Category
セキュリティ
143件の記事
SCS評価制度★3取得モデルケース3選 ― 製造業30名・SaaS50名・IT保守20名の取り組み事例
中小企業がSCS評価制度★3を取得するまでのプロセスを、製造業30名/医療系SaaS50名/IT保守20名の3社のモデルケースで解説。きっかけ、現状診断、対策実装、専門家確認、申請までを時系列で整理します。
記事を読む →重要インフラ × SCS評価制度 ― 14分野の事業者とサプライヤーが押さえる対応関係
重要インフラ(電力・通信・金融・交通・医療など14分野)のサイバーセキュリティ要件と、経済産業省SCS評価制度★4・★5の関係を整理。重要インフラ事業者本体とそのサプライヤー双方の対応戦略を解説します。
記事を読む →サイバーセキュリティお助け隊サービス 新類型 ― SCS★3取得を中小企業が安価に進めるための公的支援策
経済産業省・IPAが新設する「サイバーセキュリティお助け隊サービス」新類型の中身を解説。既存お助け隊との違い、SCS評価制度★3・★4取得への活用方法、対象企業、料金、利用までの流れをまとめます。
記事を読む →防衛装備品調達基準 × SCS評価制度 ― NIST SP 800-171対応との関係を整理
防衛省の調達基準で求められる「装備品等の開発及び製造における情報セキュリティ基準」(NIST SP 800-171相当)と、経済産業省SCS評価制度★4・★5の関係を解説。防衛サプライチェーンの中小企業が取るべき対応戦略をまとめます。
記事を読む →SCS評価制度★3 文書化テンプレート集 ― 情報セキュリティ規程・IT資産台帳・IRP・委託先管理規程の作り方
SCS評価制度★3取得に必要な4つの基本文書(情報セキュリティ規程、IT資産台帳、インシデント対応計画書、委託先管理規程)の構成と書き方を中小企業向けに解説。各テンプレートの目次と必須項目をまとめます。
記事を読む →SCS評価制度★3 申請プロセスと自己宣言書の書き方 ― 提出先・所要日数・公表される情報まで
SCS評価制度★3取得時の申請プロセスを実務目線で解説。自己宣言書の項目構成、評価シートとの紐づけ、専門家署名の実装、提出先(事務局)と所要日数、公表される情報の範囲、登録抹消条件までまとめます。
記事を読む →SCS評価制度の政府調達への組み込みロードマップ ― いつ、どの調達区分から、★いくつが要件になるか
経済産業省・内閣官房が示すSCS評価制度の政府調達への組み込み方針を整理。資格要件化・加点・契約条件化の各パターン、対象となる調達区分、想定される時期、ISMAPとの関係、中小ベンダーが備えるべきタイミングを解説します。
記事を読む →自工会・部工会ガイドライン × SCS評価制度 ― 自動車サプライヤーが押さえるべき対応関係
JAMA・JAPIA自工会/部工会サイバーセキュリティガイドラインのレベル1〜5と、経済産業省SCS評価制度の★3〜★5の対応関係を整理。自動車部品メーカー・Tier2/Tier3サプライヤーが取るべき対応戦略を解説します。
記事を読む →3省2ガイドライン × SCS評価制度 ― 医療業界とそのベンダーが取るべき対応
医療情報システムを扱う事業者が遵守すべき「医療情報システムの安全管理に関するガイドライン(3省2ガイドライン)」と、経済産業省SCS評価制度の対応関係を解説。医療機関・医療機器メーカー・医療系SaaS事業者の対応戦略をまとめます。
記事を読む →自治体・公共調達 × SCS評価制度 ― 政府調達と地方自治体調達におけるSCS★要件化の見通し
政府調達(中央府省庁)と地方自治体調達におけるSCS評価制度の要件化見通しを解説。情報システム調達・SaaS調達・運用委託でSCS★がどう組み込まれるか、自治体ベンダーの中小企業が今取るべき対応を整理します。
記事を読む →SCS評価制度★4の第三者評価フロー徹底解説 ― 書類審査・実地審査・技術検証の流れと費用
SCS評価制度★4で必要となる第三者評価の流れを徹底解説。書類審査、実地審査(ヒアリング)、技術検証(脆弱性検査)の各フェーズの内容、所要期間、費用感、評価機関の選び方、当日の準備事項までまとめます。
記事を読む →SCS評価制度の「委託先管理」実装ガイド ― NDA・契約書・評価シート・二次委託の進め方
SCS評価制度の独自要件である取引先(委託先)管理を中小企業がどう実装するかを解説。重要委託先の選定、NDA・契約書の必須条項、年次セキュリティ評価シート、二次委託先の管理、テンプレートの使い方までまとめます。
記事を読む →UTMだけで大丈夫?クラウド時代のセキュリティ ― 境界防御の限界とID中心型多層防御への移行【2026年版】
『セキュリティ対策=UTMの設置・更新』で止まっている中小企業に向けて、クラウド・SaaS・リモートワーク時代のUTMの限界を整理し、MFA・EDR・条件付きアクセスを中心としたID中心型多層防御への移行ロードマップを実務目線で解説します。
記事を読む →Chrome Enterprise Premium 完全解説 ― 機能・料金・Coreとの違い・導入ステップを情シス目線でまとめる
Google Chrome Enterprise Premium(CEP)の機能体系、Coreとの違い、料金、向く企業・向かない企業、導入ステップを情シス目線で体系的に解説。VPN不要のゼロトラスト、DLP、脅威防御をChromeブラウザに統合する仕組みを基礎から理解できます。
記事を読む →バイブコーディングのセキュリティチェックリストと対応策 ― 25項目で守るAI生成コードの安全運用
AIに自然言語で指示してコードを生成する「バイブコーディング(Vibe Coding)」を業務で安全に使うためのセキュリティチェックリストを25項目にまとめました。コード生成前・生成中・公開時・運用中のフェーズ別に、現場で使える具体的対応策を解説します。
記事を読む →VPN装置経由の不正アクセス事件が止まらない ― 中小企業がやるべき防御策10選
FortiGate、Pulse Secure、Citrix、SonicWall、ASA など、VPN装置の脆弱性を悪用したランサムウェア・情報窃取事件が続発しています。なぜVPNが狙われるのか、過去の代表的な事件の手口、そして中小企業が今日から取り組むべき防御策10項目を実務目線で解説します。
