サイバーセキュリティ
最終更新:

中小企業のセキュリティ完全ガイド|最低限行うべき15項目

「セキュリティ対策が必要なのは分かっているが、何から始めればいい?」──そんな中小企業のためのサイバーセキュリティまとめ記事。経営層がよくやる3つの誤策、優先度Top3/後回しTop3、BCPを織り込んだ15項目チェックリスト、SCS評価制度対応、補助金まで、現役情シス10年・中小企業診断士の経験をもとに一次情報を織り込んで一気通貫で整理しました。

ご相談:「セキュリティ対策が必要なのは分かっている。でも何から、どこまでやればいいのか分からない。BCPまで含めるとやることが多すぎて、結局どれも進まない」

中小企業のIT担当者・ひとり情シス・経営者の最も多い悩み事ですね。2026年現在、中小企業を狙ったサイバー攻撃は年々深刻化し、IPAの「情報セキュリティ10大脅威」ではサプライチェーン攻撃が常時上位。「うちは小さいから狙われない」という時代は完全に終わりました。

私自身、社会インフラ系企業(従業員約5,000名)の情報システム部に10年勤務し、セキュリティ施策の設計・運用・教育に携わってきました。NISC CSF(重要インフラ向けサイバーセキュリティ・フレームワーク)のチェックリスト対応、フィッシング訓練、社員のメール業務情報持ち出し事案への対応など、現場の生々しい体験を踏まえています。中小企業の支援として大事だと思うのが、セキュリティは「項目を増やす」のではなく「最低限15項目に厳選し、そこにBCPまで織り込む」のが最も実効性が高いということです。

本記事は、profectus-noteが扱う「セキュリティ・BCP」のまとめ記事として、予算ゼロ(または最小限)で実行可能なセキュリティ15項目を、優先度Top3/後回しTop3、BCP要素の織り込み方、経営層が刺さる稟議の組み立てまで一気通貫で整理しました。施策は 15項目に厳選してあります。

各論は以下もあわせて参照してみてください。

想定読者

  • 中小企業のIT担当者・ひとり情シスで、セキュリティ対策の優先順位を知りたい方
  • 「最低限これだけはやるべき」を明確にしたい経営者・管理職の方
  • BCP(事業継続計画)まで含めて段階的に整備したい方
  • SCS評価制度への対応準備を始めたい方

この記事で得られること

  • 経営層がやりがちな3つの誤策を、具体的な失敗パターンとして避けられる
  • 優先度Top3/後回しTop3で「まず何から手を付けるか」が判断できる
  • 予算ゼロでも実行可能なセキュリティ15項目(チェックリスト形式)
  • ③バックアップ・⑫インシデント対応にBCP要素(RTO/RPO・緊急連絡網・机上演習)を統合した実装イメージ
  • SCS評価制度★3との対応マッピング・経営層に刺さる稟議の組み立て方

本記事の信頼性

  • 大手SIerで複数社のITコンサル・システム開発案件に従事(NTTデータでSE・コンサル4年)
  • 現在、社会インフラ系企業の情報システム部で社内SEとして10年勤務(NISC CSFチェックリスト対応経験あり)
  • 中小企業診断士として、セキュリティ対策・AI導入・DX推進を中心に中小企業を支援

目次

  1. なぜ中小企業のサイバーセキュリティが「最優先」なのか
  2. 経営層がよくやる3つの誤策
  3. 15のセキュリティ対策 全体マップ+優先度Top3/後回しTop3
  4. 🔴 最優先(今日やるべき5つ)
  5. 🟡 重要(1ヶ月以内にやるべき5つ)
  6. 🟢 推奨(3ヶ月以内にやるべき5つ)
  7. SCS評価制度★3との対応マッピング
  8. 業種別ユースケース5選
  9. 失敗を避けるための7つの勘所
  10. 活用できる補助金・支援制度(2026年度版)
  11. よくある質問(FAQ)
  12. 【まとめ】15の対策チェックリスト

1. なぜ中小企業のサイバーセキュリティが「最優先」なのか

サプライチェーン攻撃の増加

2025年には、大手飲料メーカーへのランサムウェア攻撃で商品の受注・出荷が停滞し、コンビニチェーンや外食チェーンなど複数の取引先に影響が波及しました。また、大手通販サイトでは委託先のMFA設定不備が原因で被害が発生しています。

攻撃者は、セキュリティの強固な大企業を直接狙うのではなく、防御の手薄な中小企業を踏み台にして大企業に侵入する手法を多用しています。つまり、中小企業のセキュリティの弱さが、取引先全体を危険にさらすのです。私が現職で対応した政府のセキュリティチェックリスト(NISC CSF)の対応も、社会インフラ企業のサプライチェーンを狙った攻撃が増えていることが背景にあります。

SCS評価制度の開始

2026年度末にSCS評価制度(サプライチェーン・サイバーセキュリティ評価制度) の運用が予定されています。取引先に対して「★3(Basic)」以上の対応を求めるサプライチェーンの企業も出てきており、中小企業も最低限のセキュリティ対策を「証明できる」状態にしておく必要があります。

予算がなくてもできる対策がある

セキュリティ対策というと高額な機器やソフトウェアの導入を想像しがちですが、最も効果の高い対策の多くは「設定変更」や「運用ルールの見直し」で実現できます。つまり、予算ゼロでも始められるのです。本記事の15項目のうち、12項目は予算ゼロで実行可能です。

2. 中小企業がよくやる3つの誤策

セキュリティ対策に踏み出そうとする中小企業が踏みがちな3つの誤策を、私が現職で実際に見てきた事例ベースで共有します。先回りして避けてください。

誤策① 「うちは小さいから狙われない」と過小評価する

最も多い誤解です。中小企業の経営者からよく聞く「うちは小さいから狙われない」「セキュリティはコスト」というフレーズ。これは今や完全に時代遅れの認識です。

最近は、企業の大小を問わず、サプライチェーンの企業が標的になりつつあり、万が一、中小企業がセキュリティ攻撃を受けると、事業存続の危機になります。さらに、攻撃の対応に要する費用に加えて、攻撃を受けたことによるブランドイメージの失墜により、将来的な機会損失はセキュリティ対応費用の倍以上が想定されます。

