セキュリティ

2025年版・中小企業が対応すべきセキュリティ対策チェックリスト

#セキュリティ#中小企業#チェックリスト#ランサムウェア#経営者向け
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

サイバー攻撃の手法は年々高度化していますが、中小企業が被害に遭うケースの大半は「基本的な対策の不備」が原因です。

高額なセキュリティ製品を導入する前に、まず基本を押さえることが最もコストパフォーマンスの高い対策です。本記事では、2025年時点で中小企業が最低限チェックすべきセキュリティ対策を20項目にまとめました。

アカウント・認証(5項目)

□ 1. 全社員のMFA(多要素認証)を有効化している

パスワードだけの認証は、もはや安全とは言えません。Microsoft 365やGoogle Workspaceを利用しているなら、MFAの有効化は最優先です。

□ 2. 管理者アカウントにはMFAに加え、条件付きアクセスを設定している

管理者アカウントが乗っ取られると被害は甚大です。通常アカウントより厳格なアクセス制御が必要です。

□ 3. 退職者のアカウントは退職日当日に無効化している

退職者のアカウントが残ったまま放置されるケースは非常に多く、不正アクセスの入り口になります。

□ 4. 管理者アカウントを日常業務に使用していない

管理者は専用の管理者アカウントと、日常業務用の通常アカウントを分けて使用すべきです。

□ 5. パスワードポリシーを設定し、運用されている

最低文字数、複雑さの要件、パスワードの使い回し禁止を明文化し、システム側でも強制しています。

端末・デバイス管理(4項目)

□ 6. 全端末にセキュリティソフトが導入され、定義ファイルが最新である

導入しているだけでなく、管理コンソールで全端末の状態を一元管理できる体制が必要です。

□ 7. OSとソフトウェアのアップデートを定期的に適用している

Windows Update、macOSアップデート、ブラウザ、Adobe製品などの更新を放置しないこと。既知の脆弱性を放置することは、攻撃者に鍵を渡すようなものです。

□ 8. 業務端末の紛失・盗難時のリモートワイプ体制がある

特にノートPCやスマートフォンを社外で使用する場合、紛失時にリモートでデータを消去できる仕組みが必要です。Intuneなどのデバイス管理ツールで対応できます。

□ 9. 私物端末(BYOD)のルールが明確に定められている

私物端末から業務データにアクセスする場合のルール(許可するアプリ、アクセス条件、データの保存制限など)を定めていますか。

データ保護・バックアップ(4項目)

□ 10. 重要データのバックアップを定期的に取得している

Microsoft 365やGoogle Workspaceのデータはクラウド上にありますが、サードパーティバックアップの導入を推奨します。誤削除やランサムウェアによる暗号化からの復旧に必要です。

□ 11. バックアップからの復元テストを実施している

バックアップが取れていても、復元できなければ意味がありません。最低でも半年に1回は復元テストを実施すべきです。

□ 12. 機密データへのアクセス権限が最小限に制限されている

全社員が全フォルダにアクセスできる状態は危険です。職務に必要な範囲のみにアクセスを制限する「最小権限の原則」を適用します。

□ 13. 外部へのファイル共有ルールが定められている

外部へのOneDrive/SharePoint/Google Drive共有の範囲を制限し、必要に応じて有効期限付きリンクを使用します。

ネットワーク(3項目)

□ 14. ファイアウォール・UTMが導入され、ファームウェアが最新である

ネットワーク機器のファームウェア更新は見落とされがちですが、脆弱性の修正が含まれることが多く、放置は危険です。

□ 15. VPNを使用している場合、ファームウェアの脆弱性対応を行っている

VPN機器の脆弱性を突いた攻撃は、2024〜2025年も依然として多発しています。

□ 16. ゲスト用WiFiと業務用WiFiを分離している

来客用のWiFiから社内ネットワークにアクセスできる状態は避けるべきです。

教育・体制(4項目)

□ 17. 全社員を対象としたセキュリティ教育を年1回以上実施している

フィッシングメールの見分け方、パスワード管理の基本、不審な事象の報告手順を教育します。

□ 18. フィッシングメールの訓練を実施している

模擬的なフィッシングメールを送信し、クリック率を測定する訓練は、教育効果が高いとされています。

□ 19. セキュリティインシデント発生時の対応手順が文書化されている

「誰が、何を、どの順番で行うか」を事前に決めておくことで、有事の対応スピードが格段に上がります。

□ 20. 情報セキュリティ基本方針を策定し、公開している

IPAの「SECURITY ACTION」制度では、情報セキュリティ基本方針の策定と公開が「二つ星」の要件です。対外的な信頼性向上にもつながります。

チェック結果の活用

20項目のうち、対応できている項目がいくつあったでしょうか。

  • 15項目以上:基本的な対策はできています。さらなる強化を検討しましょう。
  • 10〜14項目:穴がある状態です。未対応項目から優先的に対策してください。
  • 10項目未満:早急に対策が必要です。専門家への相談を強くおすすめします。

情シス365のSecurity365では、セキュリティアセスメントによる現状把握から、ポリシー策定、ログ監視体制の構築まで対応しています。Start365では、セキュリティポリシーの初版策定を含む情シスの土台づくりが可能です。

👉 情シス365 サービス詳細・お問い合わせ

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談