記事を読む →EDR3製品比較:CrowdStrike vs SentinelOne vs Defender【中堅・中小企業】
中小・中堅企業のEDR選定で候補に挙がるCrowdStrike Falcon、SentinelOne Singularity、Microsoft Defender for Endpointの3製品を、検知精度・運用負荷・コスト・既存環境との親和性の観点で比較し、自社に合う選び方を解説します。
記事を読む →SCS評価制度のよくある誤解10選 ― ISMSと何が違う?お助け隊で取れる?中小企業の疑問に答える
経産省・IPAのSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)について、中小企業から寄せられる誤解と疑問を10項目に整理。ISMS/Pマーク/SECURITY ACTIONとの違い、お助け隊サービスとの関係、★3〜★5の対象など、一次情報をもとに解説します。
記事を読む →SECURITY ACTION(★1・★2)からSCS評価制度(★3)へ ― 中小企業のステップアップロードマップ
SECURITY ACTIONの★1・★2を取得済みの中小企業が、SCS評価制度の★3に進むためのギャップ分析、追加で求められる対策、準備期間と費用感、評価ガイド公表(2026年秋頃予定)までにやるべきことを解説します。
記事を読む →取引先から「SCS評価制度に対応してほしい」と言われたら ― 中小企業の交渉と社内検討マニュアル
大手取引先や元請から、サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の対応を求められた中小企業向けに、要求内容の確認、社内検討フロー、コスト・期限の交渉、外部委託の活用までを実務ステップで解説します。
記事を読む →Cursor / Claude Code / GitHub Copilot を業務で使うときのガバナンス完全版【2026年4月版】
AIコーディングツール Cursor・Claude Code・GitHub Copilot を業務利用する際のガバナンスを、製品別の機能・契約・データ取扱・推奨設定で徹底解説。情シス・開発リーダーが安全に展開するための実務ガイドです。
記事を読む →パスワードマネージャー法人版比較2026 ― 1Password・Keeper・Bitwarden等5製品
法人向けパスワードマネージャー5製品を料金・機能・セキュリティ・日本語対応で徹底比較。パスワード漏洩対策・パスキー対応・SSO連携を中小企業情シス向けに解説。
記事を読む →SASE/ZTNA比較2026 ― Zscaler・Netskope・Cloudflare・Palo Alto【中小企業向け】
VPNからSASE/ZTNAへ移行する中小企業向けに、主要4製品(Zscaler・Netskope・Cloudflare One・Palo Alto Prisma Access)を機能・料金・運用負荷で比較。Zero Trust移行実務ガイド。
記事を読む →EDR製品比較2026 ― 中小企業が選ぶべき5製品と選定基準【情シス担当者向け】
中小企業に現実的なEDR製品5つ(Defender for Business・CrowdStrike Falcon Go・SentinelOne・ESET Inspect・Cybereason)を費用・運用負荷・機能・日本語対応で比較。情シス向け選定ガイド。
記事を読む →クラウドバックアップSaaS比較2026 ― Acronis・Veeam・Druva・Arcserve・Backblaze
中小企業向けクラウドバックアップSaaS5製品(Acronis・Veeam・Druva・Arcserve・Backblaze B2)を、料金・保護範囲・ランサムウェア耐性・復旧速度で徹底比較。M365/GWS保護まで情シス担当向けに解説。
記事を読む →IDaaS/SSO比較2026 ― Entra ID・Okta・OneLogin・Cloud Identity【中小企業】
中小企業向けIDaaS/SSO定番4社(Entra ID・Okta・OneLogin・Google Cloud Identity)を料金・機能・運用負荷・SaaS連携で比較。M365/GWS契約状況別の最適解を情シス向けに解説。
記事を読む →SCS評価制度の支援サービス|★3取得に必要な対策を専門家がサポート
SCS評価制度(サプライチェーン・セキュリティ対策評価制度)の★3取得を支援。セキュリティ体制の現状評価、対策の実装支援、専門家レビュー代行まで、中小企業のSCS対応をワンストップでサポートします。
記事を読む →SASE/SSE導入ガイド — 中小企業でも手が届くネットワークセキュリティの最適解
SASE(Secure Access Service Edge)とSSE(Security Service Edge)の仕組みを中小企業向けにわかりやすく解説。Zscaler、Cato Networks、Cisco Umbrellaなどの製品比較、導入判断の基準、段階的な導入ステップを紹介します。
記事を読む →Vibe Codingのセキュリティリスク — AI生成コードを業務利用する前に知るべきこと
AIに自然言語で指示してコードを生成する「Vibe Coding」のセキュリティリスクを解説。依存関係の脆弱性、ハルシネーション、ライセンス問題など、情シス・IT管理者が知っておくべきリスクと対策をまとめます。
記事を読む →OneDriveの共有ファイルスパム攻撃とは?消せない不審ファイルへの対処法を解説
OneDriveで見知らぬユーザーからの共有ファイルが削除・ブロックできないスパム攻撃が発生しています。Microsoftの対応状況と、企業が今すぐ取るべき対策を情シスの視点から解説します。
記事を読む →SCS評価制度で「セキュリティ専門家」が必要な理由と確保の方法
SCS評価制度の★3自己宣言には、セキュリティ専門家のレビューと署名が必須です。なぜ専門家が求められるのか、どのような資格・経験が必要か、社内に専門家がいない場合の選択肢を解説します。
記事を読む →SCS評価制度 vs ISMS vs Pマーク ― 違いと使い分けを徹底比較
SCS評価制度、ISMS(ISO 27001)、Pマーク(プライバシーマーク)の3つのセキュリティ認証・評価制度を比較。対象範囲、取得費用、審査方法の違いと、中小企業がどれを優先すべきかを解説します。
