2026年6月10日（水）オープンイノベーションフィールド多摩 八王子館にて、中小企業向けセキュリティセミナー「大企業の信頼を勝ち取る SCS評価入門」に登壇しました。 今回のセミナーでは、2026年度末頃の開始が予定されているSCS評価制度の概要を中心に、中小企業が今から整理しておきたいセキュリティ対策についてお話ししました。 特に、以下のような内容を、専門用語をできるだけ使わずに解説しました。 ・SCS評価制度とは何か ・中小企業にどのような影響があるのか ・SECURITY ACTIONとの関係 ・取引先に説明できる状態とは何か ・まず整えるべき基本対策 ・アカウント管理、多要素認証、バックアップ、退職者アカウント削除、社内ルールの重要性 セキュリティ対策は、大企業だけの話ではありません。 中小企業も、取引先・委託先・協力会社としてサプライチェーンの一部になっています。 そのため、これからは「セキュリティ対策をしているか」だけでなく、「何を、どこまで、どう管理しているか」を説明できることが重要になります。 ITワークラボでは、IT担当者がい

「怪しいメールは、見れば分かる」 以前は、そう考えていた方も多いかもしれません。 確かに、不自然な日本語、怪しい差出人、明らかにおかしなURLなど、分かりやすいフィッシングメールもあります。 しかし最近は、状況が変わってきています。 フィッシング対策協議会の月次報告によると、2026年3月のフィッシングサイトURL件数は69,936件。前月から52,863件増加し、約309.6%増となりました。フィッシング報告件数も122,381件に達しています。 引用元：https://www.antiphishing.jp/report/monthly/202603.html さらに2026年4月には、フィッシング報告件数が151,112件となり、前月比でさらに約23.5%増加しています。 つまり、フィッシングは「たまに届く怪しいメール」ではなく、日常的に大量発生するリスクになっています。 そして、ここで重要なのは、社員一人ひとりの見分ける力だけに頼るには、すでに限界があるということです。 フィッシングサイトURLが増えると、何が困るのか...

「差出人が知っている会社名だった」 「メールアドレスもそれっぽく見えた」 「いつも使っているサービスからの通知に見えた」 こうした理由で、メールを信用して開いてしまうことがあります。 しかし最近のフィッシングは、差出人名やメールアドレスが正しそうに見えても、安全とは言い切れません。 フィッシング対策協議会の2026年3月の月次報告では、調査用メールアドレスに届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレスやドメイン名を使った「なりすまし」フィッシングメールが約49.7％だったとされています。 引用元：https://www.antiphishing.jp/report/monthly/202603.html つまり、フィッシングメールの約半数は、「差出人が本物っぽく見える」可能性があるということです。 「差出人を確認しましょう」だけでは足りない フィッシング対策として、よく言われるのが「差出人を確認しましょう」という対策です。 もちろん、これは今でも大切です。 ただし、差出人の表示だけで判断するのは危険です。...

「怪しいメールを開いてしまったかもしれない」 そう感じたとき、多くの人がまず心配するのは、「開いただけでウイルスに感染したのではないか」ということです。もちろん、不審なメールには注意が必要です。 ただ、フィッシング詐欺で本当に怖いのは、メールを開いた瞬間よりも、その後に、 偽サイトにアクセスする IDやパスワードを入力する 認証コードを入力する ネットバンキングや決済サービスにログインしてしまう といった操作をしてしまうことです。 そして今、フィッシングは単なる「迷惑メール」では済まなくなっています。 警察庁の資料によると、令和7年のインターネットバンキングに係る不正送金事犯は4,747件、被害総額は約103億9,700万円。その手口の約9割がフィッシングとされています。 引用元：https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/info_security.html つまり、フィッシングはもはや、メールの問題ではなく、会社のお金の問題として考える必要があります。 フィッシングは「

