クイックリファレンス
情報セキュリティ対策の
3分ガイド
パスワード管理・フィッシング・ランサムウェア・社員教育・インシデント対応を一枚まとめ
まず何から始めるべきか
セキュリティ担当に任されたんですけど、正直どこから手をつければいいかわからなくて……やること多すぎませんか?
気持ちわかるよ。でも最初から全部やろうとしなくて大丈夫。まず効果が高くて始めやすい3つに絞って取り組むのが正解だよ。
| 優先度 | 対策 | なぜ重要か | 難易度 |
|---|---|---|---|
| ★★★ | パスワードの使い回しをやめる + MFA導入 | 不正ログインの大半はパスワード漏えいが原因 | 低〜中 |
| ★★★ | 定期バックアップの仕組みを作る | ランサムウェア被害時の復旧手段になる | 中 |
| ★★☆ | フィッシングメール対策の社員周知 | 攻撃の入り口の大半がメール経由 | 低 |
この3つをやれば、とりあえず大丈夫ってこと?
「完璧」はないけど、被害に遭うリスクをぐっと下げることはできるよ。セキュリティは「やり切ったら終わり」じゃなくて、少しずつ積み上げていくもの。まずこの3つで土台を作って、そのあとVPNや社内ルール整備に進むのがおすすめの順番だよ。
コストはどのくらいかかりますか?予算がほとんどないと上司に言われていて……。
この3つはお金をほとんどかけずに始められるよ。パスワードマネージャーは無料プランがあるし、MFAもスマホアプリで無料。バックアップはクラウドストレージ(Google DriveやOneDriveなど)を活用すれば低コストで済む。大事なのはお金より「仕組みを作ること」だからね。
パスワード管理のきほん
うちの社員、全員同じパスワードを使い回してると思うんですよね……よくないですか?
それ、かなりまずいよ。使い回しは一番やってはいけないこと。どこか1か所でパスワードが漏れたら、全サービスに不正アクセスされる「パスワードリスト攻撃」の格好の的になるからね。
パスワード管理の3原則
- サービスごとに異なるパスワードを使う——「同じパスワードを複数サービスで使い回さない」はセキュリティの基本中の基本
- 12文字以上の複雑なパスワードにする——英大文字・小文字・数字・記号を混ぜた12文字以上が目安。「Pa$$w0rd」のような単純な置き換えはNG
- パスワードマネージャーを使う——人間が複数の複雑なパスワードを覚えるのは無理。ツールに任せるのが現実解
おすすめのパスワードマネージャー
| ツール名 | 料金(法人) | 特徴 |
|---|---|---|
| 1Password | 約700円/月/人〜 | UIが使いやすく法人向け機能が充実。管理者がメンバーのアクセスを管理できる |
| Bitwarden | 無料〜約440円/月/人 | オープンソース。無料でも十分使える。コスト重視の会社向け |
| LastPass | 約500円/月/人〜 | 知名度が高く導入実績多数。過去に一部情報漏えいがあったため選定時は最新情報を確認 |
MFAって聞いたことあるんですけど、なんですか?
MFA(多要素認証)は、パスワードだけでなく「もう一つの確認」を組み合わせてログインする仕組みだよ。たとえばパスワードを入力した後に、スマホに届く6桁のコードを入力するやつ。パスワードが盗まれても、スマホがないとログインできないから安全度がぐっと上がる。
代表的な方法は3つ。
- SMS認証——携帯番号にコードが届く。手軽だが SIMスワップ攻撃には弱い
- 認証アプリ——Google AuthenticatorやMicrosoft Authenticatorなどのアプリでコードを生成。SMSより安全でおすすめ
- ハードウェアキー——YubiKeyなどのUSBデバイス。最も安全だがコストがかかる
社員がMFAの設定を嫌がりそうで……うまく導入するコツはありますか?
「なぜ必要か」を丁寧に説明するのが一番大事。「会社のルールだから」だけじゃ動いてくれないからね。「パスワードが漏れても会社のデータが守られる仕組み」と説明すると理解されやすいよ。設定手順書を用意して、IT担当が一緒に設定する時間を取るのも効果的。最初の数人に導入してもらって「思ったより簡単だった」という声を広めていくのがスムーズだよ。
フィッシング・ランサムウェアへの備え
フィッシングメールって最近多いって聞くんですが、本物と偽物ってどうやって見分けるんですか?