セキュリティ事故の被害額は中小企業でも数百万〜数千万円規模で発生し、ランサムウェアでは事業停止が数日〜数週間に及ぶケースも出ています。**「対策しないことが最大のコスト」**です。

誤策② 個別施策を断片的に予算化する

2つ目が、個別の対策を1つずつ断片的に経営層に説明・予算化してしまうパターンです。「MFAライセンスが必要」「EDRを買いたい」「UTMを更新したい」と単発で稟議を出していくと、経営層は判断材料を持てません。個別施策のみの説明だと、経営層も判断できないというのが、私が稟議で痛感した教訓です。

正しい順序は、「全体のセキュリティ対策・対応方針」を最初に示し、その中で個別施策の位置づけと優先度を説明すること。本記事の15項目を「全体マップ」として経営層に提示し、その上で個別施策の予算を組むのが、最も通りやすい構造です。

加えて、セキュリティ対策予算は必ず一覧化して投資総額を把握し、世の中の潮流・同業他社のセキュリティ事案・対策状況をセットで説明する。これにより比較基準ができ、経営層が判断しやすくなります

誤策③ 「対応マニュアルだけ作って訓練しない」

3つ目が、インシデント対応マニュアル・BCPを「作って終わり」にするパターンです。マニュアルは運用されない限り、有事には機能しません。

私が現職で実体験したのは、内製したシステムが運用前にプログラム・データを消失する事故です。原因は設定ミスで、復旧に1週間かかりました。事前にバックアップ操作・復元操作の確認をしておくべきでした。これは机上演習・訓練をやっていなかったことが露呈した瞬間でした。

訓練として強くお勧めしたいのがブラインド訓練(訓練シナリオを参加者に知らせず、実際の有事に近い情報を作り出して訓練を実施する形式)です。シナリオを知っていれば全員がうまく動けるのは当然で、知らない状態で動けて初めて訓練の意味があります。インシデント対応計画とBCPは、ブラインド訓練込みで初めて成立すると考えてください。

flowchart TD
    A["🚫 誤策①:『うちは小さいから狙われない』<br>→ サプライチェーン経由で標的に/対応費用+ブランド失墜で倍以上の損失"]
    B["🚫 誤策②:個別施策を断片的に予算化<br>→ 経営層が判断できない/全体方針の不在"]
    C["🚫 誤策③:対応マニュアルだけ作って訓練しない<br>→ 私の現職での1週間復旧事故/知らない状態で動けるかが本質"]
    D["💡 共通する欠陥<br>『全体方針』『投資の総額把握』『訓練による検証』が抜けている"]

    A --> D
    B --> D
    C --> D

    style A fill:#9B2C2C,stroke:#6B1D1D,color:#FFFFFF
    style B fill:#9B2C2C,stroke:#6B1D1D,color:#FFFFFF
    style C fill:#9B2C2C,stroke:#6B1D1D,color:#FFFFFF
    style D fill:#B7791F,stroke:#8B5E14,color:#FFFFFF

3つの誤策に共通する欠陥は、「全体方針」「投資の総額把握」「訓練による検証」の3点が抜けていることです。次章以降の15項目は、この3点を前提に組んでいます。

3. 15のセキュリティ対策 全体マップ+優先度Top3/後回しTop3

15の対策を優先度別に3つのカテゴリに分類しました。

No.区分(各5項目)対策
🔴 最優先・今日やるべきMFA(多要素認証)の導入
🔴 最優先・今日やるべきOS・ソフトウェアのアップデート自動化
🔴 最優先・今日やるべきバックアップ 3-2-1ルール/RTO・RPO/復元手順の事前作成
🔴 最優先・今日やるべき退職者アカウントの無効化・削除
🔴 最優先・今日やるべき管理者パスワードの変更・強化
🟡 重要・1ヶ月以内ウイルス対策ソフトの有効化確認
🟡 重要・1ヶ月以内メールフィルタ・迷惑メール対策
🟡 重要・1ヶ月以内Wi-Fiのセキュリティ設定見直し
🟡 重要・1ヶ月以内UTM/ファイアウォールの設定確認
🟡 重要・1ヶ月以内アクセス権限の棚卸し
🟢 推奨・3ヶ月以内セキュリティ教育の実施
🟢 推奨・3ヶ月以内インシデント対応計画・緊急連絡網・机上演習/訓練
🟢 推奨・3ヶ月以内IT資産台帳の作成・整備
🟢 推奨・3ヶ月以内ログの取得・保存設定
🟢 推奨・3ヶ月以内物理セキュリティの基本確認

「15項目もあると整理がつかない」と言われたときの優先度Top3/後回しTop3

中小企業に「15項目もあると整理がつかない、まずやるべき3つは何ですか」と聞かれたとき、私が答える優先順位は以下の通りです。

絶対外せない優先度Top3

第1位:② OS・ソフトウェアのアップデート自動化

ランサムウェアや標的型攻撃の大半は「既知の脆弱性」を突いてきます。パッチ適用だけで攻撃対象面が劇的に縮小し、費用ゼロ・設定だけで完了します。放置した場合のリスクが最も大きく、対応コストが最も小さい施策です。

第2位:① MFA(多要素認証)の導入

パスワード漏えい・使い回しによる不正ログインは、中小企業で最も多いインシデント経路の一つです。Microsoft 365やGoogle Workspaceなど主要サービスは標準機能でMFAを有効化でき、追加費用なしで「パスワードだけでは突破できない」状態を作れます。

第3位:③ バックアップ 3-2-1ルール

万が一侵入された場合の「最後の砦」です。ランサムウェアに暗号化されても、オフラインやクラウドに世代バックアップがあれば事業を止めずに済みます。②と①で「入口を固め」、③で「最悪のシナリオに備える」という構造になります。

逆に後回し/省略してもよいTop3

第15位相当(最も後回し可):⑮ 物理セキュリティの基本確認

オフィスの施錠やサーバールームの入退管理は重要ですが、中小企業の多くはクラウド中心で物理サーバーが少なく、サイバー攻撃と比べて優先度は低めです。既にある程度の施錠管理ができていれば追加対応は後でよいです。