2026年6月10日（水）、オープンイノベーションフィールド多摩 八王子館にて開催される中小企業向けセミナーに、ITワークラボとして登壇します。 テーマは「2026年度末制度スタート！大企業の信頼を勝ち取るSCS評価入門」です。 近年、サプライチェーン全体でのサイバーセキュリティ対策が重視されるようになり、中小企業においても「取引先に説明できるセキュリティ対策」が求められつつあります。 本セミナーでは、SCS評価制度の基本と、中小企業が今から取り組める最初の一歩について、わかりやすく解説します。 会場参加・オンライン参加のどちらも可能です。 ご関心のある方は、ぜひお申し込みください。 申込ページ： https://oif-tama.jp/hachioji/event/entry-34126.html 📖 あわせて読みたい 関連ページ IT・セキュリティ体制構築の支援内容は、「サービスページ」でご案内しています。 実際のご相談事例は、「導入事例」でもご紹介しています。 ITワークラボの考え方は、「ITワークラボについて」をご覧ください。

「うちはどのくらい危ない状態なんだろう？」 中小企業のセキュリティ相談を受けていると、こうした質問をいただくことがあります。 ただ実際には、 何が危険なのか分からない どこまで対策すればいいのか分からない 他社と比べて自社が危険なのか判断できない という会社も少なくありません。 そんな中、IPA（情報処理推進機構）の調査では、セキュリティ対策状況の自己評価が低い企業ほど、被害額が大きくなる傾向が示されています。 特に注目されているのが、 自己評価70点未満の企業では、被害額が最大5,000万円に達した事例がある という点です。 一方で、自己評価70点以上の企業では、最大被害額が100万円という結果でした。 もちろん、点数だけですべてが決まるわけではありません。 ただ、「対策状況を把握している会社」と「何となく運用している会社」では、事故が起きたときの差が大きくなる現実が見えてきます。 被害を大きくするのは、攻撃より準備不足 サイバー攻撃というと、高度なハッキングを想像されることがあります。 でも実際には、 バックアップが取れていない 誰が管理して

「うちは今まで一度も被害に遭っていないから大丈夫」 中小企業の現場では、こうした声を聞くことがあります。 確かに、毎日の業務が普通に回っていると、セキュリティ対策は“後回し”になりがちです。 実際に、IPA（情報処理推進機構）の調査で、中小企業の約半数がセキュリティ対策に投資していないという結果が出ています。 そして、問題なのは「投資額の大小」よりも、 “何も起きていないから必要ない”という空気 の方かもしれません。 「問題が起きていない」は、本当に安全？ セキュリティ対策は、売上のように成果が見えやすいものではありません。 そのため、 今まで被害がない 社員が困っていない 業務が止まっていない という状態だと、「まだ大丈夫」と感じやすくなります。 でも、実際のサイバー攻撃は、 ある日突然メールが送れなくなる クラウドにログインできなくなる 共有フォルダが暗号化される 取引先に不審メールが送られる など、何も起きていなかった会社に突然発生します。 事故が起きてから、 「もっと早く見直しておけばよかった」 となるケースは少なくありません。 セキュリ

「うちはまだ大丈夫だと思う」 中小企業のセキュリティ相談を受けていると、本当によく聞く言葉です。 実際、多くの会社では、ウイルス対策ソフトを入れたり、怪しいメールに気をつけたり、できる範囲で対策をしています。 ただ、その一方で、こんな状態になっている会社も少なくありません。 パソコン管理はなんとなく詳しい社員任せ 退職者アカウントが残ったまま Wi-Fiの設定を誰も把握していない NASやルーターの更新時期が不明 「困ったら業者に聞く」以外の運用がない ここでいう“社員任せ”とは、各社員が悪いという意味ではありません。 会社として担当者やルールが決まっておらず、詳しい人・気づいた人・各社員の判断に頼っている状態のことです。 中小企業の約7割は、セキュリティを組織で管理できていない IPA（情報処理推進機構）の調査では、情報セキュリティ対策を組織的には行っていない中小企業が69.7%という結果が出ています。 つまり、約7割の中小企業では、セキュリティ対策が会社全体の仕組みとして管理されておらず、現場任せ・詳しい人任せになっている状態です。...

