会社のノートパソコンを自宅に持ち帰って仕事をする。 今では、それほど珍しいことではありません。 在宅勤務、出張前後の作業、急ぎの資料修正、休日明けの準備など、業務上どうしても必要になる場面もあります。 一方で、社用PCの持ち帰りには、情報漏えい、紛失、盗難、不正アクセス、私物機器との混同など、さまざまなリスクがあります。 特に中小企業では、 「なんとなく持ち帰っている」 「上司が許可しているから大丈夫」 「特にルールはないが、各自で気をつけている」 という状態になっていることも少なくありません。 しかし、社員の注意力だけに任せる運用には限界があります。 大切なのは、社用PCの持ち帰りを一律に禁止することではなく、会社として最低限のルールを決めておくことです。 今回は、中小企業が社用PCの持ち帰りについて最低限決めておきたい7つの項目を整理します。 1. 誰が、どのような場合に持ち帰ってよいのか 最初に決めるべきなのは、社用PCを持ち帰ってよい条件です。 よくないのは、「必要なら各自の判断で持ち帰ってよい」という曖昧な状態です。...

2026年6月10日（水）オープンイノベーションフィールド多摩 八王子館にて、中小企業向けセキュリティセミナー「大企業の信頼を勝ち取る SCS評価入門」に登壇しました。 今回のセミナーでは、2026年度末頃の開始が予定されているSCS評価制度の概要を中心に、中小企業が今から整理しておきたいセキュリティ対策についてお話ししました。 特に、以下のような内容を、専門用語をできるだけ使わずに解説しました。 ・SCS評価制度とは何か ・中小企業にどのような影響があるのか ・SECURITY ACTIONとの関係 ・取引先に説明できる状態とは何か ・まず整えるべき基本対策 ・アカウント管理、多要素認証、バックアップ、退職者アカウント削除、社内ルールの重要性 セキュリティ対策は、大企業だけの話ではありません。 中小企業も、取引先・委託先・協力会社としてサプライチェーンの一部になっています。 そのため、これからは「セキュリティ対策をしているか」だけでなく、「何を、どこまで、どう管理しているか」を説明できることが重要になります。 ITワークラボでは、IT担当者がい

「怪しいメールは、見れば分かる」 以前は、そう考えていた方も多いかもしれません。 確かに、不自然な日本語、怪しい差出人、明らかにおかしなURLなど、分かりやすいフィッシングメールもあります。 しかし最近は、状況が変わってきています。 フィッシング対策協議会の月次報告によると、2026年3月のフィッシングサイトURL件数は69,936件。前月から52,863件増加し、約309.6%増となりました。フィッシング報告件数も122,381件に達しています。 引用元：https://www.antiphishing.jp/report/monthly/202603.html さらに2026年4月には、フィッシング報告件数が151,112件となり、前月比でさらに約23.5%増加しています。 つまり、フィッシングは「たまに届く怪しいメール」ではなく、日常的に大量発生するリスクになっています。 そして、ここで重要なのは、社員一人ひとりの見分ける力だけに頼るには、すでに限界があるということです。 フィッシングサイトURLが増えると、何が困るのか...

会社から貸与されたパソコンは、単なる作業道具ではありません。 顧客情報、見積書、請求書、社内資料、取引先とのメール、クラウドサービスへのログイン情報など、会社の大切な情報につながる入口です。 しかし、日常業務の中では、 「少しだけなら大丈夫」 「いつもやっているから問題ない」 「急ぎだから仕方ない」 という判断で、思わぬ情報漏えいやトラブルにつながることがあります。 特に中小企業では、専任のIT担当者がいなかったり、社用PCの使い方に関するルールが明文化されていなかったりすることも少なくありません。 今回は、会社のパソコンでやってはいけないことを7つに整理します。 1. 私用サイトや私的なサービスに使う 会社のパソコンで、業務に関係のないサイトを見たり、個人用のサービスにログインしたりするのは避けるべきです。 たとえば、私用のネットショッピング、個人のSNS、動画サイト、個人メール、オンラインゲーム、私的なクラウドサービスなどです。 問題は「サボっているように見える」という話だけではありません。 不審な広告をクリックしてしまう、個人アカウントと業

「差出人が知っている会社名だった」 「メールアドレスもそれっぽく見えた」 「いつも使っているサービスからの通知に見えた」 こうした理由で、メールを信用して開いてしまうことがあります。 しかし最近のフィッシングは、差出人名やメールアドレスが正しそうに見えても、安全とは言い切れません。 フィッシング対策協議会の2026年3月の月次報告では、調査用メールアドレスに届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレスやドメイン名を使った「なりすまし」フィッシングメールが約49.7％だったとされています。 引用元：https://www.antiphishing.jp/report/monthly/202603.html つまり、フィッシングメールの約半数は、「差出人が本物っぽく見える」可能性があるということです。 「差出人を確認しましょう」だけでは足りない フィッシング対策として、よく言われるのが「差出人を確認しましょう」という対策です。 もちろん、これは今でも大切です。 ただし、差出人の表示だけで判断するのは危険です。...