第14位相当:⑭ ログの取得・保存設定

ログはインシデント発生後の原因調査に不可欠ですが、「まだ防御の基本が整っていない段階」で高度なログ分析体制を構築しても費用対効果が薄いです。まず侵入を防ぐ施策を優先し、余裕ができてから整備しても間に合います。

第13位相当:⑨ UTM/ファイアウォールの設定確認

UTM機器は導入・運用にコストがかかり、設定の専門性も高いです。クラウドサービス中心の業態であればエンドポイント対策+MFA+アップデートでかなりカバーでき、UTMは予算と体制が整ってからでも遅くありません

具体的アクションその1:今日中にTop3(②アップデート自動化/①MFA/③バックアップ3-2-1)の実装に着手してください。②は1〜2時間、①は半日〜1日、③は1〜2日で、すべて予算ゼロまたは数千円で完了します。具体的な手順は次章の各対策に記載しています。

4. 🔴 最優先(今日やるべき5つ)

この5つは即座に実行してください。放置している日数だけ、攻撃を受けるリスクが高まります。冒頭でも書いた通り、Top3(①②③)は予算ゼロでも数時間〜2日で実装可能です。

対策① MFA(多要素認証)の導入

最も費用対効果の高いセキュリティ対策です。

💡 多要素認証(MFA:Multi-Factor Authentication)とは? パスワードに加えて、スマートフォンの認証アプリやSMSで届くコードなど、もう1つの確認手段でログインを認証する仕組みです。仮にパスワードが漏れても、2つ目の認証をクリアできなければ不正ログインできません。

やること:

  • Microsoft 365 / Google Workspace の全アカウントにMFAを設定する
  • VPN接続にMFAを設定する(特に重要)
  • クラウドサービス(会計ソフト、CRM等)のMFA設定を確認する
  • 管理者アカウントは最優先でMFAを設定する

手順の目安: 1アカウントあたり5〜10分 / コスト: 無料(多くのサービスで標準機能)

予算ゼロでの実装手順(半日〜1日): Microsoft 365またはGoogle Workspaceの管理画面でMFAを「全ユーザー必須」に設定し、各社員のスマホにMicrosoft AuthenticatorまたはGoogle Authenticatorをインストールしてもらいます。登録作業は1人5分程度なので、20人規模なら説明会込みで半日あれば完了します。「スマホを持っていない社員」がいる場合だけSMSやハードウェアキーの検討が必要ですが、ほとんどの場合は無料アプリで対応できます。

⚠️ なぜVPNのMFAが特に重要か ランサムウェア被害の感染経路として、VPN機器の脆弱性が最も多く報告されています。VPNにMFAを設定するだけで、不正アクセスのリスクを大幅に低減できます。

利用するSaaSの数が増えてくると、サービスごとにMFAを個別に設定・管理する運用は急速に煩雑化します。Microsoft 365 / Google Workspace を全社利用しているなら、EntraID(旧Azure AD)などのID基盤側でMFAを一括設定し、各SaaSはSSO(シングルサインオン)連携でぶら下げるのが現実解です。MFA詳細は「MFAガイド」、ゼロトラストへの段階的移行は「ゼロトラスト入門」、VPN刷新は「VPN移行ガイド」を参照してください。

対策② OS・ソフトウェアのアップデート自動化

アップデートしないこと = 玄関のカギを開けっぱなしにしていることです。

やること:

  • Windows Updateの自動更新が有効になっているか全PCで確認する
  • Windows 10のPCが残っていないか確認(サポートは2025年10月14日に終了済み)
  • ブラウザ(Chrome、Edge等)の自動更新を確認する
  • Adobe、Java等の主要ソフトウェアを最新バージョンに更新する
  • VPN機器・ルーター等のファームウェアを最新バージョンに更新する

手順の目安: PC1台あたり15〜30分 / コスト: 無料

予算ゼロでの実装手順(1〜2時間): まずWindows Updateの設定画面を開き「自動更新」を有効にします。次にChromeやEdgeなどブラウザの自動更新を確認します。Adobe ReaderやZoomなど主要ソフトも自動更新をオンにします。PCが10台程度なら1台ずつ確認しても1〜2時間で終わります。台数が多い場合はActive Directoryのグループポリシーで一括設定できます(AD環境がある前提なら追加費用なし)。

graph TB
    A["アップデート<br/>未適用"] --> B["脆弱性<br/>(セキュリティの穴)<br/>が残る"]
    B --> C["攻撃者が<br/>脆弱性を悪用"]
    C --> D["🔴 ランサムウェア感染<br/>情報漏洩<br/>システム停止"]

    style A fill:#dc2626,stroke:#b91c1c,color:#ffffff
    style B fill:#ea580c,stroke:#c2410c,color:#ffffff
    style C fill:#d97706,stroke:#b45309,color:#ffffff
    style D fill:#7f1d1d,stroke:#991b1b,color:#ffffff

💡 脆弱性(ぜいじゃくせい)とは? ソフトウェアのプログラム上の欠陥(バグ)のうち、攻撃者に悪用される可能性があるものを指します。アップデートは、この「穴」を塞ぐ作業です。

中小企業の現場で特に放置されやすいのが、業務アプリの互換性などを理由にWindows Updateやファームウェア更新を延期し続けているパターンです。互換性確認に時間がかかる場合でも、「毎月第◯営業日にパッチを適用する」と運用サイクルを一度決めてしまうのが、結果的に最も負担の少ない進め方になります。

対策③ バックアップ 3-2-1ルール(+RTO/RPO設定+復元手順の事前作成)

ランサムウェアに感染してもバックアップがあれば復旧できます。逆に言えば、バックアップがなければデータをすべて失います。

💡 3-2-1ルールとは?