記事を読む →MDM比較2026 ― Intune・Jamf・Kandji・Workspace ONE・Google EM【中小企業】
MDM主要製品 Microsoft Intune・Jamf Pro・Kandji・Workspace ONE・Google Endpoint Management を、対応OS・機能・料金・運用負荷で比較。マルチOS環境の中小企業向けガイド。
記事を読む →【2026年版】DMARC・DKIM・SPFの設定方法を完全解説|中小企業のメール認証ガイド
DMARC・DKIM・SPFの仕組みと設定方法を中小企業向けにわかりやすく解説。Googleの送信者ガイドライン義務化、Microsoft 365・Google Workspaceでの設定手順、p=rejectまでのロードマップを紹介。
記事を読む →EDR製品比較2026 ― CrowdStrike・Defender・SentinelOne・ESET【中小企業の選び方】
EDR主要製品を検知精度・運用負荷・料金・統合性で徹底比較。CrowdStrike Falcon、Defender for Endpoint、SentinelOne、ESET Inspectから中小企業に最適な選択肢を見極めるガイド。
記事を読む →パスキー認証を社内標準にした企業が、フィッシング被害ゼロを3年続けられている理由
パスキー(FIDO2認証)を全社標準に切り替えた中小企業が、フィッシング被害ゼロを継続している理由と、Entra ID × パスキーの実装手順、段階移行のロードマップを解説。ID棚卸し・条件付きアクセスを先に整えた企業の優位性も具体的に紹介します。
記事を読む →Microsoft Defender for Endpoint の料金プランと選び方|P1・P2・Business の違いを解説
Microsoft Defender for Endpoint(旧ATP)の料金体系をプラン別に解説。P1(E3付属)・P2(E5付属)・Defender for Business(Business Premium付属)の機能差、EDR・自動調査の有無、中小企業に最適なプランの選び方。
記事を読む →SECURITY ACTION ★一つ星・★★二つ星の取得方法|宣言手順・要件・IT補助金との関係
IPAのSECURITY ACTIONの★一つ星・★★二つ星を取得する具体的な手順を解説。宣言に必要な要件、申請方法、ロゴマークの利用規約、IT導入補助金の申請要件との関係まで、中小企業が知っておくべき情報を網羅。
記事を読む →【2026年版】セキュリティ対策の外注費用相場|業務別の料金目安と委託先の選び方
セキュリティ対策を外注する際の費用相場を業務別に解説。ログ監視 月額5〜15万円、EDR運用 月額10〜25万円、フルマネージドセキュリティ 月額30〜50万円。中小企業が失敗しないセキュリティ外注先の選び方も紹介。
記事を読む →中小企業でもSOCは構築できる?「SOCライト」の始め方と費用感
SOC(Security Operations Center)は大企業だけのものではありません。中小企業がMicrosoft 365の標準機能とアウトソーシングを組み合わせて実現する「SOCライト」の構築方法、必要なツール、費用感を解説。
記事を読む →ランサムウェアに感染したら?情シスが最初の24時間でやるべき初動対応マニュアル
ランサムウェア感染時の初動対応を時系列で解説。ネットワーク隔離、被害範囲の特定、証拠保全、関係者への報告、復旧手順まで、中小企業の情シス担当者が落ち着いて対応するための実践マニュアル。
記事を読む →【実務版】IPAセキュリティ対策チェックリスト|付録を使った中小企業のリスク分析と対策立案
IPAガイドライン付録のチェックリストを実務で使う方法を解説。情報資産の洗い出し、リスク分析シートの記入例、セキュリティポリシーのひな形カスタマイズ、委託先管理シートの活用まで、具体的な記入例付きで紹介。
記事を読む →Entra ID 条件付きアクセス設計テンプレート|中小企業向け5つの推奨ポリシー
Microsoft Entra IDの条件付きアクセスを中小企業向けに設計。MFA強制、管理者保護、デバイスコンプライアンス、リスクベース認証、ゲストアクセス制限の5つの推奨ポリシーテンプレートと設定手順を解説。
記事を読む →パスキーとは ― パスワードに代わる新しい認証方式を情シス視点で解説
パスワードに代わる次世代認証「パスキー(Passkey)」の仕組み、メリット、導入方法を中小企業の情シス向けに解説。FIDO2/WebAuthnとの関係、Microsoft 365やGoogle Workspaceでの設定手順、導入時の注意点をまとめます。
記事を読む →Consent Phishing(同意フィッシング)とは ― OAuth悪用攻撃の手口と対策
OAuthの同意フローを悪用するConsent Phishing(同意フィッシング)攻撃の手口を解説。Microsoft 365やGoogle Workspaceで被害が急増している背景と、情シスが取るべき具体的な防御策をまとめます。
記事を読む →DDoS攻撃とは ― 中小企業のWebサイト・業務システムを守るための対策ガイド
DDoS攻撃(分散型サービス妨害攻撃)の仕組み、攻撃の種類、中小企業への影響を解説。Webサイトやクラウドサービスをダウンさせるこの脅威に対して、コストを抑えた現実的な防御策と、攻撃を受けた場合の対応手順をまとめます。
記事を読む →QRコード詐欺(クイッシング)の手口と対策 ― 中小企業が知っておくべき新たな脅威
QRコードを悪用したフィッシング詐欺「クイッシング(Quishing)」の手口と被害事例を解説。メールフィルターをすり抜ける巧妙な攻撃に対して、中小企業の情シスが取るべき具体的な対策をまとめます。
記事を読む →IPAの「中小企業の情報セキュリティ対策ガイドライン」を完全解説|第3.1版の構成と実践ポイント
IPA(情報処理推進機構)が発行する「中小企業の情報セキュリティ対策ガイドライン 第3.1版」の全体像を解説。経営者編・実践編の2部構成、情報セキュリティ5か条、自社診断25項目、SECURITY ACTIONとの関係をわかりやすくまとめました。
