しそうな人」「昔設定した人」「若いから分かりそうな人」に自然と質問が集中していきます。 しかしこの状態、実は 会社にとってかなり危険 です。 なぜ、同じ人にITトラブルが集中するのか？ 理由はとてもシンプルです。 正式なIT担当が決まっていない マニュアルやルールがない 「とりあえず分かる人に聞けばいい」文化になっている その結果、 本来の業務を中断して対応している 対応内容がその人の頭の中にしか残らない その人が休むと誰も対応できない という状態が生まれます。 最初は善意で対応していたはずが、いつの間にか その人だけが抱え込む構造 になってしまいます。 「詳しい人がいるから大丈夫」は危険な勘違い 経営者の方から、よくこんな言葉を聞きます。 「うちは詳しい人が一人いるから、何とかなっている」 短期的には、その通りかもしれません。 しかし、長期的に見ると

「IT担当がいない…何から手をつければいいの？」 そんな不安を抱えながら、日々の業務を何とか回している中小企業は少なくありません。 実際、八王子・多摩地域でも「ITの相談をできる人が社内にいない」 「担当者が退職してしまった」「そもそもITの管理方法が分からない」 といった声をよく耳にします。 ですが安心してください。 IT担当がいなくても、最初にやるべきことはシンプルな3つだけ。 今日からすぐに取り組めて、会社のITリスクを確実に下げる方法です。 ① アカウントの確認──“誰が何を使っているか”を見える化する 最初のステップはとても基本的ですが、ほとんどの企業で整理されていないポイントです。 社員は何のアカウントを使っている？ メール・クラウド・勤怠・会計など、サービスの一覧はある？ 退職者のアカウントは残っていない？ アカウントが整理されていないと、 退職者が今もログインできる状況 や 誰が何にアクセスできるのか不明な状態 が放置され、重大な事故につながりやすくなります。 まずは紙でもExcelでも大丈夫。 「会社で使っているサービス」と「

「資料を家で作りたいから、USBに入れて持って帰りますね」 中小企業の現場では、いまだに当たり前のように行われている光景です。 しかし最近、USBメモリの紛失による情報流出事件が相次ぎ、深刻な問題になっています。 たとえば札幌市では、教頭が児童や保護者の個人情報を入れたUSBメモリを失くし、後日、匿名で返送されて発覚したケースがありました。 https://www.uhb.jp/news/single.html?id=48567 「うっかり落とした」 「つい持ち出してしまった」──これらは誰にでも起こりえるミスです。 USBメモリは軽くて便利。 だからこそ、 一度なくすと取り返しがつかない 。 今回は、中小企業が今すぐ見直すべき「USBメモリの持ち運び」について解説します。 ① USBメモリは“最も危険な記録媒体” USBメモリ自体は悪いものではありません。 しかし、ビジネスで使うにはリスクが大きすぎます。 ● 小さくて軽い → とにかく失くしやすい ポケット、バッグ、デスクの隙間……。どこにでも落ちます。 ● 暗号化されていない → 拾われたら

「このExcel、誰が作ったんだっけ…？」 中小企業の現場でよく聞くフレーズです。 気づいたら会社の大事な業務が、 “昔の担当者が作った謎のExcelマクロ” によって支えられている――。そんな状況、実は珍しくありません。 そして、その Excel が突然動かなくなった瞬間、 業務が丸ごと止まってしまう ことも起こりえます。 今回は、古いExcelマクロが抱えるリスクと、中小企業でも無理なくできる“レガシー資産との正しい付き合い方”を紹介します。 ① 「このExcelが壊れたら終わる」状態が一番危険 よくある現場の悩みは、こんな状態です。 作成者が退職していて、誰も中身が分からない エラーが出ても触るのが怖くて放置 月次・年次処理がこのExcelに依存 PCを買い替えたら動かなくなった そもそもどこにマクロが入っているか不明 これらのファイルは、レガシー資産（古いシステム）と同じです。 壊れた瞬間に「復旧できない」「業務が回らない」という事態を招きます。 ② なぜ古いExcelマクロは危険なのか？ Excelマクロ（VBA）は便利ですが、長年