——ただし、「無料版をそのまま使う」のは危ない。 「ChatGPTって、うちの社員も使っているのかな」 そう思っている経営者の方へ、少し気になるデータをお伝えします。 MITがScience誌に発表した研究によると、ChatGPTを使った専門職は同じ 業務にかかる時間が約40%短縮 され、1日に 約59%多くの成果物を生み出せる という結果が出ています。 つまり、AIを使う社員と使わない社員の間に、じわじわと「生産性の差」が生まれ始めているのです。中小企業にとっても、もはや他人事ではありません。 ChatGPTで生産性が「約6割」上がるという現実 2023年、MITの研究チームは453名の専門職を対象に、ChatGPTの有無が業務生産性に与える影響を実験しました。結果は明確でした。 ChatGPTを使ったグループは、文書作成にかかる時間が平均27分から17分に短縮（約37%削減）。さらに、1日に作成できる成果物の量は約59%増加した。加えて、専門家が評価した成果物の「質」も平均約18%高かった。 出典：MIT（マサチューセッツ工科大学）「Expe

「IT担当者がいないから、困っている」 この悩みを抱えている経営者は、実は非常に多いです。 トラブルが起きても誰に聞けばいいかわからない。 新しいツールを導入したくても判断できない。 セキュリティが心配だけど、何をすればいいかわからない——。 そこで「IT担当者を採用しよう」と考える経営者の方も多いのですが、実際に求人を出そうとして驚く現実があります。 採用にかかる費用が、100万円以上になるのです。 ITエンジニアの採用、実際いくらかかるのか マイナビの「中途採用状況調査2024年版」によると、IT・通信・インターネット業界の平均採用コストは年間574万円以上にのぼります。採用手法別に1人あたりの費用を見ると、次のようになります。 採用手法 1人あたりの費用相場 人材紹介エージェント 約 454 万円 求人広告（転職サイト） 約 274 万円 ダイレクトリクルーティング 約 253 万円 合同企業説明会 約 166 万円 出典：マイナビ「中途採用状況調査2024年版」 これはあくまで「採用できたとき」の費用です。 採用できなかった場合でも、求人

「ITツールを入れたのに、なぜか業務が楽にならない」 そんな声を、経営者の方からよく耳にします。 クラウドサービスを導入した、勤怠管理システムを入れた、チャットツールを使い始めた。 でも、現場は相変わらずExcelと紙が中心——。 これは、決して珍しいことではありません。 ITツールの導入プロジェクトのうち、 約70%が期待した成果を得られていない といわれています。「導入した＝成功」ではないのです。 では、成功した会社と失敗した会社の間には、いったい何の違いがあるのでしょうか。 失敗する会社に共通する「3つのパターン」 多くの失敗事例を分析すると、IT導入がうまくいかない会社には明確な共通点があります。 パターン① 「とりあえずDX」で目的が曖昧なまま導入する 失敗の原因として最も多いのが「明確な目標設定の欠如」で、全体の約32%を占めています。「国が補助金を出しているから」「周りの会社が導入しているから」という理由で、何のために入れるのかが曖昧なまま進んでしまうケースです。 具体的なKPIを設定していない企業のIT導入成功率はわずか23%（帝

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows

「御社から不審なメールが届いているのですが……」 ある日突然、大切な取引先からかかってくる一本の電話。 もし、それがサイバー攻撃や情報漏洩の合図だとしたら。 その瞬間、あなたの頭に浮かぶのは「うちは対策していたはずなのに、なぜ？」という戸惑いかもしれません。しかし、パニックに陥っている現場や、報告を待つ取引先から突きつけられるのは、もっと切実な問いです。 「何が起きたのか、説明してください」 このとき、自信を持って答えられる準備ができているでしょうか。 「守っている」から「説明できる」への転換 多くの中小企業では、すでに最低限のセキュリティ対策は行われています。 ウイルス対策ソフトは入れている UTM（境界防御）も設置した クラウドサービスを使っているから安心だ もちろん、これらは重要です。 しかし、どれほど高い壁を作っても、100%防げる保証はありません。 事故が起きたとき、本当に必要なのは「対策はしていました」という言い訳ではなく、 「事実を裏付ける証拠」 です。 いつ、侵入されたのか？ どのパソコンが原因なのか？ 誰が、どのデータに触れたの