フィッシングメールには共通のパターンがあるよ。慣れると見分けられるようになるから、社員全員に知っておいてほしい。
フィッシングメールの見分け方チェックリスト
- 送信元アドレスが怪しい——「amazon-support@gmail.com」のように、本物の企業ドメインではないアドレスを使っている
- URLが微妙に違う——「amaz0n.co.jp」「amazon-login.net」など、本物に似せた偽ドメイン。リンクにカーソルを乗せてURLを確認する習慣をつけよう
- 「今すぐ対応しないとアカウントが停止」などの煽り文句——焦らせて判断力を鈍らせるのが手口。急かされるほど立ち止まることが大事
- 不自然な日本語・誤字脱字——機械翻訳に頼った文章は不自然な言い回しが多い
- 心当たりのない添付ファイル——.exe、.zip、.docxなど、開くとマルウェアが実行されることがある
ランサムウェアって実際どんな被害が起きるんですか?バックアップがあれば本当に大丈夫なんですか?
ランサムウェアは会社のデータを暗号化して使えなくして、復元と引き換えに身代金を要求するマルウェアのこと。国内でも病院や製造業が被害を受けて業務停止になった事例が多数ある。
バックアップがあれば復旧できる可能性は高いけど、バックアップの取り方が間違ってると意味がなくなる。ポイントはこれだよ。
- 3-2-1ルール——データのコピーを3つ、2種類のメディア(例:社内サーバー + クラウド)に保存し、1つはオフサイト(別の場所)に保管する
- バックアップ先もランサムウェアに感染しないようにする——常時接続のネットワークドライブのバックアップは、本体が感染すると一緒に暗号化されることがある。クラウドのバージョン管理機能や、接続を切ったHDDへのバックアップが有効
- 定期的に復元テストをする——バックアップがあるだけでは不十分。実際に復元できるか年1回は確認しよう
もし社員がうっかりフィッシングのリンクを踏んでしまったら、どうすればいいんですか?
まずすぐにIT担当者(あなた)に報告してもらうこと。「やってしまった……」と隠されるのが一番まずい。だから日頃から「報告しやすい雰囲気」を作っておくことが大切。
初動としては
- リンクを踏んだPCをネットワークから切り離す(LAN抜く・Wi-Fi切る)
- パスワードを入力してしまった場合は、すぐに対象サービスのパスワードを変更してMFAを有効化
- 社内のIT担当・経営者に状況を報告して対応を指示してもらう
社員への周知をどうするか
社員にセキュリティのルールを守ってもらうのって、難しいですよね。メールで送っても読んでもらえなさそうで……。
そう、メール一本じゃまず読まれないよ。周知の設計が大事。「ルールを決めて終わり」じゃなく、社員が自然に動けるようにする仕組みを作ることが重要だよ。
効果的なセキュリティ周知の3ステップ
- ステップ1:ルールを「最小限・明確に」決める——「セキュリティポリシー」として社内文書を作るのが理想。最初から完璧なものを目指さず、「パスワードの使い回し禁止」「フィッシングリンクは踏まない」「インシデントはすぐ報告」の3つから始めてもいい
- ステップ2:入社時・年1回の研修を義務化する——知識は時間が経つと薄れる。定期的に「思い出す機会」を作ることが大事。10分のビデオ研修+簡単なクイズ形式でも効果がある
- ステップ3:報告しやすい文化を作る——「やらかしたら怒られる」文化だと、インシデントが隠蔽される。「早期報告したら評価される」文化に変えることで、被害を最小化できる
研修コンテンツって自分で作らないといけないんですか?それはちょっと大変で……。
全部自作しなくて大丈夫だよ。無料で使えるコンテンツがいくつかあるから、うまく活用しよう。
- IPA(情報処理推進機構)の資料——「情報セキュリティ10大脅威」など、無料でダウンロードできる教材が充実している。社員向け研修に使いやすい
- 動画サービス——YouTubeやIPAの動画コンテンツを活用。「フィッシングとは」「ランサムウェアとは」で検索すると、社員に見せやすいものが見つかる
- フィッシング訓練ツール——KnowBe4(有料)やGoogle製の無料フィッシングクイズなどを使って、社員の意識レベルを把握する方法もある