「とりあえずネットがつながればいい」 そんな理由で、家庭用ルーターをそのままオフィスで使っている企業は意外と多いものです。個人事業主や小規模オフィスでは特に、 自宅と同じルーター を持ち込んで利用しているケースがよくあります。 しかし、家庭用ルーターは“家庭で使う前提”で作られた製品。 業務利用では、見えないところで大きなリスクを抱えることになります。 この記事では、 なぜ家庭用ルーターは会社に向かないのか？どうすれば安全にWi-Fiを運用できるのか？ を、専門知識がなくてもわかるように解説します。 ① 自宅と同じルーターをオフィスで使っていませんか？ 個人事業主・小規模事業者の現場でよくあるのが、 自宅で余っていたルーターを使っている 家電量販店で買った安価なルーターをそのまま接続 設定は触らず“買ったそのまま”で運用 SSIDもパスワードも初期設定のまま というパターンです。 しかし、これらは企業にとって 非常にリスクが高い 状態です。 ② 家庭用ルーターが“会社利用に向かない”理由 家庭用ルーターは「家族が数台の端末をつなぐ」ことを想定し

「バックアップはしているから大丈夫」そう思っている中小企業は多いですが、実際に状況を伺うと “バックアップが1つだけ” というケースがほとんどです。 クラウドに保存しているから安心。 外付けHDDにコピーしているから十分。 一見問題なさそうに見えますが、データトラブルは “1か所だけ”のバックアップではカバーしきれません。 最近は、クラウド障害やランサムウェア、誤削除など、バックアップが「1つでは足りない」ケースが確実に増えています。 今回は、中小企業でもすぐに始められる “バックアップ二重化”の考え方と、現実的な最小構成 をまとめました。 ① バックアップはしている。でも「一つだけ」になっていませんか？ 中小企業の現場でよくある例をご紹介します。 重要データはクラウドに保存 毎週外付けHDDに手動コピー PCのデスクトップに保存しているものをHDDにまとめてバックアップ 一見問題なさそうに見えますが、これらはすべて 「1つ壊れたら終わり」 の状態です。 特に最近ではクラウドの障害や誤操作による事故が起きており、一つのバックアップに依存する

最近、PCの動作が「なんだか遅い」「固まることが増えてきた」と感じる場面はありませんか？特に中小企業では、PCの不調を“仕方ないもの”として放置してしまうケースがとても多いです。 しかし、PCの動作不良は生産性を大きく下げ、場合によっては業務停止やトラブルにつながることもあります。 今回は、専門知識がなくても今日からできる“PCを快適に保つための定期メンテナンス”を分かりやすくまとめました。 ① PCが遅くなる原因は、実は“たった5つ” PCが重くなる理由は複雑に見えて、ほとんどが次の5つに収まります。 1. Windowsアップデートを放置している 仕事中に再起動が入るのが嫌で、「また後で」を繰り返し、気づけばアップデートが何十個も溜まっている…。これは非常に多いケースです。 2. ストレージの空き容量が少ない デスクトップにファイルが大量にある状態は要注意。 PCは“空き容量が減るほど”動作が遅くなります。 3. 不要なアプリや常駐ソフトが多い 使わないアプリを入れっぱなしにしていませんか？ 知らないうちに常駐して動作を重くしていることがあり

業務のやり取りで、当たり前のように「メール添付」を使っている企業は多いと思います。 見積書、請求書、写真、資料…何でも添付して送るのが、昔からの習慣になっている会社も少なくありません。 しかし今、メール添付は 会社のデータを危険に晒す“古い仕事術” と言われ始めています。 誤送信、マルウェア、ファイルの混乱など、実務の中で発生するトラブルは数え切れません。 今回は、中小企業でも今日からできる、「メール添付をやめて安全にファイルを共有する方法」をお伝えします。 ① まだ“メール添付文化”を続けていませんか？ 中小企業では、今も添付ファイルが日常的に使われています。 ちょっとした修正資料を送る 写真をまとめて送る 見積書や契約書をやり取りする 便利そうに見えますが、実は添付ファイルは セキュリティの事故が最も起きやすいポイント です。 クラウド共有が一般的になっている今、添付に頼るのは「リスクの高い働き方」になっています。 ② なぜメール添付は危険なのか？ 添付ファイルが危険と言われるのには理由があります。 実際に多いトラブルを整理すると、次のよ