記事を読む →地政学的リスクに起因するサイバー攻撃とは ― 中小企業が巻き込まれないための備え
国家支援型のサイバー攻撃が中小企業に波及するリスクが高まっています。IPA 10大脅威2026に新規ランクインした「地政学的リスクに起因するサイバー攻撃」の実態と、サプライチェーン経由の巻き添え被害を防ぐ対策を解説します。
記事を読む →SCS評価制度の準備ガイド ― 中小企業が2026年度中にやるべきこと
経産省のサプライチェーン・セキュリティ評価制度(SCS)に向けて、中小企業が今から準備すべきことを具体的なステップで解説。★3取得に必要な対策と費用感、スケジュールをまとめます。
記事を読む →標的型攻撃(APT)とは ― 中小企業も狙われる手口と実践的な防御策
特定の組織を狙い撃ちにする標的型攻撃(APT)の手口を段階別に解説。中小企業が踏み台にされるケースが急増している背景と、限られた予算で実施できる多層防御の具体策をまとめます。
記事を読む →IPA「情報セキュリティ10大脅威 2026」を中小企業視点で徹底解説 ― 今年の注目ポイントと対策
IPAが発表した「情報セキュリティ10大脅威 2026」の組織編を中小企業の目線で解説。ランサムウェア・サプライチェーン攻撃・内部不正など、各脅威の実態と今すぐ取れる現実的な対策をまとめます。
記事を読む →社員が個人のGmailで業務をしている|会社メールへの移行とリスク管理
社員が個人Gmailで業務をしているリスクと、会社メール(M365/GWS)への移行手順をステップごとに解説します。SPF/DKIM/DMARC設定まで網羅。
記事を読む →ISMS基準でのIT運用|ISO 27001に準拠した中小企業のセキュリティ管理の実践
ISO 27001(ISMS)に準拠したIT運用で押さえるべき領域を中小企業向けに解説します。資産管理・アクセス制御・インシデント管理の実践方法をまとめました。
記事を読む →個人情報保護法のIT対応|情シスが実装すべき技術的安全管理措置
個人情報保護法で求められる技術的安全管理措置を情シス向けに解説します。アクセス制御・暗号化・漏洩時の報告義務まで網羅しました。
記事を読む →Pマーク取得でIT部門がやるべきこと|技術的安全管理措置の対応ガイド
Pマーク取得に必要な技術的安全管理措置をIT部門の視点で解説します。MFA導入やアクセス制御など、審査で指摘されやすいポイントもまとめました。
記事を読む →「うちのPC、ウイルスに感染したかも」と言われたら|情シスの初動対応マニュアル
PCがウイルス感染した際の初動対応5ステップを解説します。ネットワーク切断から再発防止まで、情シスが取るべき行動をまとめました。
記事を読む →サプライチェーンセキュリティとは|取引先から求められるセキュリティ対策への対応法
取引先から求められるサプライチェーンセキュリティ対策の内容と、チェックシートへの効果的な回答方法を中小企業向けに解説します。
記事を読む →中小企業のサイバーセキュリティ対策|2026年に最低限やるべき7つの施策
中小企業が2026年に最低限実施すべきサイバーセキュリティ対策7つを優先度順に解説。MFA、EDR、パッチ管理、バックアップ、セキュリティ教育など、限られた予算で最大効果を出す方法をまとめます。
記事を読む →EDRとは?ウイルス対策ソフトとの違いと中小企業での導入の考え方
EDR(Endpoint Detection and Response)の仕組み、従来のウイルス対策ソフトとの違い、中小企業がEDRを導入すべき理由、主要製品の比較、導入の進め方を解説します。
記事を読む →SIEMとは?ログ管理・脅威検知の仕組みと中小企業での現実的な活用法
SIEM(Security Information and Event Management)の仕組み、主要製品、中小企業での現実的な活用法を解説。フルスケールSIEMの代替としてのM365セキュリティ機能の活用方法もまとめます。
記事を読む →SOCとは?セキュリティ監視の仕組みと中小企業向け「SOCライト」という選択肢
SOC(Security Operations Center)の役割、仕組み、必要な人材・ツールを解説。中小企業がフルSOCを持てない場合の現実的な選択肢(SOCライト、MDR、アウトソーシング)もまとめます。
記事を読む →ゼロトラストとは?「何も信頼しない」セキュリティモデルを中小企業向けにわかりやすく解説
ゼロトラストセキュリティの概念をわかりやすく解説。従来の境界型セキュリティとの違い、ゼロトラストの3原則、中小企業が段階的に導入する方法をまとめます。
記事を読む →【2026年3月】Windows Update情報まとめ|Patch Tuesdayの重要パッチと適用のポイント
2026年3月のWindows Update(Patch Tuesday)の重要パッチ情報と適用手順をまとめました。テスト端末への先行適用や段階展開のポイントも解説します。
記事を読む →OpenClawとは?AIエージェントの企業セキュリティリスクと情シスが取るべき対策
GitHub星24万超えのAIエージェント「OpenClaw」の概要と、企業のIT環境にもたらすセキュリティリスクを解説。プロンプトインジェクション、データ流出、権限管理の課題と、情シス担当者が今取るべき対策をまとめます。
記事を読む →攻撃シミュレーション(Attack Simulation Training)でフィッシング訓練を社内で実施する方法
Microsoft Defender for Office 365の攻撃シミュレーションを使えば、社員にフィッシングメールの模擬訓練を実施し、セキュリティ意識の可視化と教育を自動化できます。仕組み、訓練シナリオ、結果の分析、必要なライセンスを解説します。
記事を読む →BCCで一斉送信してはいけない ― CC/BCC取り違え事故が後を絶たない理由と、仕組みで防ぐ方法
BCCによる一斉送信は、CC/BCCの取り違えによる個人情報漏えい事故が繰り返し発生する危険な運用です。キリンホールディングスの事例を含め、なぜBCC送信をやめるべきか、代替手段としてメール配信サービスやExchange Onlineの機能を解説します。
記事を読む →Defender事前設定セキュリティポリシー解説 ― Standard/Strictの違いと適用手順
