「うちは中小企業だから、サイバー攻撃なんて関係ない」 そう思っている経営者の方こそ、今回の記事を読んでほしいと思います。 ランサムウェアとは、パソコンやサーバー内のデータを暗号化し、「元に戻してほしければ身代金を払え」と要求するサイバー攻撃です。近年、その被害は急増しており、IPAが発表した「情報セキュリティ10大脅威 2025」では、組織部門で5年連続の第1位に選ばれています。 しかも、その被害は大企業だけの話ではありません。 最新データによると、被害を受けた組織のうち中小企業が半数以上を占めています。 そして感染してしまった場合、復旧にかかる費用は想像をはるかに超えます。 復旧費用1,000万円以上が、約半数という現実 警察庁の調査によると、ランサムウェアの被害を受けた企業・団体のうち、調査や復旧にかかった費用が1,000万円以上に上ったケースは全体の約半数を占めています。 「それって大企業の話でしょ？」と感じる方もいるかもしれません。 ところが、中小企業の1社あたりの平均年間売上高（約2.1億円）に対して、1,000万円の復旧費用は年間売上

先日、「まずはここから。SECURITY ACTION一つ星で始めるセキュリティ対策」という記事を書きました。 一つ星は、言わば スタートライン です。 でも、本当に大切なのは、その先にあります。 一つ星のその後、どうなっていますか？ ウイルス対策ソフトは入れた OSアップデートは気をつけている パスワードも以前より意識している とても良いことです。 ただ、こんな状態になっていませんか？ 担当者しか分かっていない 社員によって対応がバラバラ ルールが頭の中にしかない これでは「対策しているつもり」になってしまいます。 二つ星の本質は「ルール化」 IPA （情報処理推進機構） が推進するSECURITY ACTIONの「二つ星」は、 情報セキュリティ基本方針の策定 社内ルールの明文化 継続的な見直し がポイントになります。 難しそうに見えますが、本質はとてもシンプルです。 セキュリティを人任せから「会社の仕組み」に変えること これが二つ星です。 「規程」と聞くと重く感じますが… よくある誤解があります。 「うちは中小企業だから、立派な規程なんて無理

「SECURITY ACTION」という言葉を聞いたことはあるけれど、 何をすればよいのか分からない―― そんな中小企業の方も多いのではないでしょうか。 SECURITY ACTIONは、IPA（情報処理推進機構）が提供している 中小企業向けの情報セキュリティ対策の自己宣言制度です。 そして、その最初の段階である「一つ星」は、 特別なツールや高度な技術がなくても、すぐに始められる内容になっています。 今回は、SECURITY ACTION一つ星で求められる 「情報セキュリティ5か条」を、実務の視点で解説します。 SECURITY ACTION一つ星の条件は 「情報セキュリティ5か条」 SECURITY ACTION一つ星は、 次の5つの基本対策に取り組むことを宣言することで取得できます。 一つずつ見ていきましょう。 ① OSやソフトウェアを最新の状態にする これは最も重要な対策です。 古いOSやソフトウェアは、 すでに知られている「弱点（脆弱性）」をそのまま放置している状態です。 実際の現場では、次のようなケースをよく見かけます。 Windows

経産省の「セキュリティ対策評価制度」という言葉を聞いて、 多くの中小企業の経営者や担当者は、こんな印象を持つのではないでしょうか。 何だか難しそう 高度なセキュリティ対策が必要そう 専門のIT担当がいないと無理そう ですが、最初にお伝えしておきたいことがあります。 この制度は、セキュリティを“強化させる”ための制度ではありません。 この制度が見ているのは「技術」ではない 誤解されがちですが、セキュリティ対策評価制度で主に見られているのは、 最新のセキュリティ製品を使っているか 高度な防御ができているか ではありません。 評価されるのは、もっと基本的な部分です。 誰が判断するのか決まっているか 何を守るべきか整理されているか 事故が起きたとき、最低限どう動くか考えられているか つまり、 「ITやセキュリティを、経営として扱えているか」 が問われています。 なぜ「評価制度」という形を取っているのか この制度の背景には、はっきりした目的があります。 それは、 中小企業に“高度な対策”を求めることではなく、 取引先が安心して仕事を任せられる最低ラインを示