ルール内容具体例
3つのコピー元データ+バックアップ2つ業務PC+NAS+クラウド
2種類のメディア異なる種類の保存先ネットワーク接続型+外付けHDD
1つはオフライン/遠隔地ランサムウェア対策外付けHDD(使用時以外はPCから外す)

やること:

  • 重要データ(顧客情報、会計データ、業務ファイル)のバックアップ先を確認する
  • バックアップが実際に復旧できるかテストする(取っているだけで壊れているケースあり)
  • オフラインバックアップ(外付けHDD等)を1つ追加する
  • クラウドバックアップの導入を検討する(月額数千円〜)
  • RTO(目標復旧時間)/RPO(目標復旧地点)を業務ごとに設定する
  • 復元手順を文書化しておく(事前作成・年1回の見直し)

予算ゼロでの実装手順(1〜2日): まず「止まると売上に直結する業務とデータ」をリストアップします(半日)。次にWindows標準のバックアップ機能や、OneDrive/Google Driveの同期機能で「コピー2つ」を確保します。さらに「1つは別の場所」として、外付けHDDに週次でコピーを取りオフラインで保管するか、別リージョンのクラウドストレージに同期します。外付けHDDは数千円レベルで、既に手元にあるケースも多いです。クラウドストレージはMicrosoft 365やGoogle Workspaceの契約内の容量で足りることが多く、実質追加費用なしで構成できます。復元テストを1回実行して完了です。

BCP要素の織り込み:RTO/RPOを業務ごとに設定する

バックアップの設計根拠は**RTO(Recovery Time Objective:目標復旧時間)/RPO(Recovery Point Objective:目標復旧地点)**です。「どの業務を何時間以内に復旧するか」を決めないと、3-2-1ルールの実装先(オンライン同期で済むか、オフライン世代まで必要か)が決まりません。

中小企業の現実的なラインは次の通りです(私の体感)。

業務領域RTO(目標復旧時間)RPO(目標復旧地点)
基幹系(販売・在庫・会計)24時間以内24時間以内(前日分まで)
営業系(顧客管理・案件管理)72時間以内24時間以内
その他(社内文書・ナレッジ)1週間以内1週間以内

復元手順の事前作成は「最大の保険」

私が現職で実体験したのは、内製システムが運用前にプログラム・データを消失する事故でした。原因は設定ミス、復旧に1週間かかりました。当時の教訓は**「必ず本番メンテナンス作業前にバックアップを取る。バックアップ設計では復元方法も確認し、復元手順を作成しておくことは必須」**というものでした。Azure Backupなど標準ツールの復元リハーサルにも約1週間の工数がかかったので、事前にやっておかないと、有事の数時間〜数日が手戻りになります

詳細は「バックアップ3-2-1ルール」、クラウドDR設計は「クラウドDR」、IT-BCP全体像は「IT-BCPガイド」を参照してください。

対策④ 退職者アカウントの無効化・削除

退職者のアカウントが残っていると、そのアカウントが乗っ取られて不正アクセスの入り口になります。

やること:

  • Microsoft 365 / Google Workspace の全アカウント一覧を出力する
  • 在籍していない社員のアカウントがないか確認する
  • 退職者のアカウントを即座に無効化する(データ保全のため、即削除ではなく無効化がベター)
  • 今後の入退社時のアカウント管理フローを標準化する

手順の目安: 1アカウントあたり5分 / コスト: 無料

退職者アカウントの管理は、「年1回の棚卸しイベント」だけに依存すると、担当者が変わったタイミングで一気に作業漏れが増えるという弱点を抱えています。中長期では、人事マスタ(入退社・異動情報)と ID基盤(EntraID等)を自動連携させ、グループ・権限の付与/剥奪を人事マスタ起点で動かす仕組みに投資するのが、最もコスト効率の良い方向性です。「日次で人事マスタと同期される仕組み」が組めれば、棚卸しイベントは「差分確認」で済むようになります。

対策⑤ 管理者パスワードの変更・強化

管理者アカウント(admin)のパスワードが「admin」や「password」のままになっていませんか?

やること:

  • ルーター、Wi-Fiアクセスポイント、NAS等のネットワーク機器の管理者パスワードを確認する
  • 初期設定のまま(admin/admin等)のものを即座に変更する
  • 強いパスワードに変更する(12文字以上、英大文字・小文字・数字・記号を含む)
  • 管理者パスワードを安全な場所に記録する(パスワードマネージャーの利用を推奨)

手順の目安: 機器1台あたり10分 / コスト: 無料

中小企業の現場で特に放置されやすいのがこの対策です。設定変更そのものは数分で終わるにも関わらず、ルーター・NAS・Wi-Fi機器の管理者パスワードが初期設定(admin/admin等)のまま運用されているケースは珍しくありません。本記事を読んだ今日、まずネットワーク機器の管理画面に1台ログインして、初期パスワードのままのものを1つ変更するところから始めるのが、最も費用対効果の高い「今日の一歩」です。

5. 🟡 重要(1ヶ月以内にやるべき5つ)

最優先の5つを完了したら、次にこの5つに取り組みましょう。

対策⑥ ウイルス対策ソフトの有効化確認

やること:

  • 全PCでウイルス対策ソフトが有効になっているか確認する
  • 定義ファイル(パターンファイル)が最新に更新されているか確認する
  • Windows標準のMicrosoft Defenderが有効であれば最低限はOK(無料)
  • より高度な保護が必要な場合はEDR(Endpoint Detection and Response)の導入を検討

💡 EDR(Endpoint Detection and Response)とは? PCやサーバの不審な動作をリアルタイムで検知し、自動で対処するセキュリティツール。従来のウイルス対策ソフトが「既知のウイルスを検出」するのに対し、EDRは「未知の不審な動き」も検知できるため、より高度な脅威に対応可能です。

コスト: Microsoft Defender(無料)〜 EDR(月額500〜2,000円/端末)

私の現職ではCrowdStrikeを導入しています。EDRの選定基準・導入手順は「EDRガイド」で詳述しています。

対策⑦ メールフィルタ・迷惑メール対策

フィッシングメール(偽メール)経由の攻撃は、中小企業への攻撃の入り口として最も多い手法の一つです。

やること:

  • Microsoft 365 / Google Workspaceの迷惑メールフィルタが有効か確認する
  • 外部からのなりすましメール対策(SPF、DKIM、DMARC)が設定されているか確認する
  • 不審なメールの報告手順を全社員に周知する
  • 添付ファイルの自動実行をブロックする設定を確認する

💡 SPF・DKIM・DMARCとは? メールの送信元が本物かどうかを検証する仕組みです。これらを設定すると、自社のドメイン(メールアドレスの@以降の部分)を使ったなりすましメールを防止できます。設定は管理画面からDNSレコードを追加することで行います。

