中小企業が今すぐ確認したいサイバー攻撃対策10項目|被害を防ぐ基本とサイバー保険の考え方
「最近、サイバー攻撃のニュースをよく見るけれど、うちのような小さな会社も狙われるのだろうか」
「何か対策をした方がよいとは思うけれど、何から始めればいいのか分からない」
このような不安を持つ中小企業の経営者の方は少なくありません。
サイバー攻撃というと、大企業やIT企業だけの問題に思われがちです。しかし実際には、セキュリティ対策に十分な人員や予算をかけにくい中小企業も、攻撃の対象になり得ます。さらに、取引先や顧客情報を持っている企業であれば、規模に関係なく情報漏えい・業務停止・損害賠償などのリスクがあります。
大切なのは、完璧な対策を一度に目指すことではありません。まずは基本を押さえ、自社にとって重要な情報や業務を守る体制を少しずつ整えていくことです。
この記事では、中小企業が今すぐ確認したいサイバー攻撃対策を10項目に分けて解説します。あわせて、万が一の被害に備えるサイバー保険の考え方についても紹介します。
サイバー攻撃は中小企業にとっても現実的なリスク
サイバー攻撃とは、インターネットやコンピューター、メール、クラウドサービスなどを通じて、企業の情報を盗み取ったり、システムを停止させたり、不正に金銭を要求したりする行為のことです。
代表的な手口には、次のようなものがあります。
- 偽メールや偽サイトに誘導してID・パスワードを盗むフィッシング詐欺
- データを暗号化して業務を止め、復旧と引き換えに金銭を要求するランサムウェア
- パスワードの使い回しや弱い設定を狙った不正ログイン
- 取引先や委託先を経由して侵入するサプライチェーン攻撃
- 不正アプリや添付ファイルを使ったウイルス感染
「うちは大きな会社ではないから狙われない」と考えるのは危険です。攻撃者は、会社の規模よりも「侵入しやすいかどうか」を見ています。セキュリティ対策が甘い企業は、攻撃者にとって入り口になりやすいのです。
また、中小企業が大企業の取引先になっている場合、自社を経由して取引先に被害が広がる可能性もあります。そうなると、自社だけの問題では済まず、取引停止や信用低下につながるおそれもあります。
サイバー攻撃を受けると何が起きるのか
サイバー攻撃の被害は、単に「パソコンが壊れる」という話ではありません。実際には、事業全体に大きな影響が出る可能性があります。
たとえば、ランサムウェアに感染すると、見積書・請求書・顧客名簿・設計データなどが開けなくなり、受注、出荷、請求、顧客対応が止まってしまうことがあります。復旧に数日から数週間かかれば、その間の売上損失や人件費、取引先への対応費用も発生します。
顧客情報や取引先情報が流出した場合には、謝罪、原因調査、再発防止策の説明、場合によっては損害賠償対応が必要になります。個人情報が含まれる場合、内容によっては個人情報保護委員会への報告や本人への通知が必要になることもあります。
さらに、社内では「誰が対応するのか」「顧客に何を伝えるのか」「業務をどう再開するのか」が決まっていないと、混乱が大きくなります。サイバー攻撃は、技術の問題であると同時に、経営上のリスクでもあるのです。
中小企業が確認すべきサイバー攻撃対策10項目
ここからは、今日から確認できる対策を10項目に整理して紹介します。
1. OS・ソフト・アプリを最新の状態にする
最初に確認すべきなのは、パソコンやスマートフォン、業務用ソフト、ブラウザなどが最新の状態になっているかどうかです。
OSやソフトの更新には、便利機能の追加だけでなく、セキュリティ上の弱点を修正する内容が含まれています。更新を放置していると、古い弱点を狙われて侵入されるリスクが高まります。
社内で使っている端末については、次の点を確認しましょう。
- Windows、Mac、スマートフォンのOSを最新にしているか
- ブラウザやOfficeソフトを更新しているか
- 使っていない古いソフトを放置していないか
- 自動更新が有効になっているか
特に、退職者が使っていた古い端末や、普段あまり使わない共有パソコンは更新が止まりがちです。台数が少ない会社ほど、端末ごとの確認表を作っておくと管理しやすくなります。
2. パスワードを使い回さず、多要素認証を設定する
パスワードは、サイバー攻撃の入口になりやすい部分です。
「company123」「password」「生年月日」「会社名+数字」のような単純なパスワードは非常に危険です。また、同じパスワードを複数のサービスで使い回していると、1つのサービスから漏れた情報を使って、別のサービスにも不正ログインされる可能性があります。
パスワード管理では、次の点を意識しましょう。
- サービスごとに異なるパスワードを使う
- 長く、推測されにくいパスワードにする
- 社員同士でパスワードを共有しない
- 可能であればパスワード管理ツールを使う
- 重要なアカウントには多要素認証を設定する
