「うちは小さい会社だから、ハッカーに狙われることはない」
そう考えている経営者は多い。しかし実態は逆だ。警察庁の調査によると、ランサムウェア(感染するとデータを暗号化して身代金を要求するウイルス)の被害を受けた企業のうち、中小企業が約6割を占める。
大企業と中小企業を選り好みして攻撃しているわけではない。セキュリティが手薄な会社ほど、格好の標的になる。
この記事では、ITの専門知識がなくても今週中に終わらせられるセキュリティ対策を5つに絞って解説する。高額な機器は不要で、今あるパソコンとスマートフォンだけで始められる。
なぜ中小企業が狙われるのか
「うちには狙うものがない」は攻撃者には関係ない
多くのサイバー攻撃は自動化されている。インターネットに接続されているシステムを自動でスキャンし、侵入できる隙があれば即座に攻撃する。攻撃者が会社の規模を確認して標的を選んでいるわけではない。
「OSの更新を放置している」「全員が同じパスワードを使い回している」「ウイルス対策ソフトを入れていない」——こういった会社は、自動スキャンで簡単に見つかり、優先的に狙われる。
被害が出たら何が起きるか
ランサムウェアに感染すると、社内のパソコンのデータが全て暗号化されて使えなくなる。メールも開けない、請求書も出せない、顧客情報も見られない状態が続く。
経済産業省の調査(2025年)では、サイバーインシデントからの業務復旧にかかった日数は平均5.8日。被害企業の約7割が取引先の業務にも影響を与えたと報告している。
「5日間、社内のパソコンが全部使えなくなったら、自社の事業はどうなるか」——これを一度考えてみてほしい。セキュリティ対策の優先度が変わるはずだ。
まず全体像を把握する:5つの対策と優先順位
5つの対策の難易度・費用・優先度を整理した。全部を一度にやる必要はない。
| 対策 | 難易度 | 費用 | 優先度 |
|---|---|---|---|
| 1. OSとソフトを自動更新にする | 低 | 無料 | 最優先 |
| 2. パスワードをマネージャーで管理する | 低 | 無料〜月数百円 | 最優先 |
| 3. 重要データのバックアップを2か所に保存する | 中 | 月数百〜数千円 | 高 |
| 4. 全PCにウイルス対策ソフトを入れる | 低 | 月500〜550円/台前後 | 高 |
| 5. 「やってはいけないこと」を社内に共有する | 低 | 無料 | 中 |
まず対策1と2から始めれば、今日中に最低限の備えができる。
対策1. OSとソフトウェアの自動更新をONにする
なぜ重要か
WindowsやmacOSには定期的に「セキュリティパッチ」が配布される。発見されたセキュリティの穴を塞ぐ修正プログラムだ。
問題は、パッチが配布された瞬間に「この脆弱性がある」という情報が世界中に公開されることにある。攻撃者はすぐにその穴を突く自動プログラムを走らせる。OSのアップデートを放置している会社は、入り口を開けたまま放置している状態と同じだ。
「アップデートが面倒」「再起動が怖い」という理由で後回しにしている会社が多いが、これが最も狙われやすい隙を作る。
具体的な手順(Windows 11の場合)
- スタートメニューから「設定」を開く
- 「Windows Update」をクリックする
- 「詳細オプション」を開く
- 「更新プログラムを受け取ったらすぐにダウンロードしてインストールする」をONにする
- 「アクティブ時間」を設定して、業務時間中に強制再起動が入らないようにする(例:8:00〜18:00)
費用:無料
OfficeやブラウザのChrome・Edgeも同様に自動更新をONにしておく。ブラウザの設定メニューから「Chromeについて」を開くと、現在のバージョンと更新状況を確認できる。
対策2. パスワードをパスワードマネージャーで管理する
なぜ重要か
同じパスワードを複数のサービスで使い回している会社が多い。これが最大のリスクだ。
あるサービスがデータ漏洩を起こして自社のパスワードが流出したとき、同じパスワードを使っている他のサービス全てに不正アクセスされる。銀行口座、メール、クラウドストレージ——一度に全てが危険にさらされる。
具体的な手順(Bitwardenを使う場合)
Bitwarden(ビットウォーデン)は無料で使えるパスワードマネージャーだ。全員のパスワードを安全に一か所で管理できる。
- bitwarden.com にアクセスしてアカウントを作成する
- 使っているブラウザの拡張機能をインストールする(Chrome、Edgeに対応)
- 既存のパスワードをBitwardenに登録する
- 以降はBitwardenがランダムな強いパスワードを自動生成する。覚える必要はない
費用:個人・無料プランあり。ビジネスプランは月数百円/人〜
重要なアカウントには二段階認証を設定する
銀行口座、メール、会計ソフト(freeeやマネーフォワード等)には二段階認証(パスワードに加えてスマートフォンへの確認コード送信を求める仕組み)を設定する。
パスワードが漏洩しても、スマートフォンがなければログインできないため、不正アクセスを防げる。各サービスの「セキュリティ設定」または「アカウント設定」から設定できる。
対策3. 重要データのバックアップを2か所に保存する
なぜ重要か
ランサムウェアに感染すると、ネットワークに接続された全てのドライブのデータが暗号化される。社内のサーバーもNASも、ネットワークに繋がっていれば全滅する。