コスト: 無料(Microsoft 365 / Google Workspaceの管理機能で設定可能)

フィッシング・BEC(ビジネスメール詐欺)対策の詳細は「フィッシング・BEC対策ガイド」を参照してください。

対策⑧ Wi-Fiのセキュリティ設定見直し

やること:

  • Wi-Fiの暗号化方式がWPA3またはWPA2になっているか確認(WEPは危険、即変更)
  • SSIDとパスワードが初期設定のままでないか確認する
  • 来客用Wi-Fiと社内業務用Wi-Fiが分離されているか確認する(ゲストネットワーク機能)
  • Wi-Fiルーターのファームウェアを最新バージョンに更新する

コスト: 無料(設定変更のみ)

対策⑨ UTM/ファイアウォールの設定確認

💡 UTM(Unified Threat Management:統合脅威管理)とは? ファイアウォール(不正アクセスの遮断)、ウイルス対策、迷惑メールフィルタ、Webフィルタリングなどの複数のセキュリティ機能を1台の機器にまとめた装置です。中小企業の「入口対策」として広く導入されています。

やること:

  • UTMまたはファイアウォールが社内に設置されているか確認する
  • ライセンスの有効期限が切れていないか確認する(期限切れ = セキュリティ機能が停止)
  • ファームウェアが最新バージョンに更新されているか確認する
  • 設置されていない場合は導入を検討する(月額5,000〜1万円程度のリースもあり)

コスト: 確認のみは無料 / 新規導入の場合は月額5,000〜1万円(リース)

後回しTop3の1つ:本記事の「優先度後回しTop3」では⑨を後回し可としています。クラウドサービス中心の業態であればエンドポイント対策+MFA+アップデートでかなりカバーでき、UTMは予算と体制が整ってからでも遅くありません

対策⑩ アクセス権限の棚卸し

「誰が何にアクセスできるか」を把握・制限することが、情報漏洩防止の基本です。

やること:

  • ファイルサーバ/クラウドストレージの共有フォルダのアクセス権限を確認する
  • 「全社員に全フォルダのアクセス権がある」状態になっていないか確認する
  • 部署・役職に応じた適切なアクセス権限に設定し直す
  • 管理者権限(admin)を持つアカウントの数を最小限にする

中小企業の現場でよく見るのが、入社時に付与した権限が異動・退職後もそのまま残っているという状態です。対策④の退職者アカウント管理と同様、年1回の棚卸しイベントだけでは漏れを完全に防ぐのは難しく、本質的には人事マスタとID基盤の自動連携で「日次で同期される状態」を作るのが解決策になります。

ペーパーレス化でクラウドストレージを導入する際のフォルダ構成や権限ルールの考え方は「ペーパーレス化の始め方」で解説しています。

コスト: 無料

6. 🟢 推奨(3ヶ月以内にやるべき5つ)

「守り」の基盤ができたら、より体系的な対策を進めましょう。

対策⑪ セキュリティ教育の実施

技術的対策だけでは不十分です。「人」がセキュリティの最大の弱点にも最大の防御壁にもなります。

やること:

  • フィッシングメールの見分け方を全社員に教育する(年2回推奨)
  • パスワードの管理ルール(使い回し禁止、12文字以上等)を周知する
  • 生成AIの利用ルール(機密情報の入力禁止等)を教育する
  • 「怪しいと思ったら報告する」文化をつくる(報告しやすい窓口を用意)

コスト: 無料(社内で実施する場合)

私が現職で実施したフィッシング訓練では、1回目のクリック率が約3%、メール文面のテーマは請求書を使いました。年代別の傾向では20代と50〜60代にクリックが多い傾向があり、対象を絞った教育が効果的です。

「効いた啓蒙資料」と「効かなかった啓蒙資料」の違いは明確で、自社で発生したセキュリティ事案を紹介して身近に感じてもらうものは効きます。私の現職で紹介している自社事案は、CC/BCC誤りによるメールアドレス漏洩、業務システムIDの使い回し、人事異動後のアクセス権設定漏れによる不正アクセス、PC・スマホ・通信カードの紛失──などの実例です。逆に**効かないのは「社内規則の内容をただ羅列するだけの啓蒙資料」**でした。

セキュリティ教育を必要とする層を絞った後の対応として、eラーニング受講+感想記入、上長経由での受講依頼が効きました。本人に依頼するより、上長に連絡することで確実にeラーニングを受講してもらえるのが現場のリアルです。これにより、業務情報の社外への持ち出し件数が減少しました。

年間計画の立て方や標的型メール訓練の進め方は「セキュリティ教育の年間計画の作り方」で詳しく解説しています。

対策⑫ インシデント対応計画の策定(+緊急連絡網+机上演習・訓練)

セキュリティ事故が起きたときに「誰が、何を、どの順番で」やるかを事前に決めておく計画です。

やること:

  • 「誰に最初に連絡するか」を決める(情シス→経営層→外部専門家の順)
  • 緊急連絡網を文書化する(経営層・取引先・外部専門家・取引先連絡基準)
  • ネットワーク遮断の手順を文書化する(LANケーブルを抜く、Wi-Fiを切る等)
  • 外部のセキュリティ専門会社の連絡先を控えておく
  • 取引先・顧客への通知の判断基準と手順を決める
  • 年1回の机上演習・ブラインド訓練を実施する

コスト: 無料(自社で策定する場合)

BCP要素の織り込み①:緊急連絡網

緊急連絡網は、インシデント対応計画の必須構成要素です。「誰に・何分以内に・何を伝えるか」を明文化してください。私の経験では、経営層への第一報で「これだけは外せない」要素は業務影響・復旧見込み時期・原因の3つです。第一報の宛先・タイミングが遅れると、その後の意思決定すべてが後手に回ります。

BCP要素の織り込み②:机上演習・ブラインド訓練

私が強くお勧めしたいのがブラインド訓練(訓練シナリオを参加者に知らせず、実際の有事に近い情報を作り出して訓練を実施する形式)です。シナリオを知っていれば全員がうまく動けるのは当然で、知らない状態で動けて初めて訓練の意味があります