Defender for Office 365の事前設定セキュリティポリシーを有効にすれば、偽装保護・安全なリンク・安全な添付ファイルがワンクリックで全社適用されます。StandardとStrictの違い、適用手順を解説します。
記事を読む →Microsoft Purviewによる情報漏えい対策 ― DLP・秘密度ラベル・インサイダーリスクを組み合わせた多層防御
Microsoft Purviewの情報漏えい対策は、DLP(データ損失防止)、秘密度ラベル、Insider Risk Managementの3つを組み合わせた多層防御です。各機能の役割、連携の仕組み、中小企業が段階的に導入する方法を解説します。
記事を読む →Microsoft Purview インサイダーリスクマネジメントとは? 内部不正の兆候を検知する仕組み
退職予定者の大量データダウンロード、機密ファイルの外部送信、勤務時間外の異常アクセス——Microsoft Purview Insider Risk Managementは、内部者による情報持ち出しの「兆候」を行動分析で検知します。仕組み、検知シナリオ、プライバシー配慮、必要なライセンスを解説します。
記事を読む →「Microsoft セキュアスコア」を経営層への報告に使う方法 ― セキュリティ対策の進捗を数値で可視化する
Microsoft セキュアスコアは、Microsoft 365テナントのセキュリティ対策状況を0〜100%のスコアで可視化する無料ツールです。経営層への報告資料として活用する方法、スコアの改善手順、注意すべきポイントを解説します。
記事を読む →「秘密度ラベル」による暗号化の自動化 ― 機密ファイルを「守り忘れない」仕組みの作り方
Microsoft Purviewの秘密度ラベルで暗号化を自動適用すれば、社員が意識しなくても機密ファイルが暗号化されます。自動ラベル付けの仕組み、クライアント側とサービス側の違い、導入ステップ、暗号化が業務に与える影響と対策を解説します。
記事を読む →「シャドーIT」の可視化と制御 ― 社員が勝手に使っているSaaSを把握し、リスクを管理する方法
IT部門が把握していないSaaS・クラウドサービスの利用(シャドーIT)は、情報漏えいやコンプライアンス違反のリスクです。Microsoft Defender for Cloud Appsによる可視化、リスク評価、制御の方法を解説します。
記事を読む →VPN vs ZTNA ― テレワーク時代のネットワーク接続の選び方
VPNとZTNA(ゼロトラストネットワークアクセス)の仕組み、メリット・デメリットを比較。中小企業がテレワーク環境でどちらを選ぶべきかの判断基準を解説します。
記事を読む →警察庁が注意喚起「ニセ社長詐欺」とは? Microsoft 365・Google Workspaceの設定で防ぐBEC対策
2026年2月に警察庁が注意喚起した「ニセ社長詐欺(ビジネスメール詐欺/BEC)」の手口を解説。Microsoft 365のユーザー偽装保護やGoogle Workspaceのフィッシング対策など、クラウドメールの設定で被害を防ぐ具体的な方法を紹介します。
記事を読む →情シス外部委託×セキュリティガバナンス:2026年に求められるサプライチェーン・セキュリティ対応を代行範囲に含めるべき理由
サプライチェーン・セキュリティの強化が取引条件になりつつある2026年。情シスの外部委託にセキュリティガバナンスを含める必要性と、中小企業が最低限対応すべきフレームワーク(NIST CSF、経営ガイドライン3.0)を解説します。
記事を読む →サイバーセキュリティ関係法令Q&Aハンドブックとは? 経営者・情シス担当者が押さえるべき要点を解説
内閣サイバーセキュリティセンター(NISC)が公開する「サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0」の概要と、中小企業の経営者・IT担当者が特に押さえるべきポイントをわかりやすく解説します。
記事を読む →偽のブルースクリーンで操作を誘導する「ClickFix」攻撃とは ― 正規ツール悪用で検知を回避する新手口と中小企業の守り方
Booking.comを装うフィッシングメールから偽のブルースクリーンを表示し、ユーザー自身に不正なコマンドを実行させる「ClickFix」攻撃が確認されています。MSBuild.exeなどWindows正規ツールを悪用して検知を回避する仕組みと、中小企業が取るべき対策を解説します。
記事を読む →SCS評価制度★3・★4の評価基準比較|セルフチェックリスト付き
SCS評価制度(サプライチェーン・セキュリティ対策評価制度)の★3と★4で求められる具体的な評価基準を7領域別に比較解説。自社の現状を把握できるセルフチェックリストと、目標レベルの選び方を紹介します。
記事を読む →経産省「サイバーセキュリティ経営ガイドライン」を中小企業向けに読み解く ― 経営者がやるべき10項目
経産省・IPAのサイバーセキュリティ経営ガイドラインの要点を中小企業向けに翻訳。経営者が把握すべき3原則と実施すべき10項目を、具体的なアクションとともに解説。
記事を読む →ISMS認証は中小企業に必要か? ― 取得のメリット・費用・期間と代替手段を解説
ISMS(ISO 27001)認証の取得を検討中の中小企業向けに、メリット・デメリット、費用相場、取得までの期間、Pマークとの違い、認証を取らずにセキュリティ体制を整える代替手段を解説。
記事を読む →Microsoft 365のデータは本当に安全か? ― 中小企業のバックアップ戦略と製品比較
Microsoft 365の共有責任モデルを解説し、サードパーティバックアップが必要な理由を説明。Veeam、AvePoint、Acronisなど主要製品の比較と、中小企業に最適なバックアップ戦略を提示。
記事を読む →ランサムウェアに感染したらどうする? ― 中小企業のインシデント対応マニュアル
ランサムウェア感染時の初動対応から復旧、報告義務、再発防止策まで、中小企業のIT担当者向けにステップバイステップで解説。身代金の支払い判断、警察への届出、サイバー保険の活用法も網羅。
記事を読む →中小企業のSSO(シングルサインオン)導入ガイド ― Entra IDで複数SaaSを一元管理する方法