先日、ITワークラボ実務環境において、非常に巧妙なフィッシングメールを確認しました。 今回の攻撃は、単なる情報の窃取に留まらず、企業のセキュリティフィルタを回避して「個人のプライベート空間」へ侵入しようとする、極めて悪質な構造を持っています。 IT担当者および経営層が知っておくべき、その手口の裏側を解説します。 1. 実際の攻撃メールの構造分析 Google Workspace等の高度なメールフィルタリング環境下では、上図のように「赤い警告」が表示されます。しかし、このメールが恐ろしいのは、 悪意のあるURLや添付ファイルが直接含まれていない という点です。 攻撃のステップ 偽装： 信頼性の高いフリーメール（Hotmail等）を使用し、実在しそうな名称（ワークラボ等）を名乗る。 回避：  文面に「リンク」や「ファイル」を載せないことで、従来のアンチウイルスソフトの検知をすり抜ける。 誘導：  「業務調整」という口実で、監視の行き届かない LINE という外部プラットフォームへターゲットを移動させる。 2. なぜ「LINEグループのQRコード」を要

「セキュリティ対策は大事だと分かっているけど、正直、どこまでやればいいのか分からない…」 IT担当がいない中小企業の経営者から、よく聞く悩みです。 ネットや営業の話を聞いていると、「これも必要」「あれも危険」と不安ばかりが増えてしまい、結果として 何も手を付けられない  というケースも少なくありません。 でも実は、 IT担当がいない会社だからこそ「やらなくていいIT対策」もあります。 今回は、現場を見てきた立場から、「優先度が低い」「今は手を出さなくていい」IT対策を整理します。 ① いきなり高額なセキュリティ製品を入れること 「とりあえず有名なセキュリティ製品を入れておけば安心」 これは、よくある誤解です。 高額な製品を導入しても、 設定が初期状態のまま 誰も管理していない アラートが出ても気づかない この状態では、 ほとんど意味がありません。 IT担当がいない会社にとって重要なのは、 使い切れること 管理できること 日常業務に負担をかけないこと 製品選びよりも、 「今の運用に合っているか？」を考える方が先です。 ② 完璧なルール・細かすぎるI

「IT担当がいない…何から手をつければいいの？」 そんな不安を抱えながら、日々の業務を何とか回している中小企業は少なくありません。 実際、八王子・多摩地域でも「ITの相談をできる人が社内にいない」 「担当者が退職してしまった」「そもそもITの管理方法が分からない」 といった声をよく耳にします。 ですが安心してください。 IT担当がいなくても、最初にやるべきことはシンプルな3つだけ。 今日からすぐに取り組めて、会社のITリスクを確実に下げる方法です。 ① アカウントの確認──“誰が何を使っているか”を見える化する 最初のステップはとても基本的ですが、ほとんどの企業で整理されていないポイントです。 社員は何のアカウントを使っている？ メール・クラウド・勤怠・会計など、サービスの一覧はある？ 退職者のアカウントは残っていない？ アカウントが整理されていないと、 退職者が今もログインできる状況  や 誰が何にアクセスできるのか不明な状態 が放置され、重大な事故につながりやすくなります。 まずは紙でもExcelでも大丈夫。 「会社で使っているサービス」と「

クラウドを導入すれば、データ共有や在宅勤務など、仕事のやり方が大きく変わります。 しかしその一方で、「便利そうだけど、少し不安…」という声も多く聞かれます。 「データを外に置いて本当に大丈夫なのか？」 「社員が増えたら管理しきれないのでは？」 実際、クラウド導入後にトラブルを経験する中小企業も少なくありません。 でも安心してください。リスクの多くは、 最初の準備と運用ルール次第で防げるもの です。 ① アカウントと権限の管理をあいまいにしない もっとも多いトラブルが、「誰が何にアクセスできるか」が曖昧な状態です。 退職した社員のアカウントが残っていたり、全員が同じ共有IDでログインしていたり── これでは、情報漏えいが起きても原因を特定できません。 クラウドを導入する際は、 社員ごとに個別アカウントを発行 アクセス権限（閲覧・編集・管理）を整理 退職・異動時の削除フローを決める この３点を最初に整えておくことが重要です。 “誰がどこまで見られるか”を明確にする だけで、リスクは大幅に減ります。 ② 無料プランや個人アカウントの利用は避ける 業務に

業務にも使っているスマホ、そのままで大丈夫？ メールの確認、チャットでのやり取り、写真の送付。 気づけば仕事でもスマートフォンを使うのが当たり前になりました。 しかしその便利さの裏で、スマホが「新しい情報漏えいの入口」になっていることをご存じでしょうか。 パソコンよりも個人利用の意識が強く、ロックをかけずに持ち歩いたり、SNSアプリから誤って送信したり──。そんな小さな油断が、企業の信用を揺るがすトラブルにつながることがあります。 ① 紛失・盗難による情報漏えい スマホは最も「持ち出しやすい端末」です。営業先や出張、通勤中など、どこでも持ち歩ける分、 紛失や盗難のリスク が常にあります。 スマホの中には、会社のメール、クラウドのデータ、取引先の連絡先など、 想像以上に多くの情報 が詰まっています。 もしロックがかかっていなければ、端末を拾った人がそのままアクセスできてしまう可能性も。 スマホは「名刺入れ」でもあり「書類棚」でもある。 その意識があるだけで、取り扱い方が変わります。 ② 私用アプリやSNS経由での誤送信 もう一つのリスクは、“私用ア