机上演習で必ず押さえるべきは次の3点です。

  1. 第一報のタイミングと宛先(経営層・取引先・外部専門家のどこまで誰がいつ連絡するか)
  2. 業務影響の即時把握(停止中の業務、停止のインパクト額、復旧優先順位)
  3. ユーザー周知の方法(私の現職での1週間復旧事故では、Teamsで部内周知+個別問い合わせへの謝罪というやり方を取りました)

私が現職で実体験した内製システム消失事故では、事故から1日後にようやく第一報を出す形になりました。これは反省点で、検知から第一報までの時間は数時間以内に収めるべきです。机上演習で「第一報まで何分?」を毎回計測し、回を重ねるごとに短縮していくのが、訓練を実効化するコツです。

詳細は「インシデント対応マニュアル」、CSIRT構築は「CSIRT構築ガイド」、ランサムウェア対応は「ランサムウェア5ステップ」、IT-BCP全体は「IT-BCPガイド」を参照してください。

対策⑬ IT資産台帳の作成・整備

守るべきものが何かを知らなければ、守りようがありません。

やること:

  • 全PCの機種・OS・利用者・購入日を一覧化する
  • サーバ(物理/クラウド)の一覧を作成する
  • 利用中のクラウドサービスと契約情報を一覧化する
  • ネットワーク機器(ルーター、Wi-Fi、UTM等)の一覧を作成する
  • 半年に1回の棚卸しスケジュールを設定する

コスト: 無料(Excelで十分)

ただし、Excel台帳を情シスだけで維持しようとすると、ほぼ確実に形骸化します。現実的な解は、Kintoneなどのノーコード/ローコードツールで台帳を構築し、業務部門が直接記載・更新する形にすることです。私の現職でも、IT資産管理をKintoneで内製化中で、外注したら数十万円のアプリが3〜5日で立ち上がります。台帳の脱Excel全般の論点は「中小企業のITコスト削減|ROI・SaaS・脱Excel完全ロードマップ」もあわせて参照してください。

対策⑭ ログの取得・保存設定

セキュリティ事故が起きた際の原因究明には、ログ(記録)が不可欠です。

やること:

  • Microsoft 365 / Google Workspaceの監査ログが有効になっているか確認する
  • ファイアウォール/UTMのログが保存されているか確認する
  • ログの保存期間を最低90日間に設定する
  • VPN接続ログが取得・保存されているか確認する

コスト: 無料(多くのサービスで標準機能)

後回しTop3の1つ:本記事の「優先度後回しTop3」では⑭を後回し可としています。まだ防御の基本が整っていない段階で高度なログ分析体制を構築しても費用対効果が薄いため、まず①②③の侵入を防ぐ施策を優先してください。

対策⑮ 物理セキュリティの基本確認

デジタルの対策だけでなく、物理的な管理も重要です。

やること:

  • サーバルーム(またはサーバ設置場所)に施錠があるか確認する
  • 退職者のオフィスカードキー・物理鍵を回収しているか確認する
  • PCやUSBメモリの盗難防止策(セキュリティワイヤー等)を確認する
  • 重要書類のシュレッダー廃棄ルールを整備する
  • クリアデスクポリシー(退勤時に机上に機密書類を放置しない)を周知する

コスト: 無料(ルール整備のみ)〜 セキュリティワイヤー数千円

後回しTop3の1つ:本記事の「優先度後回しTop3」では⑮を最も後回し可としています。中小企業の多くはクラウド中心で物理サーバーが少なく、サイバー攻撃と比べて優先度は低めです。

7. SCS評価制度★3との対応マッピング

2026年度末に開始予定のSCS評価制度の★3(Basic)は、すべての企業が目指すべき最低限の水準です。本記事の15の対策は、★3の主な要求事項をカバーしています。

graph TD
    subgraph SCS["⭐ SCS評価制度 ★3の主な要求領域"]
        R1["端末・サーバの<br/>脆弱性管理"]
        R2["認証・アクセス制御"]
        R3["データ保護<br/>バックアップ・BCP"]
        R4["セキュリティ教育"]
        R5["インシデント対応・訓練"]
        R6["IT資産管理"]
    end

    R1 --> S2["対策②⑥⑨"]
    R2 --> S1["対策①④⑤⑩"]
    R3 --> S3["対策③(RTO/RPO含む)"]
    R4 --> S4["対策⑪"]
    R5 --> S5["対策⑫⑭(机上演習含む)"]
    R6 --> S6["対策⑬"]

    style SCS fill:#1a3a5c,stroke:#4a90d9,color:#e0e8f0
    style R1 fill:#2a4a6c,stroke:#6ab0f9,color:#ffffff
    style R2 fill:#2a4a6c,stroke:#6ab0f9,color:#ffffff
    style R3 fill:#2a4a6c,stroke:#6ab0f9,color:#ffffff
    style R4 fill:#2a4a6c,stroke:#6ab0f9,color:#ffffff
    style R5 fill:#2a4a6c,stroke:#6ab0f9,color:#ffffff
    style R6 fill:#2a4a6c,stroke:#6ab0f9,color:#ffffff

📌 SCS評価制度の詳細 SCS評価制度の評価レベル、対応スケジュール、ユースケースなどの詳細は「SCS評価制度ガイド」「情シスが取り組むべき3大「制度・規制対応」」で詳しく解説しています。

具体的アクションその2:自社の現状を15項目チェックリスト(第12章)で評価し、未対応の項目をSCS評価制度★3の6つの要求領域にマッピングしてみてください。経営層への稟議資料としてそのまま使えます。

8. 業種別ユースケース5選

ユースケース① 製造業(従業員80名)── MFA導入で不正アクセスを阻止

大手メーカーの下請け企業。取引先から「VPNにMFAが設定されているか」の確認を受けたことをきっかけに、全社のMFA導入を決定。設定に2週間、費用はゼロ。導入翌月に不正ログイン試行を検知し、MFAが実際に攻撃を阻止。

ユースケース② 小売業(従業員30名)── バックアップが会社を救った

ECサイトの管理サーバがランサムウェアに感染。しかし3-2-1ルールに基づくバックアップ体制を整えていたため、外付けHDDのオフラインバックアップから2時間で復旧。被害を最小限に抑えた。RTOを「24時間以内」と事前に設定し、外付けHDDからの復元手順を文書化していたことが効きました。

