中小企業を狙うサイバー攻撃は「高度な標的型」だけではありません。実際に多いのは、パスワードの使い回し、更新されないPC、放置されたクラウド設定、メールの添付ファイル実行といった“よくある隙”を突くものです。攻撃者から見れば、大企業よりもセキュリティ投資が手薄で、IT担当が兼務になりがちな中小企業は「侵入しやすく、横展開しやすい」ターゲットになりやすい。しかも、侵入後の目的は派手な破壊ではなく、アカウント乗っ取りによる請求書詐欺、ランサムウェアによる業務停止、取引先への踏み台化など、経営に直撃する形で現れます。
本稿では、元記事が示す「予算なし・知識なし・担当者1人」から始める現実的な防御を、専門家の観点で“社長に『まずはこれだけやりました』と説明できる”最小構成の安心セットとして整理します。重要なのは、完璧を目指して止まることではなく、被害確率と被害規模を下げる対策を先に積むことです。
中小企業がまず押さえるべき攻撃の入口
多くの事故は次の入口から始まります。
- メール:偽装請求、添付ファイル(マクロ/圧縮ファイル)、なりすまし(取引先・上司)
- ID/パスワード:使い回し、漏えいパスワードの再利用、パスワード共有
- 更新されない端末:Windows/ブラウザ/Office/周辺ソフトの脆弱性
- クラウド設定ミス:公開範囲の誤り、退職者アカウント放置、権限過大
- バックアップ不備:暗号化されたら復旧できない、復旧手順が未検証
この入口を塞ぐだけでも、被害の大半は現実的に減らせます。次章からは、限られた体制でも回る「優先順位の高い順」に、実装ポイントを示します。
安心セット:最初の1週間でやる“効果が大きい順”
アカウントの乗っ取り対策を最優先にする
予算がなくても、今日から効果が出るのが多要素認証(MFA)です。Microsoft 365、Google Workspace、主要な会計・受発注SaaS、SNS管理アカウントなど、まずは「社内外の情報とお金に直結するサービス」からMFAを必須にします。加えて、次の運用をセットにしてください。
- 管理者アカウントは日常利用しない(通常業務用と分離)
- 退職者・異動者のアカウント停止を即日化(チェックリスト化)
- パスワード使い回し禁止:最低限「業務用は業務用で一意」を徹底
担当者が1人でも回せるように、MFA適用状況と管理者数を一覧化し、月1回点検するだけでも“事故率”は大きく下がります。
端末の更新と“標準化”で脆弱性を潰す
攻撃の多くは、古い端末・古いソフトの穴を突いて侵入します。そこで、端末側は難しいことをするよりも更新を止めない仕組みが重要です。
- OS/ブラウザ/Officeの自動更新を有効化し、延期設定を最小化
- ローカル管理者権限を配らない(入れるソフトは原則申請)
- ウイルス対策(EDRでなくても)を有効化し、停止を禁止
- 端末台帳(機種、OS、利用者、導入日、保証期限)を作る
特に台帳は軽視されがちですが、「何が何台あるか分からない」状態では更新も廃棄もできません。Excel一枚でも構いません。
メールの事故を“起こりにくくする”
中小企業の現場では、セキュリティ教育より先に事故が起きにくい設定を入れるのが効果的です。
- 添付ファイルの取り扱いルール:パスワード付きZIPの運用見直し、URL共有へ寄せる
- 請求書・振込先変更は二経路確認(メールだけで完結させない)
- 迷惑メールフィルタの強化:なりすまし警告、外部メールの注意表示
「ルールを作ったが守られない」問題は、ルールが複雑だから起きます。重要取引だけでも二経路確認を必須にするなど、まずは“損失が大きいところ”から絞って徹底するのが現実的です。
安心セット:ランサムウェアに備える最低限の復旧力
侵入を100%防ぐのは不可能です。だからこそ、最後の砦はバックアップです。ポイントは「取っている」ではなく「戻せる」こと。
- 重要データの所在を決める:保存先をクラウド/サーバに寄せ、端末ローカルを減らす
- 世代管理:上書き同期だけだと暗号化が同期される。世代が必要
- 復旧テスト:四半期に1回、実際にファイルを戻す演習をする
- オフライン/分離バックアップ:少なくとも月1回は“切り離し”を意識
担当者1人の組織なら、「重要フォルダ3つだけでも復旧できる」状態を先に作ることが、事業継続の観点で最も価値があります。
安心セット:担当者1人でも回る“運用”に落とす
セキュリティは導入より運用が難しい。そこで、仕組み化して“回る形”にします。
月1回の点検(30分)を固定化
- MFA未設定ユーザーがいないか
- 退職者アカウントが残っていないか
- 端末の更新が止まっていないか
- バックアップの最新世代が取れているか
インシデント時の連絡網と初動を紙1枚にする
感染や不正アクセスが疑われたとき、現場はパニックになりがちです。「誰に連絡し、何を止め、何を残すか」を決めておくだけで被害が縮みます。
- 連絡順:社長→担当者→外部ベンダ/保険/弁護士(契約があれば)
- 初動:ネットワーク切断、アカウント停止、証拠保全(画面撮影、ログ確保)
- 判断基準:支払い要求が出た、取引先へ不審メールが飛んだ等は即エスカレーション
社長に説明できる「やりました」セットのまとめ
経営に対しては、技術詳細よりも「何がどれだけ減ったか」「止めないために何を用意したか」が重要です。最低限、次の6点を揃えると“やった感”ではなく“防御力”が上がります。
- MFAを主要サービスに強制(乗っ取りリスクを大幅低減)
- 管理者アカウントの分離(侵害時の被害拡大を抑制)
- 自動更新と端末台帳(脆弱性起点の侵入を抑える)
- メール起点の詐欺対策(二経路確認・外部メール表示)
- 世代バックアップ+復旧テスト(ランサム時に事業を戻せる)
- 月1点検と初動手順(担当者1人でも運用可能)
予算がない組織ほど、「高価な製品を入れて終わり」ではなく、無料・標準機能で“穴を塞ぐ”方が即効性があります。これらを土台に、余力が出てきた段階で、ログ監視の強化やEDR、SASE、訓練型教育、サプライチェーン管理へと拡張していくのが王道です。
参照リンク:ホワイトハッカーが教える! 中小企業のサイバー攻撃対策!『予算なし・知識なし・担当者1人』から始めるサイバー防御(Fathom Journal)