管理するだけでは不十分。次は「守る仕組み」を整える 端末の一覧をつくって「誰がどのパソコンを使っているか」が分かるようになったら、次に取り組むべきは その端末を安全に使うための設定と運用 です。 「管理している＝安全」ではありません。 大切なのは、 日々の使い方や設定を通じてトラブルを防ぐこと です。 ① ログインには必ずパスワードを設定する 意外と多いのが、ログイン時のパスワード未設定。「社内だから大丈夫」と思っていても、盗難・紛失・外部持ち出しのリスクは常にあります。 Windows・Macともに、必ず ログインパスワード またはPINコードを設定 10分以内に自動ロックがかかるように設定 USB接続や共有設定を「必要な人だけ」に制限 ログインパスワードは“面倒な作業”ではなく、“会社の入り口のカギ”です。 ② OSとセキュリティソフトは常に最新に保つ 多くのウイルス感染や脆弱性攻撃は、「古い状態のまま」が原因です。 特に、更新を止めているパソコンは“セキュリティホール”になりがちです。 チェックポイント： Windows Updateを自動

「うっかりクリック」で止まる会社 ある日、B社（従業員20名の小さな建設業）の営業担当が、取引先を名乗るメールを開きました。「請求書データを確認してください」という件名。何の疑いもなく添付ファイルをクリックした瞬間、画面が止まり、ファイルが開けなくなりました。 実は、添付されていたのは ランサムウェア感染を狙う偽装メール 。その日のうちに社内サーバーのデータが暗号化され、取引先にも同様のメールが送られてしまいました。 幸い早期に気づき、大事には至りませんでしたが、復旧には３日を要しました。 社員は「自分のせいで会社が止まった」と肩を落としました。 しかし、B社の社長は叱ることなく言いました。 「誰にでも起こりうること。だから、次に備えよう」 そこから、B社の“セキュリティ文化づくり”が始まりました。 ７割の攻撃は“人”から始まる サイバー攻撃というと、専門的な技術で突破されるようなイメージがありますが、 実際には 約７割が「人のミス」から始まっている と言われています。 メールの添付ファイルを不用意に開く USBやクラウドに無断でデータを保存する

「このパソコン、誰の？」から始まるトラブル ある中小企業で、社員が退職した後にパソコンが１台残りました。ところが、どの社員が使っていたのか分からず、パスワードも不明。ログインできないまま放置……。 似たような話、実は少なくありません。「うちは社員数も少ないから大丈夫」と思っていても、業務端末を明確に管理していない会社は意外と多いのです。 そして、トラブルや情報漏えいが起きたときに、 「誰のパソコンか分からない」＝対応できない という状況に陥ります。 ① 紛失・盗難時に追跡できない ノートパソコンやUSBメモリなど、持ち運びできる端末は便利ですが、「紛失したら誰のものか分からない」というのが最大の問題です。 社外での打ち合わせやリモートワーク中に紛失した場合、管理台帳がなければ、機器の特定すらできません。 また、個人情報や取引先データが保存されていた場合、報告や対策が遅れることで、信用にも大きな影響を与えます。 管理できていない＝責任を取れない。 端末管理は「トラブル後の行動」を決める準備でもあります。 ② 退職・異動時の端末が放置される 社員が退

「うちは狙われない」という誤解 「うちは有名企業でもないし、機密情報なんて持っていないから大丈夫」そう考えている中小企業の経営者は少なくありません。 しかし、最近ニュースになっている大手メーカーへのサイバー攻撃をきっかけに、多くの中小企業が“他人事ではない”現実に直面しています。 実は、攻撃の多くは 特定の企業を狙ったものではありません。 攻撃者は、インターネット上に存在するあらゆるシステムを自動でスキャンし、 「守りが弱い会社」から順に侵入していく のです。つまり、狙われるというより「見つかってしまう」時代です。 中小企業庁やIPA（情報処理推進機構）の調査でも、 被害企業の約7割が中小企業 というデータがあります。しかも、被害の内容は「業務停止」「顧客情報流出」「取引停止」など、会社の信頼を直撃するものばかり。 なぜ中小企業が狙われやすいのか？ サイバー犯罪者にとって、“中小企業は攻撃しやすい標的”です。その理由は単純で、「防御が弱い」から。 1. IT担当がいない、または兼務で後回しになっている 専任のセキュリティ担当者を置ける中小企業は多