VPNって使ったほうがいいですか?テレワークが増えてきていて気になってます。
テレワークがある環境ならVPNは積極的に導入してほしいよ。VPN(仮想プライベートネットワーク)は、インターネット上の通信を暗号化してセキュリティを高める仕組み。
特にこういう場面で重要になる。
- カフェや公共Wi-Fiから会社のシステムに接続するとき——暗号化されていない通信は盗聴される可能性がある
- 社外から社内サーバーにアクセスするとき——VPNを通じてのみアクセスを許可することで、不正アクセスのリスクが下がる
インシデントが起きたら
もし本当にセキュリティ事故が起きたら……どう動けばいいか全然わからないです。パニックになりそう。
パニックは自然なことだよ。だから事前に「フロー」を決めておくことが大事。実際に起きてから考えようとしても遅いからね。こういうフローを社内で共有しておこう。
| フェーズ | やること | 担当 | 目安時間 |
|---|---|---|---|
| ① 検知・報告 | 異常を発見した社員がIT担当者に即報告。メール・チャット・電話いずれでも可 | 発見した社員 | 発見後 即時 |
| ② 初動対応 | 感染・漏えいが疑われる機器をネットワークから切り離す。状況の記録・スクリーンショットを残す | IT担当者 | 報告後 30分以内 |
| ③ 影響範囲の把握 | 何が・どこまで・いつから影響を受けているかを確認。ログの確認・パスワード変更 | IT担当者 + 経営者 | 数時間以内 |
| ④ 関係者への連絡 | 個人情報漏えいの可能性がある場合は個人情報保護委員会への報告が法律上必要。取引先・顧客への連絡も検討 | 経営者 + IT担当者 | 72時間以内(法律上の目安) |
| ⑤ 復旧 | バックアップからの復元・システム再構築。再発防止策の検討・実施 | IT担当者 + 必要に応じて外部専門家 | 状況による |
個人情報が漏れたかもしれないとき、どこに報告すればいいんですか?
2022年に改正個人情報保護法が施行されて、一定の条件を満たす場合は個人情報保護委員会への報告が義務になったよ。報告が必要なケースは主にこれ。
- 不正アクセスによる個人情報の漏えい(件数に関わらず)
- 要配慮個人情報(病歴・障害情報など)の漏えい
- 財産的損害を引き起こす可能性がある漏えい
- 1,000件以上の個人情報の漏えい
自社だけで対応できないときは、どこに助けを求めればいいですか?
専門家に頼むのは全然恥ずかしいことじゃないよ。むしろ手に負えないと判断したら早めに外部を頼ることが被害を最小化するコツ。
- IPA(情報処理推進機構)——「情報セキュリティ安心相談窓口」で無料相談が可能
- 警察のサイバー犯罪相談窓口——都道府県警察のサイバー犯罪相談窓口に相談できる
- セキュリティ専門企業——フォレンジック調査(不正アクセスの原因調査)が必要なときは専門会社に依頼。費用はかかるが、原因究明なしに再発防止はできない
まとめ
「ITの専門家じゃないのにセキュリティ担当に……」って状況はよくある話。でも完璧を目指す必要はなくて、基本を押さえてリスクを下げることが目標だよ。この5つだけ覚えておいてね。
- パスワードの使い回しをやめる——パスワードマネージャー + MFAの導入が最優先。コストも低く効果が高い
- バックアップを仕組み化する——ランサムウェア対策の最後の砦。3-2-1ルールを意識して、復元テストも忘れずに
- フィッシングの見分け方を社員全員が知っている状態にする——送信元・URL・煽り文句の3点チェックを習慣化。報告しやすい文化がセットで必要
- インシデント対応フローを事前に決めておく——起きてから考えるのでは遅い。「誰に・何を・いつまでに」を文書化して共有する
- 一人で抱え込まない——IPA・警察・専門業者など外部リソースを知っておく。テレワーク環境ではVPN導入も検討しよう
セキュリティは「やって終わり」じゃなくて、じわじわ積み上げていくものだよ。今日からできることを一つ決めて、まず動いてみてね。「担当になってしまった」じゃなくて、「会社を守れる担当になれた」って思えるようになるから。応援してるよ!