中小企業が最低限やるべきセキュリティ対策10選 ― 予算ゼロから始める方法
「うちみたいな小さい会社は狙われないでしょう?」
残念ながら、それは過去の話です。近年のサイバー攻撃は、むしろセキュリティ対策が手薄な中小企業を狙い撃ちにするケースが増えています。IPAの「情報セキュリティ10大脅威 2025」でも、サプライチェーン攻撃(大企業を攻撃するために、取引先の中小企業を踏み台にする手法)が上位にランクインしています。
とはいえ、中小企業にはセキュリティ専任の担当者もいなければ、大きな予算もありません。本記事では、追加コストゼロ、または最小限の投資で今日から実施できるセキュリティ対策を10項目、優先度順に解説します。
【最優先】今日やるべき3つ
1. 多要素認証(MFA)を有効にする
セキュリティ対策で最もコストパフォーマンスが高いのがMFAの有効化です。Microsoftの調査によると、MFAを有効にするだけでアカウント侵害の99.9%を防げるとされています。
Microsoft 365、Google Workspace、Slack、各種クラウドサービスの管理者アカウントには、今すぐMFAを設定してください。一般ユーザーにも段階的に展開するのが理想ですが、まずは管理者アカウントだけでも効果は絶大です。
Microsoft 365の場合、セキュリティの既定値群(Security Defaults)を有効にするだけで、全ユーザーにMFAが適用されます。追加費用はかかりません。
2. 退職者のアカウントを即日削除する
退職者のアカウントが残ったままになっていませんか?退職者のメールアカウントやクラウドサービスのアクセス権限が生きていると、そこが不正アクセスの入口になります。
退職日当日にすべてのアカウントを無効化するフローを作りましょう。具体的には、Microsoft 365のアカウント無効化、各SaaSのアカウント削除、共有フォルダ・チャットグループからの除外を退職日に実施します。
退職者のメールデータを保存する必要がある場合は、共有メールボックスに変換すれば、ライセンス費用なしでデータを保持できます。
3. Windows Updateを自動適用する
脆弱性を突いた攻撃の多くは、既知のセキュリティパッチが適用されていないPCが標的になっています。Windows Updateの自動適用を有効にし、「更新を後で」を選び続ける社員がいないようにしましょう。
Microsoft 365 Business Premium以上のライセンスであれば、Intuneを使ってWindows Updateの配信ポリシーを一括管理できます。
【今週中に】基盤を固める4つ
4. パスワードポリシーを設定する
「password123」「会社名2025」のようなパスワードを使っている社員はいませんか?最低でも以下のルールを設定してください。
- 12文字以上
- 英大文字・小文字・数字・記号のうち3種以上を含む
- 他のサービスと同じパスワードを使い回さない
なお、現在のセキュリティのベストプラクティスでは、定期的なパスワード変更の強制は推奨されていません。それよりもMFAの導入と、十分な長さのパスワード設定の方がはるかに効果的です。
5. BitLocker(ディスク暗号化)を有効にする
ノートPCの紛失・盗難時に、HDDやSSDのデータを第三者に読み取られないようにするための対策です。Windows 10/11 Proであれば、BitLockerを無料で利用できます。
有効化の手順は、コントロールパネルの「BitLockerドライブ暗号化」から設定するだけです。回復キーは必ずMicrosoft 365アカウントまたはActive Directoryに保存してください。個人のメモに書いて終わりにすると、本人が退職した後に復号できなくなります。
6. メールのフィッシング対策を強化する
フィッシングメールは、中小企業を狙うサイバー攻撃の入口として最も多い手法です。Microsoft 365を使っている場合、以下の設定を確認してください。
- Exchange Online Protection(EOP)のフィッシング対策ポリシーが有効か
- SPF・DKIM・DMARCレコードがDNSに設定されているか(自社ドメインの詐称防止)
- 外部メールに「外部」タグを表示する設定が有効か
SPF・DKIM・DMARCは、自社のドメインが詐称メールに悪用されるのを防ぐ仕組みです。DNS設定の追加だけで実現でき、費用はかかりません。
7. 共有アカウントをやめる
「営業部共有」のようなアカウントを複数人で使い回していませんか?共有アカウントは、誰がいつログインしたか追跡できないため、インシデント発生時に原因究明が不可能になります。
個人ごとにアカウントを発行し、共有が必要なメールは共有メールボックス、共有が必要なファイルはSharePointやOneDriveの共有機能を使いましょう。
【1ヶ月以内に】運用を整える3つ
8. 管理者アカウントを日常利用しない
Microsoft 365のグローバル管理者アカウントで日常業務のメールを読んだり、Webサイトを閲覧したりしていませんか?管理者アカウントが侵害されると、全社のデータにアクセスされてしまいます。
日常業務用のアカウントと管理者アカウントを分離し、管理者アカウントは管理作業の時だけ使用するようにしてください。
9. USBメモリの利用を制限する
USBメモリ経由でのマルウェア感染や情報漏えいを防ぐため、業務での使用ルールを決めましょう。Intuneのデバイス制御ポリシーを使えば、USBストレージの読み書きを一括でブロックすることも可能です。
すぐにブロックするのが難しい場合は、まず「USBメモリを使用する場合は上長の承認を得る」というルールを設けるだけでも効果があります。
10. セキュリティ意識向上のための社内共有
どれだけ技術的な対策を施しても、社員がフィッシングメールのリンクをクリックしてしまえば意味がありません。
難しい研修を行う必要はありません。月に1回、5分程度で読める「今月のセキュリティ注意点」をSlackやTeamsで共有するだけでも、社員のセキュリティ意識は大きく変わります。IPAの「情報セキュリティ10大脅威」の概要を要約して共有するのも効果的です。
対策の優先度まとめ
| 優先度 | 対策 | 費用 | 所要時間 |
|---|---|---|---|
| 最優先 | MFA有効化 | 無料 | 30分 |
| 最優先 | 退職者アカウント削除フロー | 無料 | 1時間 |
| 最優先 | Windows Update自動化 | 無料 | 30分 |
| 今週中 | パスワードポリシー設定 | 無料 | 1時間 |
| 今週中 | BitLocker有効化 | 無料 | PC1台5分 |
| 今週中 | フィッシング対策設定 | 無料 | 2時間 |
| 今週中 | 共有アカウント廃止 | 無料 | 半日 |
| 1ヶ月以内 | 管理者アカウント分離 | 無料 | 1時間 |
| 1ヶ月以内 | USBメモリ制限 | 無料 | 1時間 |
| 1ヶ月以内 | セキュリティ社内共有 | 無料 | 月30分 |
まとめ
10項目すべてに共通するのは、「追加費用がかからない」という点です。必要なのは、設定作業に充てる時間と、社内ルールを決める意思決定だけです。
まずは1〜3の最優先項目を今日中に実施してください。MFAの有効化だけで、セキュリティリスクは劇的に改善します。
「設定の仕方が分からない」「そもそも今の設定状況が把握できていない」という方は、まずは現状のセキュリティ状態を専門家に診断してもらうのが効率的です。
情シス365のSecurity365(セキュリティ運用・SOCライト)では、セキュリティアセスメントからアラート設計、インシデント対応までを中小企業向けの現実的なコストで提供しています。まずは無料相談からお気軽にどうぞ。