唯一の命綱は「ネットワークから切り離された場所に保存したバックアップ」だ。クラウドとオフラインの2か所に保存する体制を作る。
具体的な運用
クラウドストレージ(日常的な自動バックアップ)
Google WorkspaceまたはMicrosoft 365を使っている会社は、データが自動的にクラウドに保存される。この設定が有効になっているかを確認する。
費用:Google Workspace Business Starter 月800円/人〜(年契約・税抜)
外付けHDD(ランサムウェア対策のオフラインバックアップ)
週1回、重要データを外付けHDDにコピーする。コピーが終わったら必ずパソコンから取り外す。使わない時は繋いだままにしない。これだけでランサムウェアによる全滅を防げる。
費用:外付けHDD 1〜2万円(買い切り)
バックアップは「取った」で終わりではなく、月に1回「実際に復旧できるか」をテストする。バックアップがあっても開けなければ意味がない。
対策4. 全PCにウイルス対策ソフトを入れる
なぜ重要か
Windows 11には標準でMicrosoft Defender(ウイルス対策機能)が搭載されている。個人利用ならこれで一定の効果があるが、ビジネス用途では管理機能が不足する。
社員10人の会社で誰かのPCが感染した場合、管理者が全員のPCの状態を一か所で把握して対応する機能が必要になる。ビジネス向けのウイルス対策ソフトにはこの管理機能が含まれている。
具体的な製品の例
- ESET PROTECT Entry:年額ライセンスで管理画面がシンプルで使いやすい。最新価格は公式サイトで確認
- ウイルスバスター ビジネスセキュリティ:月550円/台前後。日本語サポートが充実
どの製品を選ぶかより「全員のPCに入っているか、定義ファイルが最新になっているか」を定期的に確認する運用を作ることが重要だ。
費用:月500〜550円/台前後(製品・契約条件により異なる)
対策5. 「やってはいけないこと」を1枚で社内に共有する
なぜ重要か
技術的な対策だけでは防げない攻撃がある。メール経由のウイルス(フィッシングメール)がその代表だ。
実在の取引先を装った偽メールの添付ファイルを開いた瞬間に感染するウイルスがある(Emotet等)。本物そっくりの見た目で届くため、セキュリティ意識の低い社員が誤ってクリックしてしまう。
技術的に100%防ぐことは難しい。社員全員が「何をしてはいけないか」を知っていることが、最も効果的な防御になる。
具体的な内容:社内ルール1枚
以下の内容をA4一枚にまとめて、全社員に配布・掲示する。
【セキュリティの基本ルール】
- 身に覚えのないメールの添付ファイルは開かない
(取引先を名乗っていても、不審な点があればまず電話で確認する)
- メール内の不審なURLはクリックしない
(「パスワードを更新してください」「荷物を配達できません」系のメールは要注意)
- 会社のパソコンに個人のUSBメモリを差し込まない
- パスワードをメモに書いてデスクや画面に貼り付けない
- 怪しいと感じたら、すぐに○○(セキュリティ担当)に報告する
費用:無料
難しい研修は不要だ。このルールを全員が知っているだけで、感染リスクは大きく下がる。
補助金を活用すれば費用を抑えられる
セキュリティ対策にかかる費用が不安な場合、国の補助金制度を活用できる可能性がある。IT導入補助金にはセキュリティ対策推進枠が設けられており、認定を受けたセキュリティ製品・サービスの導入費用に対して補助が出る仕組みだ。制度の名称や内容は年度ごとに変わるため、中小企業庁の公式サイトで最新情報を確認してほしい。
おおまかな進め方は以下の通り。
- 中小企業庁の補助金公式サイトで現行制度の概要を確認する
- 認定を受けたIT導入支援事業者(ベンダー)に相談する
- 必要書類を準備して申請する
申請に不慣れな場合は、補助金申請支援を行っているコンサルタントや社労士に相談する選択肢もある。
5つを終わらせたら次にやること
5つの対策が完了したら、以下を追加で検討する。
社内のセキュリティ担当を1人決める
兼務で構わない。「セキュリティに関する社内の問い合わせ窓口」を作るだけでいい。全社員がバラバラに判断する状態をなくすことが目的だ。
IPAの「5分でできる自社診断シート」で現状確認する
IPA(情報処理推進機構)が無料で公開しているチェックシートで、自社のセキュリティレベルを把握できる。IPAのサイトで「5分でできる自社診断シート」と検索すれば見つかる。
「SECURITY ACTION」に宣言する
IPAが提供する自己宣言制度で、「情報セキュリティ対策に取り組んでいる」と宣言できる。費用は無料。取引先への信頼性アピールにもなる。
まとめ
この記事で紹介した5つの対策を再確認する。
- OSとソフトウェアの自動更新をONにする(無料、今日できる)
- パスワードをパスワードマネージャーで管理する(無料〜月数百円)
- 重要データのバックアップを2か所に保存する(月数百円〜)
- 全PCにウイルス対策ソフトを入れる(月500〜550円/台前後)
- 「やってはいけないこと」を社内に1枚で共有する(無料)
全部を完璧にやる必要はない。まず対策1と2を今日の業務終わりに設定する。それだけで、何も対策していない大半の会社より安全な状態になれる。
セキュリティ対策は「完璧に準備できてから始める」ものではなく、「できることから順番にやる」ものだ。