Security Step Guide

中小企業のセキュリティ対策、
ここから始めてください。

IPA5か条からISMS認証まで。自社に合ったレベルを判断し、具体的な設定手順を1ページにまとめました。

まず自社のステージを確認する

自社に合ったステージを確認する

現在の状況に近いカードを選んでください。該当するステージの手順に移動します。

まず何かやりたい / IT専任がいない Stage 1 へ → 顧客の個人情報を保有している Stage 1 を確実に → 機密情報(設計図・財務データ)を扱う Stage 2 へ → オンラインサービス・ECサイトを運営 Stage 2 へ → 取引先からISMS要件がある Stage 3 へ →
IPAが無料で公開している「5分でできる!情報セキュリティ自社診断」もあわせて活用してください。25問・約5分で現在地が分かります。

Stage 1

最低ライン: IPA情報セキュリティ5か条

対象: まず何かやりたい / IT専任がいない企業 コスト: ほぼゼロ
第1条: OS・ソフトウェアを最新に保つ

Windows Updateの設定手順

スタート → 設定 → Windows Update → 詳細オプション

「更新プログラムを自動的にダウンロードしてインストールする」をONにします。「アクティブ時間」も設定しておくと、たとえば8:00〜19:00を業務時間に指定すれば、更新による再起動は業務時間外に走ります。

Microsoft 365の更新

Word・Excelも忘れがちです。ファイル → アカウント → 更新オプション → 「自動的に更新」をONにします。

よくある落とし穴

「再起動を後でする」を毎回押している。この操作を続けると更新が永遠に適用されません。会計ソフトや顧客管理ソフトなど、Windows以外の業務ソフトのアップデートを見落としているケースも多いです。

第2条: ウイルス対策ソフトの状態確認

Windows Defenderの確認手順

タスクバー右下の「^」マーク → Windowsセキュリティ(盾アイコン) → 「ウイルスと脅威の防止」

「リアルタイム保護」がONになっているかを確認します。Windows 10以降なら標準搭載で無料です。リアルタイム保護、ウイルス定義の自動更新、フィッシングサイトのブロック(SmartScreen)、ランサムウェア対策がカバーされます。

有料ソフトが必要なケース

複数台のPCを1画面で一元管理したい場合や、メール添付ファイルをサーバーレベルでスキャンしたい場合です。中小企業向けエンドポイント製品は1台あたり年間3,000〜8,000円が目安です。PC数台の規模なら、まずDefenderで始めて問題ありません。

よくある落とし穴

有料ソフトを買ったのにDefenderを無効化して設定が中途半端になっているケース。「無料セキュリティソフト」を謳ったマルウェアをインストールしてしまうケースもあります。ソフトを増やすよりも、今入っているものが確実に動いているかの確認が先です。

第3条: パスワード強化

IPA推奨ルール

  • 12文字以上、英大小文字・数字・記号を混在させる
  • サービスごとに異なるパスワードを使う
  • 多要素認証(MFA)を設定する

参考: IPAのアカウント管理に関する注意喚起

パスワードマネージャーの導入

「サービスごとに違うパスワード」を頭で覚えるのは無理です。無料で使える選択肢として:

  • Bitwarden: 無料プランあり。オープンソースで、チーム共有機能もあり
  • KeePass: 完全無料。ネット不要のローカル保存型

よくある落とし穴

パスワードをExcelファイルにまとめて共有フォルダに置いている。そのファイルが漏れたら全滅です。退職者のアカウント削除を忘れているケースも多く、棚卸しの習慣がないと元社員が社内システムにアクセスできる状態が残ります。

第4条: 共有設定の見直し

Windowsファイル共有の確認手順

コントロールパネル → ネットワークとインターネット → ネットワークと共有センター → 「共有の詳細設定の変更」

確認するのは2点です。「パブリックネットワークでの共有」がOFF。「パスワード保護共有」がON。

クラウドの共有リンク棚卸し

OneDriveなどのファイルを右クリック → 「共有」で、リンクの有効期限やアクセス権を確認できます。「リンクを知っている全員が編集可能」になっているファイルがあれば、棚卸しの対象です。

よくある落とし穴

Windowsの共有フォルダに「Everyone書き込み権限」が残ったまま。クラウドの共有リンクを取引先に送った後、ずっと共有が生きている。共有設定は「作るとき」は意識しても「消すとき」が抜け落ちがちです。半年に1回、棚卸しの日を決めておくだけで防げます。

第5条: 情報収集の習慣

無料の情報源

IPAメルマガ登録

一番手軽なのはIPAのメルマガに登録することです。週1回、最新の脅威情報が届きます。登録は数分で終わります。

よくある落とし穴

セキュリティベンダーのSNSだけ見て、一次情報(IPAや警察庁)を見ていない。ベンダーの発信は自社製品に絡めた内容が多いので、偏りが出ます。「見た気がする」で終わって、社内で共有も対処もしていないのも典型的です。月に1回、朝礼やチャットで「今月のセキュリティトピック」を共有するだけで変わります。