なお、以前は「定期的にパスワードを変更する」ことがよく勧められていました。しかし現在は、むやみに短期間で変更するよりも、使い回しを避け、長く強いパスワードを使い、漏えいの疑いがある場合に速やかに変更することが重要です。
メール、クラウド会計、ネットバンキング、SNS、ECサイトの管理画面などは、必ず多要素認証を設定しておきましょう。
3. 重要データを定期的にバックアップする
ランサムウェアや誤操作、端末故障に備えるうえで、バックアップは非常に重要です。
バックアップがない状態でデータを暗号化された場合、業務再開までに大きな時間と費用がかかります。一方、適切なバックアップがあれば、被害を受けても復旧できる可能性が高まります。
バックアップでは、次の点を確認してください。
- 顧客名簿、契約書、請求書、会計データなどを定期的に保存しているか
- 外付けハードディスクやクラウドなど、複数の保存先を使っているか
- バックアップしたデータから実際に復元できるか確認しているか
- バックアップ先までウイルス感染しないよう管理しているか
「バックアップしているつもり」でも、復元できなければ意味がありません。月に1回でもよいので、重要なファイルを実際に復元できるか確認しておくことをおすすめします。
4. 不審なメール・添付ファイル・リンクを開かないルールを作る
サイバー攻撃の多くは、メールを入口にして始まります。
請求書、見積書、宅配便通知、金融機関からのお知らせ、クラウドサービスのログイン通知などを装い、添付ファイルを開かせたり、偽サイトに誘導したりする手口があります。最近では、日本語の文章も自然になっており、一目で偽物と判断しにくくなっています。
社内では、次のようなルールを決めておくとよいでしょう。
- 心当たりのない添付ファイルは開かない
- メール内のリンクから安易にログインしない
- 送信元のメールアドレスを確認する
- 不審なメールは削除する前に担当者へ報告する
- 判断に迷ったら本人や取引先に別の手段で確認する
大切なのは、社員を責めることではなく、迷ったときに相談できる仕組みを作ることです。「不審なメールを開かないで」と言うだけでは不十分です。具体的に「誰に報告するか」まで決めておきましょう。
5. 社内Wi-Fiと共有フォルダの権限を見直す
社内Wi-Fiや共有フォルダの設定が甘いと、外部からの侵入や社内での情報漏えいにつながる可能性があります。
Wi-Fiについては、次の点を確認しましょう。
- 初期設定のパスワードを変更しているか
- 推測されにくいパスワードを設定しているか
- 来客用と業務用のネットワークを分けているか
- 退職者や外部業者が過去に使った接続情報を放置していないか
共有フォルダについては、全員がすべての情報を見られる状態になっていないか確認が必要です。部署や役職、業務内容に応じて、閲覧・編集できる範囲を分けましょう。
特に、顧客情報、給与情報、契約書、経理資料などは、必要な人だけがアクセスできる状態にしておくべきです。情報管理は「見られて困る人を疑う」ためではなく、「万が一の被害範囲を広げない」ために行うものです。
6. 業務用スマートフォン・タブレットの設定を確認する
サイバー対策というとパソコンに目が向きがちですが、スマートフォンやタブレットも重要です。
業務用スマートフォンには、メール、チャット、顧客情報、写真、クラウドサービスへのログイン情報などが入っていることがあります。紛失や盗難、不正アプリのインストールによって、情報漏えいにつながる可能性があります。
最低限、次の設定は確認しておきましょう。
- 画面ロックを設定しているか
- 生体認証や複雑なパスコードを使っているか
- 業務に不要なアプリを入れていないか
- OSやアプリを最新にしているか
- 紛失時に端末を探す・遠隔でロックする設定があるか
個人スマートフォンを業務に使っている場合は、さらに注意が必要です。どこまで業務利用を認めるのか、会社としてルールを決めておきましょう。
7. 社員向けの簡単なセキュリティルールを作る
セキュリティ対策は、情報システム担当者だけが頑張るものではありません。社員全員が同じ基準で行動できるよう、簡単なルールを作っておくことが重要です。
たとえば、次のような内容です。
- 不審なメールを受け取ったら上長または担当者に報告する
- 業務データを私物USBメモリに保存しない
- 会社のアカウントを個人利用しない
- パスワードを紙に書いて机に貼らない
- 退職者のアカウントは速やかに停止する
- 顧客情報を社外に持ち出す場合は事前承認を得る
難しいマニュアルを作る必要はありません。むしろ、最初はA4一枚で十分です。読まれない分厚いルールより、全員が理解できる短いルールの方が効果があります。
8. 事故が起きたときの初動対応を決めておく
サイバー攻撃を完全に防ぐことはできません。だからこそ、起きたときの初動対応を決めておく必要があります。