「怪しいメールを開いてしまったかもしれない」 そう感じたとき、多くの人がまず心配するのは、「開いただけでウイルスに感染したのではないか」ということです。もちろん、不審なメールには注意が必要です。 ただ、フィッシング詐欺で本当に怖いのは、メールを開いた瞬間よりも、その後に、 偽サイトにアクセスする IDやパスワードを入力する 認証コードを入力する ネットバンキングや決済サービスにログインしてしまう といった操作をしてしまうことです。 そして今、フィッシングは単なる「迷惑メール」では済まなくなっています。 警察庁の資料によると、令和7年のインターネットバンキングに係る不正送金事犯は4,747件、被害総額は約103億9,700万円。その手口の約9割がフィッシングとされています。 引用元：https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/info_security.html つまり、フィッシングはもはや、メールの問題ではなく、会社のお金の問題として考える必要があります。 フィッシングは「

2026年6月10日（水）、オープンイノベーションフィールド多摩 八王子館にて開催される中小企業向けセミナーに、ITワークラボとして登壇します。 テーマは「2026年度末制度スタート！大企業の信頼を勝ち取るSCS評価入門」です。 近年、サプライチェーン全体でのサイバーセキュリティ対策が重視されるようになり、中小企業においても「取引先に説明できるセキュリティ対策」が求められつつあります。 本セミナーでは、SCS評価制度の基本と、中小企業が今から取り組める最初の一歩について、わかりやすく解説します。 会場参加・オンライン参加のどちらも可能です。 ご関心のある方は、ぜひお申し込みください。 申込ページ： https://oif-tama.jp/hachioji/event/entry-34126.html 📖 あわせて読みたい 関連ページ IT・セキュリティ体制構築の支援内容は、「サービスページ」でご案内しています。 実際のご相談事例は、「導入事例」でもご紹介しています。 ITワークラボの考え方は、「ITワークラボについて」をご覧ください。

「うちはまだ大丈夫だと思う」 中小企業のセキュリティ相談を受けていると、本当によく聞く言葉です。 実際、多くの会社では、ウイルス対策ソフトを入れたり、怪しいメールに気をつけたり、できる範囲で対策をしています。 ただ、その一方で、こんな状態になっている会社も少なくありません。 パソコン管理はなんとなく詳しい社員任せ 退職者アカウントが残ったまま Wi-Fiの設定を誰も把握していない NASやルーターの更新時期が不明 「困ったら業者に聞く」以外の運用がない ここでいう“社員任せ”とは、各社員が悪いという意味ではありません。 会社として担当者やルールが決まっておらず、詳しい人・気づいた人・各社員の判断に頼っている状態のことです。 中小企業の約7割は、セキュリティを組織で管理できていない IPA（情報処理推進機構）の調査では、情報セキュリティ対策を組織的には行っていない中小企業が69.7%という結果が出ています。 つまり、約7割の中小企業では、セキュリティ対策が会社全体の仕組みとして管理されておらず、現場任せ・詳しい人任せになっている状態です。...

攻撃者が狙う意外な入口 「サイバー攻撃」と聞くと、何か特別な技術でシステムをこじ開けられるような場面を想像するかもしれません。 ですが、実際にはもっと地味で、もっと身近な入口が使われています。 それが、 正規のIDとパスワードで“普通にログインされる”攻撃 です。 CrowdStrikeは、日本で2022年に観測した侵入のうち 60%が有効なアカウントの悪用を含んでいた と報告しています。 つまり、攻撃者は必ずしも「壁を壊して入る」とは限りません。 合鍵を手に入れて、正面から入ってくる。 今の攻撃は、そう考えた方が実態に近い場面が増えています。 IPA（独立行政法人 情報処理推進機構）も、流出したID・パスワードや推測されたパスワードが悪用され、不正ログイン被害が増えていると注意喚起しています。 「侵入」ではなく「ログイン」とはどういうことか 昔ながらのサイバー攻撃のイメージは、外からシステムの弱点を突いて無理やり入り込むものです。もちろん今でも、脆弱性を突く攻撃はあります。 ただ最近はそれに加えて、 盗まれたIDとパスワードを使って、本人になり