中小企業がMicrosoft Entra IDを使ってSSO環境を構築する方法を解説。SSOの仕組み、導入のメリット、対応SaaS一覧、設定手順の概要、費用感まで。パスワード管理の煩雑さとセキュリティリスクを同時に解決。
記事を読む →ゼロトラストとは?中小企業が現実的に導入するためのステップと費用感
ゼロトラストの基本概念を中小企業向けにわかりやすく解説。VPNからの脱却、条件付きアクセス、EDR導入など、Microsoft 365ベースで段階的にゼロトラスト環境を構築する方法と費用目安を紹介。
記事を読む →【2026年最新】ログ管理システムおすすめ5選比較|操作ログ・SIEM・料金で選ぶ
ログ管理システムのおすすめ5製品(ALog・MylogStar・Logstorage・SKYSEA・M365監査ログ)を比較。PC操作ログ・サーバーログ・SIEM型の違い、料金、中小企業に最適なログ管理の選び方を解説します。
記事を読む →【2026年最新】MDMツール比較おすすめ5選|機能・料金・クラウド対応で徹底比較
MDMツールのおすすめ5製品(Intune・CLOMO・LANSCOPE・Optimal Biz・Jamf Pro)を料金・機能・導入しやすさで徹底比較。中小企業の情シス担当が失敗しないMDM製品の選び方を解説します。
記事を読む →【図解】NIST SP 800-88データ消去ガイドライン|Clear・Purge・Destroyの違いと実務チェックリスト
NIST SP 800-88 Rev.1に基づくデータ消去の3段階(Clear/Purge/Destroy)を図解で解説。HDD・SSDの推奨消去方法、消去証明書の取得方法、外部委託時のチェックリストまで、法人PC廃棄の実務手順をまとめました。
記事を読む →「対策してるつもり」が一番危ない ― 中小企業の情シスが見落としがちなセキュリティの落とし穴
ウイルス対策ソフトを入れているから大丈夫――その認識が最も危険です。中小企業の情シス担当者が見落としがちなセキュリティリスクと、限られたリソースで実施すべき優先順位の高い対策を解説します。
記事を読む →【2026年版】法人のWindows Update管理ガイド ― WSUS非推奨時代のIntune活用と段階配信の設計
WSUSが非推奨となった今、中小企業はWindows Updateをどう管理すべきか。Intuneの更新リング、機能更新プログラムポリシー、Windows Autopatchの使い分けを、設計例とともに解説します。
記事を読む →SCS評価制度とは?★3〜★5の評価基準と中小企業が今やるべき準備【2026年度開始】
経産省のSCS評価制度(サプライチェーン・セキュリティ対策評価制度)を徹底解説。★3〜★5の段階・評価方法・中小企業向け支援策・今から準備すべき対策チェックリストをわかりやすくまとめました。
記事を読む →Chrome Enterprise Premium解説 ― VPNなしで情報漏えいを防ぐブラウザファースト戦略
Google Chrome Enterprise Premiumは、ブラウザそのものをセキュリティの制御ポイントに変えるゼロトラストソリューションです。DLP、コンテキストアウェアアクセス、リアルタイム脅威防御など、中小企業の情シスが知っておくべき機能と導入メリットを解説します。
記事を読む →サイバーセキュリティお助け隊サービス、中小企業が『今』加入して得られる3つの金銭メリット
IPAが認定する「サイバーセキュリティお助け隊サービス」に中小企業が早期加入することで得られる、補助金加点・サイバー保険付帯・IT導入補助金優遇の3つの金銭メリットを解説。月額1〜3万円のコストを複数年で回収する具体的な計算式も紹介します。
記事を読む →FortiGateがSSL VPNを廃止 ― IPsec移行だけで終わりではない、ZTNAへの道筋
FortiOS 7.6.3でSSL VPNトンネルモードが廃止されました。背景にある深刻な脆弱性の歴史、IPsec VPNへの移行手順、そして最終的に目指すべきZTNAアーキテクチャへの移行ロードマップを解説します。
記事を読む →FortiGateのSSL VPN廃止対応ガイド|IPsec移行手順とZTNAへのロードマップ
FortiOS 7.6.3でSSL VPNトンネルモードが廃止。背景にある深刻な脆弱性の歴史、IPsec VPNへの移行手順、FortiGate ZTNAの設定方法、最終的に目指すべきゼロトラストアーキテクチャへのロードマップを解説。
記事を読む →3省2ガイドライン対応チェックリスト ― 医療機関が今すぐ取り組むべきセキュリティ対策20項目
3省2ガイドライン(医療情報システムの安全管理に関するガイドライン第6.0版)に基づき、医療機関が優先的に実施すべきセキュリティ対策20項目をチェックリスト形式で解説します。
記事を読む →3省2ガイドラインとは?医療機関のIT担当者が知っておくべき基礎知識
厚労省・経産省・総務省が策定した医療情報システムの安全管理ガイドライン(3省2ガイドライン)を、医療機関のIT担当者・事務長向けにわかりやすく解説します。
記事を読む →EDRとは?中小企業が導入すべき理由と製品選定・導入ステップを解説
EDR(Endpoint Detection and Response)の仕組み、中小企業に必要な理由、ウイルス対策ソフトとの違い、主要製品の比較、導入ステップを解説。Microsoft Defender for Endpointを中心に、予算に応じた選択肢を紹介します。
記事を読む →EDR・XDR・MDRとは?違いをわかりやすく解説 ― 中小企業に必要なのはどれか
EDR・XDR・MDRの違いを図解なしでもわかるように解説。従来のアンチウイルスとの違い、それぞれの守備範囲、中小企業にとって現実的な選択肢を整理します。
記事を読む →EDR・XDR・MDRとは?違いと中小企業に必要なセキュリティ対策をわかりやすく解説
EDR・XDR・MDRの違いを中小企業の情シス担当者・経営者向けにわかりやすく解説。従来のアンチウイルスとの違い、導入判断の基準、費用感まで紹介します。
記事を読む →Microsoft Defenderだけで十分?中小企業のエンドポイントセキュリティ比較・選定ガイド
Windows Defender・Defender for Business・CrowdStrike・ESETを料金・機能・EDR対応で比較。中小企業がエンドポイントセキュリティを選定する判断基準と、コスト・機能バランスの最適解を解説します。