ユースケース③ 会計事務所(従業員15名)── 退職者アカウントの放置が発覚

内部監査で、2年前に退職した職員のMicrosoft 365アカウントがまだ有効であることが判明。直ちに無効化し、入退社時のアカウント管理フローを標準化。以後、入退社チェックリストで管理漏れを防止。

ユースケース④ 建設業(従業員60名)── Wi-Fiの設定見直しで脆弱性を排除

現場事務所のWi-Fiが初期設定のSSIDとパスワードのまま使用されていたことが判明。暗号化方式もWPA(旧方式)だったため、WPA3に変更しパスワードを強化。来客用と業務用のネットワークを分離。

ユースケース⑤ IT企業(従業員20名)── セキュリティ教育でフィッシング被害ゼロ

四半期ごとにフィッシングメール訓練を実施。初回は社員の30%がリンクをクリックしたが、4回目には5%まで低下。「怪しいメールは報告する」文化が定着し、フィッシング被害ゼロを達成。自社事案を紹介する形式の啓蒙資料が特に効きました。

9. 失敗を避けるための7つの勘所

私が現職と支援先でセキュリティ対策でうまくいかなかったパターンから抽出した、7つの勘所です。

勘所① 「全体方針→個別施策」の順で稟議を組む

経営層に個別施策を断片的に説明しても判断できません。15項目の全体マップを提示し、その中で個別施策の位置づけと優先度を示すのが、最も通りやすい構造です。

勘所② セキュリティ対策予算は一覧化して投資総額を把握する

個別の月額・年額がバラバラに並んでいる状態だと、経営層は「結局いくら使っているか」を把握できません。セキュリティ関連の投資(ライセンス・保守・人件費)を1枚に一覧化し、年間総額を提示してください。

勘所③ 同業他社事案・世の中の潮流をセットで経営層に説明する

「自社だけの事情」を訴えても刺さりません。世の中の潮流・同業他社のセキュリティ事案・他社の対策状況をセットで説明することで比較基準ができ、経営層が判断しやすくなります。「ブランド失墜による将来機会損失はセキュリティ対応費用の倍以上」という数字感も合わせて伝えるのが効果的です。

勘所④ Top3を最優先で実装する(②アップデート→①MFA→③バックアップ)

15項目を順番に上から処理する必要はありません。②アップデート自動化(1〜2時間)→①MFA(半日〜1日)→③バックアップ3-2-1(1〜2日)のTop3だけで、攻撃面の80%以上をカバーできます。残りは余裕ができてから順次。

勘所⑤ バックアップは「復元テスト」までセットで(私の1週間復旧事故の教訓)

「バックアップを取っている」と「復旧できる」は別です。私の現職で内製システムが運用前に消失した事故では、復元手順を事前に作成していなかったことが復旧1週間の主因でした。バックアップ設計にはRTO/RPO設定+復元手順の文書化+年1回の復元テストを必ず含めてください。

勘所⑥ インシデント対応計画はブラインド訓練で検証する

マニュアルは作って終わりにすると有事に機能しません。ブラインド訓練(シナリオを知らせず、実際の有事に近い情報を作り出して訓練)で「第一報まで何分?」を毎回計測し、回を重ねるごとに短縮するのが、訓練を実効化するコツです。

勘所⑦ セキュリティ教育は「自社事案紹介+上長経由依頼」が効く

社内規則を羅列するだけの啓蒙資料は効きません。CC/BCC誤り、ID使い回し、人事異動後のアクセス権漏れ、PC・スマホ紛失など、自社で実際に発生した事案を紹介することで身近に感じてもらえます。教育が必要な層への対応は、本人ではなく上長経由でeラーニング受講を依頼するのが、確実に受講してもらえる現場の知見です。

具体的アクションその3:今週中に**「セキュリティ対策予算の一覧表」を作成**し、勘所①〜③を実践する形で経営層への次の稟議に臨んでください。詳しいROI設計は「IT投資対効果(ROI)の考え方」、稟議の通し方は「情シスが経営層にIT投資を通すための説明術」を参照してください。

10. 活用できる補助金・支援制度(2026年度版)

セキュリティ投資には複数の補助金が活用できます。自費だけで進める必要はありません

補助金名想定するセキュリティ施策補助上限額補助率
デジタル化・AI導入補助金 セキュリティ対策推進枠UTM・EDR・MDR・MFA・バックアップサービス等5万〜100万円1/2
中小企業省力化投資補助金セキュリティ自動化設備・ログ分析基盤最大1億円1/2
ものづくり補助金業務システム刷新に伴うセキュリティ強化最大2,500万円1/2〜2/3
小規模事業者持続化補助金小規模事業者のセキュリティツール導入最大200万円2/3

「サイバーセキュリティお助け隊サービス」は、IPAが認定する中小企業向けの安価なセキュリティサービスです。月額2,000円〜の見守りサービスから利用できます。

補助金の詳細は「サイバーセキュリティ補助金ガイド」「2026年版セキュリティ補助金完全ガイド」「【2026年版】DX補助金フローチャート比較」で詳しく扱っています。

※ 2026年5月時点の情報です。最新の公募要領・申請期限等は各制度の公式サイトでご確認ください。

11. よくある質問(FAQ)

Q1. セキュリティ対策で最初にやるべきことは何ですか?

A. **②アップデート自動化(1〜2時間)→ ①MFA(半日〜1日)→ ③バックアップ3-2-1(1〜2日)**のTop3です。すべて予算ゼロまたは数千円で実装でき、攻撃面の80%以上をカバーできます。15項目を上から順に処理する必要はありません。

Q2. 予算がまったくありません。何ができますか?

A. 本記事の15項目のうち、12項目は予算ゼロで実行可能です。特に🔴最優先の5つはすべて無料で始められます。「予算がないからできない」ではなく、「予算がないからこそ、無料の対策を徹底する」という発想が重要です。それでも費用が必要な部分は、サイバーセキュリティお助け隊サービスやデジタル化・AI導入補助金(セキュリティ対策推進枠)で補えます。

Q3. Windows 10をまだ使っています。危険ですか?