優先順位ガイド

今日(5分) Defenderのリアルタイム保護がONか確認 + Windows Updateの自動更新がONか確認
今週中 IPAのメルマガを登録 + OneDriveの共有リンクを1つ棚卸し
来週まで パスワードマネージャーを1つ試す(Bitwardenの無料版から)

Stage 2

標準ライン: CIS Controls IG1

対象: 機密情報を扱う企業 / ECサイト運営企業 コスト目安: 年間10〜15万円
1 アカウント棚卸し 2〜4h / 無料
2 管理者MFA設定 1〜3h / 無料
3 情報資産管理台帳 4〜8h / 無料
4 バックアップ3-2-1設計 4〜8h / 月500円〜
5 Windowsイベントログ設定 2〜4h / 無料
アクション1: アカウント棚卸し

やること

全ユーザーアカウントをリスト化し、退職者・不要アカウントを無効化・削除します。退職者のアカウントが放置されていると、不正アクセスの入口になります。

使えるツール

CIS Controls コントロール5「アカウント管理」に対応

アクション2: 管理者アカウントへのMFA設定

なぜ管理者にMFAが必要か

パスワードを強くしても、パスワード単体では突破されることがあります。管理者権限を持つアカウントが乗っ取られると、社内システム全体が危険にさらされます。

設定手順

  • Microsoft Entra ID: 「セキュリティデフォルト」機能で管理者へのMFA強制を設定
  • Google Workspace: 管理コンソール →「セキュリティ」→「認証」→「2段階認証プロセス」で全ユーザーに強制可能

有料が必要なケース

条件付きアクセスポリシー(ユーザーごとにMFAの条件を細かく設定する機能)を使いたい場合。Microsoft Entra ID P1で899円/ユーザー/月が目安です。最新の料金は公式サイトで確認してください。

CIS Controls コントロール6「アクセス制御」に対応

アクション3: 情報資産管理台帳の作成

なぜ必要か

何を守るべきか分からないまま対策を積み上げても、穴は残ります。「自社にある大事な情報は何か」「それはどこに保存されているか」を一覧にする作業です。

テンプレート

IPAの中小企業向けガイドラインにExcelテンプレートが付属しています。

最低限書く7項目

  1. 資産番号(管理用ID)
  2. 資産名(「顧客データベース」「給与管理システム」など)
  3. 種別(情報 / ハードウェア / ソフトウェア / 紙媒体)
  4. 保管場所(物理場所 or クラウドサービス名)
  5. 管理部門・管理者
  6. 機密性レベル(高=社外秘 / 中=社内限定 / 低=公開可)
  7. 最終確認日

運用のコツ

  • 「ファイル1本ずつ」ではなく「情報の種類」単位で管理する
  • Slack、freee、Notionなどクラウドサービスもリストに入れる
  • 半年に1回の棚卸しを年間スケジュールに組み込む

CIS Controls コントロール1・2「資産管理」に対応

アクション4: バックアップの3-2-1設計

3-2-1ルールとは

バックアップの業界標準(CISAが推奨)です。

  • 3: データを3箇所に保持(オリジナル + バックアップ2つ)
  • 2: 2種類の異なるメディアに保存(例: ローカルHDD + クラウド)
  • 1: 1つはオフサイト(物理的に別の場所)に保管

低コスト構成(月額0〜3,000円)

  • ローカル: Windows Server Backup(標準機能・無料)
  • クラウド: OneDrive for Business(Microsoft 365付属・1TB)

推奨構成(月額3,000〜10,000円)

  • ローカル: 外付けHDDへの自動バックアップ
  • クラウド: Acronis、Veeam等の専用バックアップサービス

復元テスト

月1回、実際にファイルを復元して中身を確認してください。「バックアップが取れている」のと「戻せる」のは別の話です。

RTO/RPOの考え方

「障害が起きたら何時間以内に業務を再開できるか(RTO)」「いつ時点のデータまで失って許容できるか(RPO)」を決めておくと、バックアップの頻度と保存先が自然に決まります。

CIS Controls コントロール11「データリカバリ」に対応

アクション5: Windowsイベントログの設定

なぜログが必要か

インシデントが起きた後に「いつ、誰が、何をしたか」を追えないと、原因の特定も再発防止もできません。ログは事後に取得できないデータです。

設定手順

Windows標準のイベントビューアー(eventvwr.msc)で設定します。

  1. ログの最大サイズをデフォルトの20MBから200MB程度に拡張(「Windowsログ」→「セキュリティ」→ プロパティ)
  2. 最低限チェックするイベントIDを決めておく

チェックすべきイベントID

イベントID内容
4624ログオン成功
4625ログオン失敗(不正ログイン試行の検知)
4672管理者権限でのログオン
4720ユーザーアカウント作成
4726ユーザーアカウント削除
7045新規サービスインストール(マルウェア検知)

