「うちは小さい会社だから狙われないでしょ」
これ、かなり危ない思い込みです。 正直、現場では何度も見ました。
大企業みたいに何重も守りがある会社より、 “何も入っていない中小企業”のほうが狙われやすいんです。 泥棒が鍵のない家を狙うのと同じですね。
しかも最近怖いのが、 ウイルス感染そのものよりも、その後です。
・取引先へウイルスメール送信
・顧客情報流出
・共有データ消失
・業務停止
・取引先から「再発防止策を出してください」攻撃
この最後、本当に胃が痛くなります。 機械より先に、社長の信用が削られるんですよね。
- 社員が同じパスワードを使い回している
- NASを初期設定のまま使っている
- UTMを入れていない
- バックアップが1台しかない
- 退職者アカウントを放置している
- セキュリティ担当が誰か決まっていない
2つ以上当てはまったら、 今日この記事を開いて正解です。
この記事では、IPA「情報セキュリティ5か条」を“読んで終わり”にせず、社長が明日やるべきUTM・NAS設定まで具体的に整理します。
そもそもIPA「情報セキュリティ5か条」って何なのか
IPAが中小企業向けに出している、 最低限守るべきルールです。
難しい資料かと思いきや、 内容自体はかなりシンプルです。
5か条の中身は意外と普通です
- OS・ソフトを更新する
- ウイルス対策ソフトを入れる
- パスワードを強くする
- 共有設定を見直す
- 相談先を決める
「なんだ、当たり前じゃん」 と思いますよね。
問題は、 “当たり前が現場でできていない” ことなんです。
社長が誤解しやすいポイント
ウイルス対策ソフトを1台に入れたから安心。
これ、かなり多い誤解です。 入口対策しかしていない状態なんですね。
社内の共有データ、 ネット回線、 バックアップまで見ないと意味がありません。
IPAの5か条は“製品を買う話”ではなく、“事故を起こさない会社運営”の話なんです。
UTMを入れていない会社が危ない理由
UTMは会社の玄関ドアです
UTM(統合脅威管理)は、 怪しい通信を入口で止める機械です。
例えるなら、 会社の玄関に受付担当を置くイメージですね。
誰でも入れる状態だと危険です。
よくある事故
社員が怪しいURLをクリック ↓ PC感染 ↓ 社内共有データ感染 ↓ 全社員仕事停止
「1人だけのミス」で済まないんです。
| UTMなし | UTMあり |
|---|---|
| 怪しい通信を通しやすい | 入口で遮断しやすい |
| 被害拡大しやすい | 被害範囲を抑えやすい |
| 異常に気づきにくい | ログ確認しやすい |
「うちは小規模だから不要」は危険です。むしろ情シス不在企業ほど必要です。
NASの初期設定放置がかなり危険です
NASが丸見え状態になっている会社があります
NAS(社内共有の保存箱ですね)を 初期設定のまま使っている会社、 本当にあります。
初期パスワード放置、 外部公開設定ON、 権限設定なし。
正直ヒヤッとします。
ランサムウェアで全部暗号化
設計データ 請求書 顧客資料 写真データ
全部開けなくなった会社もあります。
復旧費用より、 業務停止損失のほうが痛いんですよね。
NASは「外部接続設定」「アクセス権限」「管理者パスワード」をまず確認してください。
バックアップ1台運用はかなり危険です
コピーはバックアップではありません
社内NAS→別NAS
これだけで安心している会社、 かなり多いです。
でも同時感染したら終わります。
最低3つ持つのが基本
- 社内保存
- 別拠点保存
- クラウド保存
少なくともこの形が欲しいです。
「消えたら困るデータ」を先に洗い出してください。 全部守ろうとすると逆に進みません。
パスワード管理が雑な会社は本当に多いです
付箋管理、まだあります
モニター横に 「admin123」
…いや、笑えないんです。 本当にあります。
退職者アカウント放置問題
退職後もログイン可能。
これ、 内部不正以前に管理ミスです。
入退社時の削除ルール、 決めてください。
社長が明日やるべきこと
まず機器一覧を書き出す
- ルーター
- UTM
- NAS
- PC
- クラウドサービス
何があるかわからない状態が一番危険です。
取引先に聞く
導入した販売会社、 保守会社に聞いてください。
「UTM入ってますか?」
「NAS外部公開してますか?」
これだけでもかなり進みます。
無料診断を使う
営業されるのが嫌で放置する社長、多いんですが、 事故後のほうが100倍しんどいです。
「そのうちやる」は、だいたい事故の前日です。30分だけでもいいので、まず社内のNASとUTMを確認してください。
