「うちは小さい会社だから、サイバー攻撃なんて関係ない」——もしそう思っているなら、今すぐ考えを改めてください。
IPA(情報処理推進機構)の調査によると、サイバー攻撃の約7割は中小企業がターゲットです。理由は単純。大企業はセキュリティが固いので、「守りの甘い中小企業を踏み台にして、取引先の大企業に侵入する」というのが攻撃者の常套手段だからです。
実際、大手自動車メーカーのサプライチェーン攻撃では、部品メーカー(中小企業)が侵入口になり、工場が丸1日停止しました。被害額は数億円規模です。
怖い話をしたいわけではありません。基本的な対策を5つやるだけで、攻撃の大半は防げます。しかも全部無料、今日から始められます。
対策1:パスワード管理 — 「使い回し」が最大の弱点
サイバー攻撃で最も多い侵入経路は、パスワードの漏洩です。そして、漏洩の最大の原因は「パスワードの使い回し」です。
あるサービスから流出したパスワードを、攻撃者は他のサービスでも片っ端から試します。これを「リスト型攻撃」と呼びます。1つ漏れたら、使い回しているすべてのサービスが危険にさらされるということです。
今日やること
- パスワードマネージャーを導入する:Bitwarden(無料)やiCloudキーチェーンを使えば、サービスごとに別々の複雑なパスワードを記憶する必要がなくなります
- 重要なアカウントに二段階認証(2FA)を設定する:メール、銀行、会計ソフトなど。SMSよりGoogle Authenticatorアプリのほうが安全です
- 「123456」「password」「会社名+生年月日」は即変更:攻撃者が最初に試す定番パスワードです
対策2:OSとソフトウェアの更新 — 「後で」が命取り
Windows Updateの通知、「後でやる」を押し続けていませんか?
ソフトウェアの更新には、セキュリティの穴(脆弱性)を塞ぐ修正が含まれています。攻撃者はこの穴を狙って侵入してきます。更新をサボるということは、「玄関のカギが壊れているのに、修理を先延ばしにしている」のと同じです。
今日やること
- Windows Update:設定→更新とセキュリティ→自動更新をON
- ブラウザ:Chrome・Edge・Firefoxはすべて自動更新をON(ほとんどの場合、デフォルトでON)
- Adobe製品:Acrobat ReaderなどAdobe製品も自動更新設定を確認
- ルーター:意外と見落としがち。管理画面からファームウェア更新を確認しましょう
ポイントは「自動更新をONにして、あとは放っておく」こと。手動でやろうとすると、忙しい日に忘れます。
対策3:バックアップの「3-2-1ルール」 — ランサムウェア対策の切り札
ランサムウェア(身代金ウイルス)に感染すると、PCやサーバーのデータが暗号化され、「元に戻してほしければ金を払え」と脅されます。中小企業でも被害は急増しており、復旧に平均1,000万円以上かかったケースもあります。
最大の防御策は、バックアップです。データが別の場所にあれば、感染しても「初期化して復元」で済みます。
3-2-1ルールとは?
- 3:データのコピーを3つ持つ(原本+バックアップ2つ)
- 2:2種類の異なる媒体に保存する(例:PC本体+外付けHDD+クラウド)
- 1:1つはオフサイト(別の場所)に保管する(クラウドストレージが最も手軽)
今日やること
- Google Drive・OneDrive・Dropboxのいずれかで、重要フォルダの自動同期を設定する(無料プランでも数GB〜15GB使える)
- 外付けHDDまたはUSBメモリに月1回バックアップ。バックアップ後は物理的にPCから外しておく(接続したままだとランサムウェアに一緒に暗号化される)
対策4:フィッシングメールの見分け方 — 「本物そっくり」が手口
「Amazonアカウントが停止されました」「楽天カードの不正利用を検知しました」——こんなメール、見たことありませんか?
これがフィッシングメールです。本物そっくりのメールでニセのWebサイトに誘導し、ID・パスワード・クレジットカード番号を盗み取ります。最近はAIで文面が自然になり、日本語の不自然さでは見抜けなくなっています。
見分けるポイント
- 送信元のメールアドレスを確認:表示名が「Amazon」でも、アドレスが「amazon-security@xyz123.com」のような見慣れないドメインなら偽物
- 「今すぐ」「24時間以内に」と焦らせる文面に注意:緊急性を煽るのは詐欺の常套手段です
- リンクにカーソルを合わせてURLを確認(クリックしない!):「amazon.co.jp」ではなく「amaz0n.co.jp」や「amazon.co.jp.xxx.com」になっていたら偽物
- 身に覚えのない請求・通知は、メールのリンクからではなく公式サイトに直接アクセスして確認する
社内でやること
「怪しいメールが来たら、開かずにIT担当(または社長)に転送」というルールを1つ作るだけでも効果は大きいです。判断に迷ったら開かない。これだけで被害の大半は防げます。
対策5:Wi-Fiのセキュリティ — 「鍵なしWi-Fi」は全データ筒抜け
オフィスや店舗のWi-Fi、設定したのはいつですか? 初期設定のまま何年も使っていませんか?
Wi-Fiのセキュリティが甘いと、近くにいる攻撃者に通信内容を傍受される可能性があります。メールの内容、ログイン情報、顧客データまで筒抜けです。
今日やること
- 暗号化方式を確認:ルーターの設定画面で「WPA3」または最低でも「WPA2」になっているか確認。「WEP」や「暗号化なし」は危険です
- Wi-Fiパスワードを変更する:ルーター本体に貼ってあるデフォルトパスワードは、機種名で検索すれば誰でもわかります
- 来客用Wi-Fiを分離する:多くのルーターには「ゲストネットワーク」機能があります。お客様やゲストはこちらに接続してもらい、社内ネットワークとは分ける
- ルーターの管理画面パスワードも変更:初期パスワード(admin/password等)のままは絶対NG
無料で使えるセキュリティツール
「対策は分かったけど、何かツールはないの?」という方へ。無料で使える優秀なツールを紹介します。
- Bitwarden(パスワードマネージャー):無料プランで個人利用は十分。オープンソースで信頼性が高い
- Google Authenticator(二段階認証アプリ):主要なWebサービスのほとんどに対応
- Have I Been Pwned(漏洩チェック):自分のメールアドレスがデータ漏洩に含まれていないかチェックできるサイト。定期的に確認がおすすめ
- Windows Defender(ウイルス対策):Windows標準搭載のセキュリティ機能。一般的な中小企業なら、有料ソフトがなくてもこれで十分
- IPA 5分でできる!ポイント学習:IPAが無料公開しているセキュリティ学習教材。社員教育にそのまま使えます
まとめ — 「完璧」を目指さず、まず5つだけ
セキュリティ対策をまとめます。
- パスワード管理:使い回しをやめ、パスワードマネージャー+二段階認証を導入
- ソフトウェア更新:OS・ブラウザ・ルーターの自動更新をONに
- バックアップ:3-2-1ルールでクラウド+外部媒体に保存
- フィッシング対策:メールのリンクを安易にクリックしない。公式サイトに直接アクセス
- Wi-Fiセキュリティ:WPA3/WPA2に設定、ゲストWi-Fiを分離
この5つを実施するだけで、サイバー攻撃の8割以上は防げます。完璧を目指す必要はありません。今日できることから、1つずつ始めましょう。
「何から手をつければいいかわからない」「社内のセキュリティ状況を一度チェックしてほしい」という方は、30分の無料相談でお気軽にどうぞ。御社の業務環境に合わせて、優先順位の高い対策から具体的にご提案します。DX支援(セキュリティ対策含む)は月額3.3万円〜承っています。