たとえば、パソコンに見慣れない警告が出た、ファイルが開けなくなった、不審なログイン通知が届いた、顧客から怪しいメールが届いたと連絡があった。このようなときに、社員が自己判断で操作を続けると、被害が広がる可能性があります。
初動対応として、最低限次の流れを決めておきましょう。
- 異常に気づいたら、すぐに上長または担当者へ報告する
- 感染が疑われる端末はネットワークから切り離す
- 画面表示や発生時刻などを記録する
- 勝手に電源を落としたり、ファイルを削除したりしない
- 必要に応じて専門業者、保険会社、取引先へ連絡する
特に重要なのは、報告先を明確にしておくことです。「何かあったら誰に言えばよいか」が決まっていない会社では、初動が遅れます。
9. 公的機関や専門家の支援を活用する
中小企業がすべてを自社だけで判断するのは現実的ではありません。分からないことは、外部の支援を活用することも大切です。
たとえば、IPAなどの公的機関が提供しているセキュリティ診断、動画教材、注意喚起情報は、社内教育にも役立ちます。商工会議所、IT支援機関、セキュリティ会社、保険会社の相談窓口などを活用する方法もあります。
外部に相談するタイミングは、問題が起きてからだけではありません。
- 自社のセキュリティ対策が十分か不安なとき
- クラウドサービスを新しく導入するとき
- 社員が増えてアカウント管理が複雑になったとき
- 顧客情報や決済情報を扱うようになったとき
- 取引先からセキュリティ体制を確認されたとき
こうしたタイミングで一度見直しておくと、後から慌てずに済みます。
10. サイバー保険で事故後の費用に備える
どれだけ対策をしても、サイバー攻撃のリスクをゼロにすることはできません。そこで考えておきたいのが、サイバー保険です。
サイバー保険は、攻撃そのものを防ぐものではありません。しかし、万が一被害を受けたときに発生する費用に備える手段になります。
一般的には、次のような費用が補償対象となる場合があります。
- 原因調査費用
- データ復旧費用
- 弁護士費用
- 損害賠償金
- 顧客や取引先への対応費用
- 謝罪広告や広報対応費用
- 事故対応の専門家への相談費用
ただし、補償内容は保険会社や契約内容によって異なります。加入を検討する際は、「何が補償されるか」だけでなく、「何が補償されないか」も確認することが重要です。
また、保険に入っていれば対策をしなくてよい、ということではありません。日頃のセキュリティ対策と、事故後の金銭的な備えをセットで考えることが大切です。
サイバー保険を検討するときに確認したいポイント
サイバー保険を選ぶ際には、保険料だけで判断しないことが大切です。自社の業務内容や持っている情報によって、必要な補償は変わります。
確認したい主なポイントは、次のとおりです。
- 情報漏えい時の損害賠償に対応しているか
- 原因調査や復旧費用が補償されるか
- ランサムウェア被害に対応しているか
- 事故発生時の相談窓口や専門家支援があるか
- 業務停止による損失に対応しているか
- 免責事項や補償対象外となるケースは何か
- 自社の業種や売上規模に合った補償額か
中小企業の場合、必要以上に大きな補償を付けると保険料が負担になります。一方で、肝心なリスクが補償されていなければ、いざというときに役に立ちません。
まずは、自社がどのような情報を持っているのか、どの業務が止まると困るのか、取引先からどのような責任を問われる可能性があるのかを整理することから始めましょう。
まとめ:サイバー対策は「できることから始める」ことが重要
サイバー攻撃は、特別な企業だけが受けるものではありません。中小企業であっても、顧客情報、請求書、取引先情報、業務データを持っている以上、攻撃の対象になり得ます。
とはいえ、最初から高額なシステムを導入する必要はありません。まずは、次の10項目を確認することから始めてください。
- OS・ソフト・アプリを最新の状態にする
- パスワードを使い回さず、多要素認証を設定する
- 重要データを定期的にバックアップする
- 不審なメール・添付ファイル・リンクを開かないルールを作る
- 社内Wi-Fiと共有フォルダの権限を見直す
- 業務用スマートフォン・タブレットの設定を確認する
- 社員向けの簡単なセキュリティルールを作る
- 事故が起きたときの初動対応を決めておく
- 公的機関や専門家の支援を活用する
- サイバー保険で事故後の費用に備える
サイバー対策で大切なのは、「うちは大丈夫」と思い込まないことです。小さな会社ほど、1つの被害が経営に与える影響は大きくなります。
だからこそ、日頃の予防策と、万が一のときの備えを両方整えておくことが重要です。
株式会社UPDATEでは、中小企業の皆さまに向けて、事業内容やリスクに応じた保険のご相談を承っています。サイバー保険を含め、自社にどのような備えが必要か確認したい方は、お気軽にご相談ください。