フィッシングメールが届いたとき、「開いただけでも危ないのでは？」と不安になる方は少なくありません。 特に、会社のメールや個人のスマートフォンで怪しいメールを見つけると、慌ててしまいやすいものです。ですが、まず落ち着いて確認したいのは、 どこまで操作したか です。 IPA（独立行政法人 情報処理推進機構）では、フィッシングのメールやSMSは 開いただけでは被害は発生しない と案内しています。また、本文のURLを開いてしまった場合でも、その先で 情報を入力したり、アプリをインストールしたりしていなければ、基本的に被害は発生しない とされています。 つまり、怖いのは「受け取ったこと」そのものではなく、 その後の操作 です。 この記事では、 フィッシングメールとは何か 開いただけで何が起きるのか 本当に危ないのはどこからか 操作別にどう対処すればよいか を、中小企業の経営者やIT担当者が社内で案内しやすいように、できるだけ分かりやすく整理します。 フィッシングメールとは何か フィッシングとは、実在する企業やサービスを装って、利用者を偽サイトへ誘導し、ID

2025年の調査によると、 日本の消費者の71% が何らかの形でパスワードを再利用しており、世界平均の 68%を上回っている そうです。 「パスワードの使い回しは危ない」と聞くと、すべてのサービスで同じパスワードを使っている状態を思い浮かべるかもしれません。でも実際には、もっと身近な形の使い回しが多いようです。 今回の調査では、日本では「すべての個人アカウントで同じパスワードを使っている」人は13%でした。一方で、 少数のパスワードを複数のサービスで使い回している人が58% を占め、世界平均の51%より高くなっていました。 つまり、多くの人は「 全部同じではないから大丈夫 」と思いながら、実際には いくつかのパスワードを使いまわす危ない運用 をしている可能性があります。一見すると安全そうに感じるかもしれませんが、セキュリティの観点では、これも十分に危険です。 そしてこの問題は、個人の話だけで終わりません。社員の日常的なパスワードの習慣が、会社のメール、クラウドサービス、業務アカウントのリスクにつながることがあります。 この記事では、なぜパスワード

IPA情報セキュリティ安心相談窓口によると、2025年7月に寄せられた 不正ログインに関する相談は144件 で、これまでで最も多くなりました。 内容としては、InstagramやFacebookなどのサービスに不正ログインされ、 自分ではログインできなくなった という相談が多く寄せられています。 ここで大事なのは、これは「相談件数」だということです。つまり、実際に表面化して相談までつながったケースだけでも、かなり多いという見方ができます。 不正ログインは、大企業や有名人だけの話ではありません。 SNS、ショッピングサイト、ネットバンキング、クラウドサービスなど、日常的に使うサービスで起こりえます。 しかも厄介なのは、気づいたときにはすでに パスワードを変更されていた 登録メールアドレスや電話番号を変えられていた 多要素認証まで設定されていた という状態になっていることがある点です。 この記事では、IPAの注意喚起をもとに、 不正ログインはどんな手口で起きるのか 不正ログインの証拠とは何か 被害にあったとき、まず何をすべきか 日頃からどんな対策をし

——業種・規模に関係なく、「隙がある会社」が狙われる時代 「サイバー 攻撃 って、大企業の話でしょ？」 そう思っていた経営者の方に、ぜひ見てほしいデータがあります。 2025年1年間で、国内のセキュリティインシデントの公表件数は559件。 1日あたり約1.5件 のペースで、どこかの会社がサイバー攻撃の被害を発表し続けていた計算になります。 そして攻撃者の狙い方は変わってきました。 かつては「大企業を狙う」という傾向がありましたが、今は違います。 「侵入できる隙があれば、どこでも狙う」 ——業種も規模も関係ない時代に入っています。 1日1.5件——数字が示す「日常化」したリスク トレンドマイクロが公表した2025年の国内インシデント集計によると、年間559件のセキュリティインシデントが公表されました。これは2024年（622件）からわずかに減少しているものの、依然として高水準が続いています。 2025年1月〜12月の国内セキュリティインシデント 公表件数：559件（1日あたり約1.5件） 攻撃カテゴリ1位：不正アクセス　2位：ランサムウェア 出典：

取引先から 「 セキュリティ対策の状況を確認したい 」 と言われたとき、 何を整理すればよいのか どこまで準備すればよいのか 誰が対応すればよいのか で迷う中小企業は多いと思います。 そこで今回、 SCS評価制度（セキュリティ対策評価制度）への対応を求められたときに、 中小企業が最初にやる10項目 を、実務目線で整理したnote有料記事を公開しました。 この記事では、制度の難しい解説だけではなく、 使っている機器やクラウドの整理 管理者アカウントや権限の確認 外部委託先の整理 バックアップや更新確認 取引先に説明できる状態の整え方 など、 実際に手を動かすためのポイント をまとめています。 また、購入者向けの付録として、次の4点も用意しました。 初動チェックリスト 情報資産管理台帳（Excel） セキュリティ対応の役割分担 参考シート 取引先説明前の整理シート 「制度の話は気になるけれど、まず何から始めればいいか分からない」 という方の、最初の整理に使っていただける内容です。 現在、公開記念として 4月中は980円 で公開しています。 5月以