A. はい、非常に危険です。Windows 10のセキュリティサポートは2025年10月14日に終了しています。セキュリティ更新が提供されないため、新たに発見された脆弱性が放置された状態です。至急Windows 11への移行またはPCの入れ替えを進めてください。

Q4. ウイルス対策ソフトは有料のものが必要ですか?

A. Windows標準のMicrosoft Defenderでも最低限の保護は可能です。ただし、より高度な脅威に対応するためにはEDR(Endpoint Detection and Response)の導入を検討してください。月額500〜2,000円/端末が目安で、私の現職ではCrowdStrikeを導入しています。詳細は「EDRガイド」で。

Q5. SCS評価制度への対応は必須ですか?

A. 法的な義務ではありませんが、大手企業との取引がある場合は実質的に必要になる可能性が高いです。本記事の15項目を実行すれば、★3(Basic)の主な要求事項をカバーできます。詳しくは「SCS評価制度ガイド」をご覧ください。

Q6. BCP(事業継続計画)はどこまでやればいいですか?

A. 中小企業の現実的なラインとして、基幹系(販売・在庫・会計)はRTO 24時間、営業系(顧客管理・案件管理)はRTO 72時間を目安に設定してください。BCPを15項目のうち③バックアップ+⑫インシデント対応計画に統合する形で十分実用的です。RTO/RPOを決めるとバックアップの実装先(オンライン同期で済むか、オフライン世代まで必要か)が決まります。詳しくは「IT-BCPガイド」「クラウドDR」で。

Q7. インシデント対応マニュアルは作りましたが、それで十分ですか?

A. いいえ、「作って終わり」では有事に機能しません。年1〜2回の机上演習で検証してください。特にお勧めはブラインド訓練(シナリオを知らせず、実際の有事に近い情報を作り出して訓練を実施)です。シナリオを知っていれば全員がうまく動けるのは当然で、知らない状態で動けて初めて訓練の意味があります。私の現職では「第一報まで何分?」を毎回計測しています。

Q8. セキュリティ教育はどのように行えばよいですか?

A. 最初は30分程度の簡単な講習から始めましょう。フィッシングメールの見分け方、パスワード管理のルール、怪しいときの報告手順の3つが最低限のテーマです。社内規則を羅列するだけの啓蒙資料は効きません自社で実際に発生した事案(CC/BCC誤り、ID使い回し、人事異動後のアクセス権漏れ、PC・スマホ紛失)を紹介することで身近に感じてもらえます。教育が必要な層には上長経由でeラーニング受講を依頼するのが確実です。詳細は「セキュリティ教育の年間計画の作り方」で。

Q9. 外部のセキュリティ専門会社に依頼すべきですか?

A. 本記事の15項目は自社で実行できる内容です。ただし、脆弱性診断やインシデント発生時の緊急対応は、外部専門家の支援が有効です。IPAの「サイバーセキュリティお助け隊サービス」は中小企業向けに安価なサービスを提供しています。

12. 【まとめ】15の対策チェックリスト

最後に、15の対策を1枚のチェックリストにまとめます。印刷して、1つずつ潰していってください。

#優先度対策コストBCP要素完了
🔴MFA(多要素認証)の導入無料
🔴OS・ソフトウェアのアップデート自動化無料
🔴バックアップ 3-2-1ルール(+RTO/RPO+復元手順)無料〜1万円
🔴退職者アカウントの無効化・削除無料
🔴管理者パスワードの変更・強化無料
🟡ウイルス対策ソフトの有効化確認無料
🟡メールフィルタ・迷惑メール対策無料
🟡Wi-Fiのセキュリティ設定見直し無料
🟡UTM/ファイアウォールの設定確認無料〜月額1万円
🟡アクセス権限の棚卸し無料
🟢セキュリティ教育の実施無料
🟢インシデント対応計画(+緊急連絡網+机上演習)無料
🟢IT資産台帳の作成・整備無料
🟢ログの取得・保存設定無料
🟢物理セキュリティの基本確認無料

セキュリティ対策は「完璧」を目指す必要はありません。「何もしていない」から「最低限をやっている」への一歩が、最も大きな効果を生みます。

15項目の中で、BCP要素は③バックアップ3-2-1(RTO/RPO+復元手順)と⑫インシデント対応計画(緊急連絡網+机上演習)に統合しました。「BCPを別建てで20項目に増やす」のではなく、「15項目の中にBCP要素を織り込む」のが、中小企業にとって最も実効性の高い形です。

flowchart TB
    A["✅ 今日やること<br>Top3に着手<br>②アップデート→①MFA→③バックアップ"] --> B["✅ 今月やること<br>15項目の全体マップを<br>セキュリティ予算一覧表とセットで経営層へ"] --> C["✅ 今四半期やること<br>⑫インシデント対応のブラインド訓練<br>+⑪セキュリティ教育(自社事案紹介)"]

    style A fill:#dc2626,stroke:#b91c1c,color:#ffffff
    style B fill:#d97706,stroke:#b45309,color:#ffffff
    style C fill:#1a5c3a,stroke:#4ad990,color:#ffffff

今日やること:Top3(②②①③)に着手。②アップデートで1〜2時間、①MFAで半日〜1日、③バックアップで1〜2日。

今月やること:15項目の全体マップとセキュリティ予算一覧表をセットで経営層に提出。「全体方針→個別施策」の順で稟議を組むのが鉄則です。

今四半期やること:⑫インシデント対応のブラインド訓練(年1回、第一報まで何分かを計測)と、⑪セキュリティ教育(自社事案紹介+上長経由のeラーニング)。

経営者の皆さまへ。セキュリティ事故が起きた場合の被害額は、中小企業でも数百万〜数千万円に上ります。ブランドイメージの失墜による将来的な機会損失はセキュリティ対応費用の倍以上です。「予算がないから対策できない」のではなく、**「対策しないことが最大のコスト」**です。

このまとめ記事は、profectus-noteの「セキュリティ・BCP」カテゴリのハブとして、随時更新していきます。各論記事もあわせて読んでいただくと、自社で動かすときの解像度が一気に上がるはずです。

以上となります。

最後まで読んでいただき、ありがとうございました。

関連記事

関連記事

サイバーセキュリティの記事をもっと読む →