「突然止まる」を防ぐには、日々の小さな整備から パソコンが急に動かなくなる、ネットがつながらない、ファイルが消えた──。 ITトラブルは、いつも“突然”やってきます。 でも実際は、多くのトラブルは「少し前に兆候が出ていた」ものです。 たとえば、動作が重い・更新を後回しにした・バックアップをしていなかった。 トラブルを完全にゼロにするのは難しくても、「慌てずに対応できる会社」は 日常的な点検と仕組みづくり ができています。 ① パソコンやソフトを最新の状態に保つ 意外と後回しにされがちなのが、更新（アップデート）です。 WindowsやmacOSのアップデート セキュリティソフトの定義更新 アプリケーション（Office・ブラウザなど）の更新 これらを定期的に行うことで、不具合の予防やウイルス感染の防止につながります。 「忙しいから、あとでやる」は危険信号。 更新がたまるほど、動作が不安定になりやすくなります。 ② データのバックアップを自動化する 突然のトラブルで一番困るのは、「データが消えた」ことです。 手動でコピーする方法もありますが、おすす

「同じアカウントでいいじゃない？」から始まるリスク パソコンを使う社員が数人。 「全員で同じユーザーを使えば、設定もラクで早い」──そう思っていませんか？ あるいは、GoogleやDropboxの共有用アカウントを１つ作り、「みんなこのパスワードでログインしてね」と運用している企業も多いはずです。 一見、手間もコストもかからず便利。 しかし、この“共用アカウント”こそが、 中小企業で最も多いセキュリティリスク のひとつです。 共用アカウントで起きがちな３つのトラブル ① 誰が何をしたのか分からない ファイルが削除されても、「誰が消したのか」が分かりません。 誤操作なのか、意図的なのか、確認できないまま時間だけが過ぎます。 トラブル対応では「証拠」が何より大切ですが、 共用アカウントでは 操作ログが“全員の行動”として記録される ため、追跡できません。 ② 退職・異動後の“抜け漏れ” 社員が退職したあとも、そのアカウントが生きているケース。 クラウドにアクセスできるパスワードを知っていれば、退職後でもデータの閲覧・ダウンロードが可能です。...

AIを使う会社は、もう特別ではない ChatGPTをはじめとするAIツールは、すでに多くの企業で活用されています。 文章作成、企画のアイデア出し、議事録のまとめなど── 少人数の会社でも、 うまく使えば「もう一人の社員」が増えたような効果 があります。 それでも、「情報漏洩が怖い」「よく分からない」と感じている方は多いかもしれません。 でも安心してください。AIは正しく使えば、 怖い存在ではなく“頼れる相棒” になります。 この記事では、中小企業でも無理なく始められる、安全で実践的な使い方を紹介します。 ChatGPTでできること ChatGPTは「質問に答えるだけのツール」ではありません。 ちょっとした相談相手、文章の整理役、アイデアを出すパートナーとして活躍します。 たとえば── メールやお知らせ文の下書きをつくる 会議メモや議事録を整理する 社内マニュアルや手順書のたたき台をつくる SNSやブログの投稿文を考える お客様向けの案内文を丁寧な言葉に言い換える どれも「ゼロから考える」よりも早く、「自分で直す」だけで完成します。 つまり、...

「まさか自分が」と思った瞬間に、仕事は止まる 金曜の夕方、A社の経理担当が月末処理をしている最中、突然パソコンがフリーズした。 再起動しても、黒い画面にエラーメッセージが表示されるだけ。 外部の修理業者に依頼したが、戻ってきた言葉はこうだった。 「ハードディスクが故障しています。データの復旧は難しいです。」 数年分の請求書・顧客情報・帳票データが消え、再発行作業で1週間業務が止まった。 「クラウドに入れておけば…」「外付けにコピーしておけば…」と後悔しても、もう遅い。 バックアップは“もしも”ではなく、“いつものこと”として備える時代です。 よくある「データ消失」３つの原因 ハードディスクの故障（物理的トラブル） PCのHDDやSSDは、平均寿命が3〜5年。突然の故障は珍しくありません。 人為的ミス（削除・上書き・共有設定ミス） 「うっかり消した」「共有フォルダに上書きした」──これが最も多い原因。 サイバー攻撃・ウイルス感染 ランサムウェアによる暗号化や、不正アクセスでのデータ改ざんなど。 どれも「予兆なし」に起きるのが厄介です。 だからこそ、