IPAから、「中小企業の情報セキュリティ対策ガイドライン 第4.0版」が公開されました。 今回の改訂は、単なる更新ではありません。ランサムウェア被害の深刻化、サプライチェーン全体での対策の必要性、人材不足といった現実を踏まえて、中小企業が取り組みやすい形へ見直されています。改訂版では、情報セキュリティ6か条、自社診断、SCS評価制度を踏まえた整理、人材確保・育成に関する付録などが盛り込まれています。 つまり今回の第4.0版は、難しい仕組みを増やしたというより、 今の中小企業に必要な対策を、より実務に近い形で整理したもの と考えると分かりやすいです。 この記事では、ガイドライン全体を細かく追うのではなく、 中小企業がまず見直したい3つのポイント に絞って整理します。 1. まず見直したいのは「バックアップ」 “取っている”ではなく、“戻せる”まで確認する 第4.0版で特に目立つ変化のひとつが、従来の「5か条」が「6か条」になったことです。 追加されたのは、 「バックアップを取ろう！」 です。本文でも、情報セキュリティ6か条の中にバックアップが

「うちは中小企業だから、サイバー攻撃なんて関係ない」 そう思っている経営者の方こそ、今回の記事を読んでほしいと思います。 ランサムウェアとは、パソコンやサーバー内のデータを暗号化し、「元に戻してほしければ身代金を払え」と要求するサイバー攻撃です。近年、その被害は急増しており、IPAが発表した「情報セキュリティ10大脅威 2025」では、組織部門で5年連続の第1位に選ばれています。 しかも、その被害は大企業だけの話ではありません。 最新データによると、被害を受けた組織のうち中小企業が半数以上を占めています。 そして感染してしまった場合、復旧にかかる費用は想像をはるかに超えます。 復旧費用1,000万円以上が、約半数という現実 警察庁の調査によると、ランサムウェアの被害を受けた企業・団体のうち、調査や復旧にかかった費用が1,000万円以上に上ったケースは全体の約半数を占めています。 「それって大企業の話でしょ？」と感じる方もいるかもしれません。 ところが、中小企業の1社あたりの平均年間売上高（約2.1億円）に対して、1,000万円の復旧費用は年間売上

先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows

経産省の「セキュリティ対策評価制度」という言葉を聞いて、 多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 何だか難しそう 高度なセキュリティ対策が必要そう 専門のIT担当がいないと無理そう ですが、最初にお伝えしておきたいことがあります。 この制度は、セキュリティを“強化させる”ための制度ではありません。 この制度が見ているのは「技術」ではない 誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 最新のセキュリティ製品を使っているか 高度な防御ができているか ではありません。 評価されるのは、もっと基本的な部分です。 誰が判断するのか決まっているか 何を守るべきか整理されているか 事故が起きたとき、最低限どう動くか考えられているか つまり、 「ITやセキュリティを、経営として扱えているか」 が問われています。 なぜ「評価制度」という形を取っているのか この制度の背景には、はっきりした目的があります。 それは、 中小企業に“高度な対策”を求めることではなく、 取引先が安心して仕事を任せられる最低ラインを示

先日、ITワークラボの実務環境において、非常に巧妙なフィッシングメールを確認しました。 今回の攻撃は、単なる情報の窃取に留まらず、企業のセキュリティフィルタを回避して「個人のプライベート空間」へ侵入しようとする、極めて悪質な構造を持っています。 IT担当者および経営層が知っておくべき、その手口の裏側を解説します。 1. 実際の攻撃メールの構造分析 Google Workspace等の高度なメールフィルタリング環境下では、上図のように「赤い警告」が表示されます。しかし、このメールが恐ろしいのは、 悪意のあるURLや添付ファイルが直接含まれていない という点です。 攻撃のステップ 偽装 ： 信頼性の高いフリーメール（Hotmail等）を使用し、実在しそうな名称（ワークラボ等）を名乗る。 回避 ： 文面に「リンク」や「ファイル」を載せないことで、従来のアンチウイルスソフトの検知をすり抜ける。 誘導 ： 「業務調整」という口実で、監視の行き届かない LINE という外部プラットフォームへターゲットを移動させる。 2. なぜ「LINEグループのQRコー