経産省の「セキュリティ対策評価制度」という言葉を聞いて、 多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 何だか難しそう 高度なセキュリティ対策が必要そう 専門のIT担当がいないと無理そう ですが、最初にお伝えしておきたいことがあります。 この制度は、セキュリティを“強化させる”ための制度ではありません。 この制度が見ているのは「技術」ではない 誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 最新のセキュリティ製品を使っているか 高度な防御ができているか ではありません。 評価されるのは、もっと基本的な部分です。 誰が判断するのか決まっているか 何を守るべきか整理されているか 事故が起きたとき、最低限どう動くか考えられているか つまり、 「ITやセキュリティを、経営として扱えているか」 が問われています。 なぜ「評価制度」という形を取っているのか この制度の背景には、はっきりした目的があります。 それは、 中小企業に“高度な対策”を求めることではなく、 取引先が安心して仕事を任せられる最低ラインを示

生成AIが「怖い」と感じた経験、ありませんか？ 最近、生成AIを使っていて、 「え、そんな情報どこから出てきたの？」 「本当に正しいの？」 と、少しゾッとした経験をした、という声を聞くことがあります。 便利で賢く見えるからこそ、 生成AIに騙されたと感じたり、何か意思を持っている存在のように感じたりしてしまう 。 今日は、そんな不安が生まれる理由を、ITの実務視点で分解してみます。 生成AIは「調べる道具」ではありません まず大前提として、生成AIと検索はまったく違います。 検索： すでに存在する情報を探して表示する 生成AI：入力された文章の流れから、 次に来そうな言葉を予測しながら文章を作る 生成AIの中では、「その情報が正しいかどうか」ではなく、 「文章として自然につながるかどうか」が基準になっています。 大量の文章を学習した結果、 この言葉の次には、どんな言葉が来やすいか この質問には、どんな構成の答えが「それっぽい」か を確率的に選び続けて、文章を完成させています。 つまり生成AIは、何かを調べに行っているわけではなく、 知っていそうな

「ITには、できるだけお金をかけたくない」 中小企業の経営者として、とても自然な感覚だと思います。 実際、 ・大きなトラブルは起きていない ・何とか回っている ・今すぐ困っているわけではない そう感じている会社も多いはずです。 ただ一方で、 ITにお金をかけないことで、気づかないうちに“失っているモノ”がある というケースも、現場ではよく見かけます。 今回は、その代表的なものを3つ紹介します。 ① 静かに削られていく「時間」 ITにお金をかけない会社で、最も失われやすいのが 人の時間 です。 ・PCの動作が遅い ・ちょっとした不具合が頻発する ・トラブルが起きるたびに調べる ・詳しい人を探して声をかける 1回1回は数分、数十分でも、それが毎日・何人分も積み重なると、かなりの時間になります。 社員の時間だけではありません。 「これ、どうなってる？」と経営者が確認に入る時間も増えていきます。 ITにお金をかけていないつもりでも、 実際には“人の時間”という形で支払い続けている 状態です。 ② トラブル時に失う「選択肢」 もう一つ、見えにくいのが 選択