記事を読む →中小企業の生成AI導入、情シスが押さえるべきセキュリティルールとガイドライン
ChatGPTやCopilotなどの生成AIを社内導入する際に、情シス担当者が策定すべきセキュリティルール、利用ガイドライン、データ保護の考え方を解説します。
記事を読む →ISMS(ISO 27001)取得は中小企業に必要か?コスト・期間・効果を現実的に解説
ISMS認証(ISO 27001)の取得を検討する中小企業向けに、費用相場、取得までの期間、メリット・デメリット、SECURITY ACTIONやPマークとの違いを現実的に解説します。
記事を読む →中小企業のIT-BCP入門 ― 災害・障害時にビジネスを止めないための最低限の準備
中小企業向けにIT-BCP(IT事業継続計画)の基本を解説。地震・水害などの自然災害、ランサムウェア攻撃、SaaS障害に備えて、最低限整備すべき項目を紹介します。
記事を読む →自工会ガイドライン対応の始め方 ― 優先19項目の解説と中小企業の具体的な対策
自工会/部工会サイバーセキュリティガイドラインの「優先19項目」を一つずつ解説。IT専任者がいない自動車部品メーカーでも実践できる具体的な対策方法を紹介します。
記事を読む →自工会/部工会サイバーセキュリティガイドラインとは?自動車サプライチェーンに求められるセキュリティ対策
自工会/部工会サイバーセキュリティガイドライン(V2.3)の概要、レベル構成、153項目の要求事項を、自動車部品メーカーやサプライヤーのIT担当者・経営者向けにわかりやすく解説します。
記事を読む →情シスのセキュリティ運用とは?日常業務の全体像と中小企業での実践方法
情シスが行うセキュリティ運用の業務内容を体系的に解説。アカウント管理、脆弱性管理、ログ監視、インシデント対応、セキュリティ教育の5つの領域を、中小企業の現実に合わせた実践方法とともに紹介します。
記事を読む →士業(法律事務所・会計事務所)のIT環境整備ガイド ― セキュリティと効率化を両立する方法
法律事務所・会計事務所・税理士事務所向けに、守秘義務を守りながらIT環境を効率化する方法を解説。Microsoft 365の活用、アクセス制御、メール誤送信対策など実務に直結する内容です。
記事を読む →【2026年版】医療機関のIT環境整備ガイド|3省2ガイドライン対応・電子カルテのセキュリティ運用
医療機関向けIT環境整備の実践ガイド。3省2ガイドラインに準拠したセキュリティ運用、電子カルテのアカウント管理、ネットワーク設計、バックアップ、多要素認証まで、医療情報システムの管理に必要な実務知識を網羅。
記事を読む →Pマーク取得 vs SECURITY ACTION ― 中小企業にとって最適なセキュリティ認証は?
Pマーク(プライバシーマーク)とSECURITY ACTIONの違いを、費用・期間・対象範囲・取引先への効果の観点で比較。中小企業がどちらを選ぶべきか、判断基準を解説します。
記事を読む →個人情報保護法の改正ポイントと中小企業のIT対応チェックリスト
改正個人情報保護法(2022年4月施行)のポイントを中小企業のIT担当者向けに解説。漏洩報告の義務化、安全管理措置、IT環境で対応すべき具体的なチェックリストを紹介します。
記事を読む →クラウドだから安心?SaaS障害に備えるバックアップ戦略と具体的な設定手順
Microsoft 365やGoogle Workspaceのデータは自動でバックアップされない ― SaaS障害やデータ消失に備えるためのバックアップ戦略と、具体的なツール・設定手順を解説します。
記事を読む →中小企業の情報セキュリティ研修 ― 年1回の教育で効果を最大化するプログラム設計
中小企業向けに、限られた時間と予算で効果を最大化するセキュリティ研修プログラムの設計方法を解説。テーマ選定、実施形式、フィッシング訓練、効果測定まで網羅します。
記事を読む →【2026年版】中小企業のセキュリティ対策ロードマップ ― 何から始めて、どこまでやるか
中小企業のセキュリティ対策を「今すぐやること」「3か月以内にやること」「半年以内にやること」の3段階で解説。予算ゼロから始められる対策からガイドライン対応まで、優先順位が明確なロードマップを提供します。
記事を読む →中小企業のVPN選定ガイド ― 拠点間接続・リモートアクセスの最適解
中小企業向けにVPNの種類(IPsec、SSL-VPN、クラウドVPN、ZTNA)を比較。拠点間接続・リモートアクセスの要件に応じた最適な選択肢と、セキュリティ上の注意点を解説します。
記事を読む →SCS評価制度、早期取得した中小企業が得られる3つの先行者メリット
中小企業向けセキュリティ評価制度で★2以上を早期取得した企業が、取引拡大・人材採用・サイバー保険の3領域で得ている具体的メリットを解説。2026年以降の競争で差が開く理由と、最短で取得するための実務ステップをまとめました。
記事を読む →中小企業でもできるゼロトラスト入門 ― 段階移行と実装ステップガイド
ゼロトラストは大企業だけのものではありません。中小企業がMicrosoft 365やGoogle Workspaceの標準機能を活用して、段階的にゼロトラスト的なセキュリティを実現するための考え方と具体的なステップを解説します。
記事を読む →Windows 10サポート終了、中小企業が今から準備すべきこと
2025年10月にWindows 10のサポートが終了します。中小企業がいつまでに何を準備すべきか、Windows 11への移行手順、対応が難しいPCの扱い方を解説します。
記事を読む →【2025年総括】セキュリティインシデント559件から読み解く5大トレンドと中小企業が今すぐ取るべき対策
2025年に国内で公表されたセキュリティインシデント559件を分析し、ランサムウェア・サプライチェーン攻撃・証券口座乗っ取りなど5大トレンドと、中小企業が優先して実施すべき具体的対策を解説します。
記事を読む →2025年版・中小企業が対応すべきセキュリティ対策チェックリスト
2025年に中小企業が最低限押さえるべきセキュリティ対策を20項目のチェックリストにまとめました。ランサムウェア対策、アカウント管理、ネットワーク、教育まで、自社の対策状況を確認できます。
