先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows

「御社から不審なメールが届いているのですが……」 ある日突然、大切な取引先からかかってくる一本の電話。 もし、それがサイバー攻撃や情報漏洩の合図だとしたら。 その瞬間、あなたの頭に浮かぶのは「うちは対策していたはずなのに、なぜ？」という戸惑いかもしれません。しかし、パニックに陥っている現場や、報告を待つ取引先から突きつけられるのは、もっと切実な問いです。 「何が起きたのか、説明してください」 このとき、自信を持って答えられる準備ができているでしょうか。 「守っている」から「説明できる」への転換 多くの中小企業では、すでに最低限のセキュリティ対策は行われています。 ウイルス対策ソフトは入れている UTM（境界防御）も設置した クラウドサービスを使っているから安心だ もちろん、これらは重要です。 しかし、どれほど高い壁を作っても、100%防げる保証はありません。 事故が起きたとき、本当に必要なのは「対策はしていました」という言い訳ではなく、 「事実を裏付ける証拠」 です。 いつ、侵入されたのか？ どのパソコンが原因なのか？ 誰が、どのデータに触れたの

日々の業務の中で、「パソコンの動きがいつもと違う」「ウイルス感染かも？」といった不安に直面することはあります。 そんな時、思わず とりあえず再起動 ウイルススキャンをすぐに実行 故障だと思って初期化 といった対応をしてしまいがちです。 しかし、こうした行動が その後の調査や対応を難しくすること があるのをご存じでしょうか？ 証拠保全って何？ 証拠保全とは、 後から「何が起きたのか」を確認できるように、 パソコンやログの状態をできるだけ変えずに残すこと 不正アクセスや被害の調査では、 いつ／どこから／どのアカウントで／何が行われたか という情報が、 ログやシステムの状態として残っています 。 再起動や初期化は、これらの“手がかり”を消してしまう可能性があります。 フォレンジック調査って何？ ここで出てくる専門用語に 「 フォレンジック調査」  という言葉があります。 「何のこと？」と思われる経営者の方もいるでしょう。 フォレンジック調査とは、 専門家が“デジタルの証拠”をもとに 何が起きたのかを客観的に調べる調査のことです。 イメージとしては、IT

生成AIが「怖い」と感じた経験、ありませんか？ 最近、生成AIを使っていて、 「え、そんな情報どこから出てきたの？」 「本当に正しいの？」 と、少しゾッとした経験をした、という声を聞くことがあります。 便利で賢く見えるからこそ、 生成AIに騙されたと感じたり、何か意思を持っている存在のように感じたりしてしまう 。 今日は、そんな不安が生まれる理由を、ITの実務視点で分解してみます。 生成AIは「調べる道具」ではありません まず大前提として、生成AIと検索はまったく違います。 検索： すでに存在する情報を探して表示する 生成AI：入力された文章の流れから、 次に来そうな言葉を予測しながら文章を作る 生成AIの中では、「その情報が正しいかどうか」ではなく、 「文章として自然につながるかどうか」が基準になっています。 大量の文章を学習した結果、 この言葉の次には、どんな言葉が来やすいか この質問には、どんな構成の答えが「それっぽい」か を確率的に選び続けて、文章を完成させています。 つまり生成AIは、何かを調べに行っているわけではなく、 知っていそうな

「ITには、できるだけお金をかけたくない」 中小企業の経営者として、とても自然な感覚だと思います。 実際、 ・大きなトラブルは起きていない ・何とか回っている ・今すぐ困っているわけではない そう感じている会社も多いはずです。 ただ一方で、 ITにお金をかけないことで、気づかないうちに“失っているモノ”がある というケースも、現場ではよく見かけます。 今回は、その代表的なものを3つ紹介します。 ① 静かに削られていく「時間」 ITにお金をかけない会社で、最も失われやすいのが 人の時間 です。 ・PCの動作が遅い ・ちょっとした不具合が頻発する ・トラブルが起きるたびに調べる ・詳しい人を探して声をかける 1回1回は数分、数十分でも、それが毎日・何人分も積み重なると、かなりの時間になります。 社員の時間だけではありません。 「これ、どうなってる？」と経営者が確認に入る時間も増えていきます。 ITにお金をかけていないつもりでも、 実際には“人の時間”という形で支払い続けている 状態です。 ② トラブル時に失う「選択肢」 もう一つ、見えにくいのが 選択

「セキュリティ対策は大事だと分かっているけど、正直、どこまでやればいいのか分からない…」 IT担当がいない中小企業の経営者から、よく聞く悩みです。 ネットや営業の話を聞いていると、「これも必要」「あれも危険」と不安ばかりが増えてしまい、結果として 何も手を付けられない  というケースも少なくありません。 でも実は、 IT担当がいない会社だからこそ「やらなくていいIT対策」もあります。 今回は、現場を見てきた立場から、「優先度が低い」「今は手を出さなくていい」IT対策を整理します。 ① いきなり高額なセキュリティ製品を入れること 「とりあえず有名なセキュリティ製品を入れておけば安心」 これは、よくある誤解です。 高額な製品を導入しても、 設定が初期状態のまま 誰も管理していない アラートが出ても気づかない この状態では、 ほとんど意味がありません。 IT担当がいない会社にとって重要なのは、 使い切れること 管理できること 日常業務に負担をかけないこと 製品選びよりも、 「今の運用に合っているか？」を考える方が先です。 ② 完璧なルール・細かすぎるI

「IT担当がいないから、全部外注してしまってもいいのだろうか？」 中小企業の経営者から、よく聞く悩みです。 ITは専門性が高く、社内に詳しい人がいないと「何が正解か分からない」「判断できない」そんな状態になりがちです。 一方で、 「全部外注するとコストが不安」 「丸投げして大丈夫なのか心配」 「どこまで任せて、どこを社内でやるべきか分からない」という声も多く聞きます。 結論から言うと、 ITは“全部外注”でも“全部内製”でもなく、役割分担が大切 です。 ① 外注していいIT業務・しないほうがいいIT業務 まず整理したいのは、「外注に向いているIT業務」と「社内で判断すべきIT業務」は違う、という点です。 外注して問題ない（むしろ外注したほうが良い）業務 ネットワークやWi-Fiの設計・設定 クラウド（Microsoft 365 / Google Workspace）の初期設定 セキュリティ対策の設計・導入 バックアップ環境の構築 PC・アカウントの初期設定 トラブル時の調査・復旧対応 これらは専門性が高く、社内で無理に抱えると 時間もリスクも増え