「セキュリティ対策は大事だと分かっているけど、正直、どこまでやればいいのか分からない…」 IT担当がいない中小企業の経営者から、よく聞く悩みです。 ネットや営業の話を聞いていると、「これも必要」「あれも危険」と不安ばかりが増えてしまい、結果として 何も手を付けられない というケースも少なくありません。 でも実は、 IT担当がいない会社だからこそ「やらなくていいIT対策」もあります。 今回は、現場を見てきた立場から、「優先度が低い」「今は手を出さなくていい」IT対策を整理します。 ① いきなり高額なセキュリティ製品を入れること 「とりあえず有名なセキュリティ製品を入れておけば安心」 これは、よくある誤解です。 高額な製品を導入しても、 設定が初期状態のまま 誰も管理していない アラートが出ても気づかない この状態では、 ほとんど意味がありません。 IT担当がいない会社にとって重要なのは、 使い切れること 管理できること 日常業務に負担をかけないこと 製品選びよりも、 「今の運用に合っているか？」を考える方が先です。 ② 完璧なルール・細かすぎるI

「IT担当がいないから、全部外注してしまってもいいのだろうか？」 中小企業の経営者から、よく聞く悩みです。 ITは専門性が高く、社内に詳しい人がいないと「何が正解か分からない」「判断できない」そんな状態になりがちです。 一方で、 「全部外注するとコストが不安」 「丸投げして大丈夫なのか心配」 「どこまで任せて、どこを社内でやるべきか分からない」という声も多く聞きます。 結論から言うと、 ITは“全部外注”でも“全部内製”でもなく、役割分担が大切 です。 ① 外注していいIT業務・しないほうがいいIT業務 まず整理したいのは、「外注に向いているIT業務」と「社内で判断すべきIT業務」は違う、という点です。 外注して問題ない（むしろ外注したほうが良い）業務 ネットワークやWi-Fiの設計・設定 クラウド（Microsoft 365 / Google Workspace）の初期設定 セキュリティ対策の設計・導入 バックアップ環境の構築 PC・アカウントの初期設定 トラブル時の調査・復旧対応 これらは専門性が高く、社内で無理に抱えると 時間もリスクも増え

「パソコンが動かないんだけど…」 「メールが送れないんだけど…」 社内でITトラブルが起きたとき、 決まって同じ人に聞いていませんか？ 中小企業ではよくある光景です。 IT担当がいない会社ほど、「詳しそうな人」「昔設定した人」「若いから分かりそうな人」に自然と質問が集中していきます。 しかしこの状態、実は 会社にとってかなり危険 です。 なぜ、同じ人にITトラブルが集中するのか？ 理由はとてもシンプルです。 正式なIT担当が決まっていない マニュアルやルールがない 「とりあえず分かる人に聞けばいい」文化になっている その結果、 本来の業務を中断して対応している 対応内容がその人の頭の中にしか残らない その人が休むと誰も対応できない という状態が生まれます。 最初は善意で対応していたはずが、いつの間にか その人だけが抱え込む構造 になってしまいます。 「詳しい人がいるから大丈夫」は危険な勘違い 経営者の方から、よくこんな言葉を聞きます。 「うちは詳しい人が一人いるから、何とかなっている」 短期的には、その通りかもしれません。 しかし、長期的に見ると

「IT担当がいない…何から手をつければいいの？」 そんな不安を抱えながら、日々の業務を何とか回している中小企業は少なくありません。 実際、八王子・多摩地域でも「ITの相談をできる人が社内にいない」 「担当者が退職してしまった」「そもそもITの管理方法が分からない」 といった声をよく耳にします。 ですが安心してください。 IT担当がいなくても、最初にやるべきことはシンプルな3つだけ。 今日からすぐに取り組めて、会社のITリスクを確実に下げる方法です。 ① アカウントの確認──“誰が何を使っているか”を見える化する 最初のステップはとても基本的ですが、ほとんどの企業で整理されていないポイントです。 社員は何のアカウントを使っている？ メール・クラウド・勤怠・会計など、サービスの一覧はある？ 退職者のアカウントは残っていない？ アカウントが整理されていないと、 退職者が今もログインできる状況 や 誰が何にアクセスできるのか不明な状態 が放置され、重大な事故につながりやすくなります。 まずは紙でもExcelでも大丈夫。 「会社で使っているサービス」と「