記事を読む →【連載第10回】実践から継続へ!総まとめとSECURITY ACTION二つ星への道
サイバーセキュリティ連載の総まとめ。全9回の振り返りと、SECURITY ACTION二つ星の宣言手順、そして今後のセキュリティ強化の方向性を解説します。
記事を読む →【連載第9回】継続的改善!点検・監査とPDCAサイクル
セキュリティ対策を一度で終わらせず継続的に改善するための、点検・監査の方法とPDCAサイクルの回し方を中小企業向けに解説します。
記事を読む →【連載第8回】いざという時に!インシデント対応と初動マニュアル
セキュリティインシデントが発生した場合の初動対応、報告手順、復旧プロセスを解説。中小企業向けのインシデント対応マニュアルのテンプレート付き。
記事を読む →【連載第7回】どこでも安全に!テレワークとクラウド安全利用
テレワーク環境とクラウドサービスを安全に利用するためのセキュリティ対策を解説。VPN、多要素認証、デバイス管理の実践方法を紹介します。
記事を読む →【連載第6回】つながりを守る!委託先管理とサプライチェーン対策
業務委託先やクラウドサービスを通じたセキュリティリスクの管理方法を解説。契約時のチェックポイントと継続的なモニタリング方法を紹介します。
記事を読む →【連載第5回】守るべきものを明確に!リスク分析と情報セキュリティ関連規程
自社の情報資産を棚卸しし、リスクを評価する方法を解説。優先的に守るべき資産を明確にし、実効性のある規程を策定する手順を紹介します。
記事を読む →【連載第4回】組織として取り組む!基本方針の策定と管理体制の構築
情報セキュリティ基本方針の策定方法と、中小企業に適した管理体制の構築手順を解説。テンプレート付きで実践的な内容です。
記事を読む →【連載第3回】今すぐ実践!情報セキュリティ5か条と自社診断25項目
IPAが推奨する「情報セキュリティ5か条」の具体的な実践方法と、自社のセキュリティレベルを25項目で診断する方法を解説します。
記事を読む →【連載第2回】知らなかったでは済まされない!経営者が負う法的責任
サイバー攻撃による情報漏洩が起きた場合、経営者はどのような法的責任を負うのか。個人情報保護法、不正競争防止法、取引先との関係から解説します。
記事を読む →【連載第1回】今、中小企業が狙われている!サイバー攻撃の現実と対策の必要性
サイバー攻撃は大企業だけの問題ではありません。中小企業が狙われる理由と、実際に起きた被害事例を紹介しながら、セキュリティ対策の第一歩を解説します。
記事を読む →【連載第10回・最終回】セキュリティ体制の継続的な改善 ― 「やりっぱなし」にしないために
連載最終回。中小企業がセキュリティ対策を「一度やって終わり」にしないための継続的な改善サイクルと、外部リソースの活用方法を解説します。
記事を読む →【連載第9回】インシデント対応の基本手順 ― 「やられた」ときに何をすべきか
サイバー攻撃を受けた際の初動対応を、中小企業のIT担当者向けに解説。検知、封じ込め、復旧、報告の4フェーズで整理します。
記事を読む →【連載第8回】クラウドサービスのセキュリティ設定 ― Microsoft 365を安全に使う
Microsoft 365のセキュリティ設定で見落としがちなポイントを解説。SharePointの共有設定、Teamsのゲストアクセス、監査ログの活用方法を紹介します。
記事を読む →【連載第7回】端末管理とデバイスセキュリティ ― MDMとBitLockerの導入ガイド
社員の端末紛失・盗難リスクにどう備えるか。Microsoft IntuneによるMDM導入とBitLockerによるディスク暗号化の設定方法を解説します。
記事を読む →【連載第6回】メールセキュリティの基本設定 ― SPF/DKIM/DMARCを正しく設定する
なりすましメールを防ぐSPF/DKIM/DMARCの仕組みと設定方法を、Microsoft 365環境を前提に解説します。
記事を読む →【連載第5回】パスワード管理とアカウント運用のベストプラクティス
パスワードの使い回し、退職者アカウントの放置、共有アカウント。中小企業でよくあるアカウント管理の問題と、現実的な解決策を解説します。
記事を読む →【連載第4回】多要素認証(MFA)完全ガイド ― Microsoft 365での設定手順と運用のコツ
サイバー攻撃の99.9%を防ぐとされる多要素認証(MFA)。Microsoft 365での設定手順を画面イメージ付きで解説し、社内展開のコツも紹介します。
記事を読む →【連載第3回】中小企業のセキュリティ対策チェックリスト20項目
中小企業が最低限実施すべきセキュリティ対策を20項目のチェックリスト形式で整理。優先度付きで、どこから手をつけるべきかが分かります。
記事を読む →【連載第2回】知っておくべきサイバー攻撃の手口5選 ― フィッシングからランサムウェアまで
中小企業が遭遇しやすいサイバー攻撃の手口を5つ厳選して解説。フィッシング、ランサムウェア、ビジネスメール詐欺、サプライチェーン攻撃、内部不正の仕組みと対策を解説します。
記事を読む →【連載第1回】なぜ中小企業がサイバー攻撃に狙われるのか ― 「うちは関係ない」が最大のリスク
サイバー攻撃は大企業だけの問題ではありません。中小企業が標的にされる理由と、攻撃者の視点から見た「狙いやすい企業」の特徴を解説します。
記事を読む →情シス担当がいない会社で起きた3つのインシデント事例
IT専任者がいない「ゼロ情シス」の会社で実際に起きたセキュリティインシデントや業務停止事例を3つ紹介し、なぜ起きたのか、どうすれば防げたのかを解説します。
記事を読む →中小企業が最低限やるべきセキュリティ対策10選 ― 予算ゼロから始める方法
「セキュリティ対策が必要なのは分かっているけど、何から始めればいいか分からない」という中小企業の経営者・IT担当者に向けて、追加コストなしで今日から実施できるセキュリティ対策を10項目、優先度順に解説します。
記事を読む →セキュリティ投資の目安は売上高の何%?JCICレポートが示す企業規模・業種別の指標
JCICが2025年2月に発表した「企業規模・業種別に見るセキュリティ投資・人員数の目安値」レポートの要点を解説。中堅企業が直面するセキュリティリソース不足の現実と、限られた予算でどう体制を構築すべきかを、IT支援の現場視点からまとめます。
記事を読む →