SIEMがなくても、イベントビューアーの「カスタムビュー」で上記IDを絞り込み設定しておけば、月1回の確認で異常の兆候を拾えます。参考: Microsoft セキュリティ監査の概要

CIS Controls コントロール8「ログ管理」に対応

費用感の整理

5つのアクションのうち4つは無料で始められます。コストがかかるのは主にバックアップ関連です。

項目費用目安(従業員30名規模)
クラウドバックアップ追加月額3,000〜10,000円(年間3.6〜12万円)
パスワードマネージャー(チーム版)年間約1.5万円
IG1対策の純増コスト合計年間10〜15万円程度

デジタル化・AI導入補助金(セキュリティ対策推進枠)を使えば、対象ツールに対して補助が適用される場合があります。年度により制度内容が変わるため、公式サイトで最新情報を確認してください。

Stage 3

高度ライン: ISMS / ISO 27001

対象: 取引先からISMS要件を求められている企業 コスト目安: 初年度 数百万円〜

ISMSとISO 27001

ISMSは「情報セキュリティマネジメントシステム」の略です。情報を守る仕組みを作って、それを回し続ける仕組みです。ISO 27001はその国際基準。JAB(日本適合性認定協会)が認定した審査機関に「基準通りに回せています」と確認してもらうのがISMS認証です。

認証を取った企業はJIPDECのデータベースに登録・公開されます。ISO 27001は2022年に改訂されており、これから取る企業は最新の2022年版で始めます。

取る方向で考えたほうがよいケース

  • 取引先から契約条件としてISMS認証を明示されている
  • 官公庁・自治体の情報システム入札に参加したい(認証が要件の案件がある)
  • 大量の個人情報・機密情報を預かっていて、漏洩が経営上の致命傷になる

今は急がなくてよいケース

  • 取引先からの要求が「あればいいね」程度の温度感で、明示的な取得条件ではない
  • ステージ2(CIS Controls IG1)がまだ完了していない。順序として先にやることがある
  • プライバシーマーク(Pマーク)で取引先の要件を満たせる場合。両方取ると維持コストが重複する

東海エリア製造業向け補足: TISAX

自動車産業のサプライチェーンでは、Tier1からのセキュリティ要求がTier2以下に波及する動きが出ています。ISMSとは別に、自動車業界向けのTISAXという認証を求められるケースもあります。取引先から何か言われたら、ISMSなのかTISAXなのか、まず「何を」求められているのかを確認してください。

取ると決めたら: 5ステップロードマップ

合計で最短9〜12ヶ月程度。中小企業が無理なく進めるなら、1年は見ておくのが現実的です。

01

体制構築・適用範囲の決定

目安1〜3ヶ月。ISMS推進の委員会を作り、管理責任者を決めます。全社で取るか、特定の部署だけにするかの範囲もここで決めます。

02

規程・手順書の整備

目安2〜4ヶ月。情報セキュリティの基本方針を策定し、管理策ごとの手順書を作ります。従業員への教育もこの段階で始まります。

03

運用と記録

目安3〜6ヶ月。作った規程を実際に回します。内部監査を行い、経営層がレビューするところまでが求められます。

04

審査

目安1〜2ヶ月。審査機関による審査は2段階です。まず文書の確認(第一段階)、次に運用状況の確認(第二段階)。不適合があれば是正対応が必要です。

05

認証取得・登録

審査に合格すると認証証明書が発行され、JIPDECのデータベースに登録されます。

費用の現実

審査費用だけで判断すると、後から想定外の出費に気づくことになります。費用は大きく3つに分かれます。

費用区分内容目安
審査費用 審査機関への支払い 20名以下: 30〜60万円
20〜50名: 50〜100万円
50〜100名: 80〜150万円
コンサル費用 初回取得支援 100〜500万円
社内工数 規程作成、運用記録、内部監査、教育 200〜400時間(60〜120万円相当)

認証には3年の有効期限があり、毎年のサーベイランス審査(維持審査)で審査費の50〜70%程度、内部監査や教育の継続で年間100〜200時間程度の工数が発生し続けます。3年間の総コストで判断すると、見積もりがぶれにくくなります。

形骸化を避けるために

一番多いのが、規程は立派に揃っているのに現場では誰もその通りに動いていないパターンです。原因の多くは、経営層のコミットメントが薄いことに行き着きます。

  • 経営層コミットメント: トップがISMS推進委員会の委員長を務める
  • 現場で使える言葉: 規程を現場で実際に使える言葉で書く

この2つだけで形骸化のリスクはかなり下がります。取得前に「認証を取ることで、具体的にどの取引・どの案件が前に進むか」を試算しておくことも重要です。

どのステージからでも、
ご相談ください。

自社の現在地の確認から、次にやるべきことの整理まで。
セキュアDXが一緒に進めます。

セキュリティ対策の現状診断を相談する
セキュアDXに相談する