まず、会社の「入口」を書き出す。

会社には多くの入口があります。メール、クラウドストレージ、会計ソフト、銀行口座、 ECサイト、SNS、ウェブサイト管理画面、社員のスマートフォン、業務用パソコン、 Wi-Fi、ルーター、顧客管理システム、外部業者との共有フォルダ。

防衛の第一歩は、これらをすべて完璧に守ることではありません。 まず、どこに入口があるのかを知ることです。 入口が見えていなければ、鍵をかけることも、誰が使っているか確認することもできません。

会社のサイバー防衛は、ソフトを買う前に「どこから入れるのか」を知ることから始まる。

メールは、会社の玄関であり、裏口でもある。

中小企業にとって、メールは最も重要な入口のひとつです。 取引先、見積、請求、契約、採用、顧客対応、銀行連絡、クラウドサービスの通知。 ほとんどの業務がメールを通ります。

だから、詐欺師もメールを狙います。 取引先を装う。社長を装う。請求書を差し替える。 銀行口座が変わったと言う。クラウドのログイン確認を装う。 迷惑メールというより、業務メールのふりをした侵入です。

会社のルールは単純でよいのです。 振込先変更はメールだけで信じない。 添付ファイルを開く前に送信者と文脈を確認する。 ログインリンクはメールから押さず、ブックマークや公式アプリから入る。 急がせるメールは一度止まる。

請求書詐欺は、会社の現金を直接狙う。

中小企業で特に注意すべきなのが、請求書や振込先を狙う詐欺です。 取引先を装い、「口座が変わりました」とメールを送る。 実在する請求書に似た書類を送る。 社長や上司を装い、急ぎの支払いを指示する。 これは技術攻撃であると同時に、経理業務への攻撃です。

対策は、二人確認です。 新しい振込先、振込先変更、高額支払い、急な送金指示は、 メールだけで決めない。必ず既知の電話番号や別経路で確認する。 「メールに書いてある電話番号」ではなく、以前から使っている連絡先で確認する。

invoice defense protocol
> payment request received
> check vendor name
> check bank account change
> verify using known phone number
> second person approval
> record confirmation
> payment released
> fraud blocked

パスワードの使い回しは、会社の鍵束を落とすことに近い。

社員が同じパスワードを複数のサービスで使い回すと、 一つのサービスから漏れた情報で、別の重要な業務アカウントに入られる可能性があります。 個人用サービスで漏れたパスワードが、会社のメールやクラウドで使われていたら危険です。

会社として最低限必要なのは、重要なアカウントでパスワードを使い回さないこと、 共有パスワードをむやみにチャットやメールで送らないこと、 管理者アカウントを特別扱いすること、退職者のアカウントをすぐ止めることです。

可能なら、パスワード管理ツールを導入し、社員が覚えやすい弱いパスワードに頼らなくてよい環境を作ります。 「気合いで覚える」セキュリティは、会社では長続きしません。

強い会社は、社員の記憶力ではなく、仕組みでパスワードを守る。

二段階認証は、面倒でも入れる価値がある。

メール、クラウド、銀行、会計ソフト、ドメイン管理、ウェブサイト管理画面。 重要なアカウントには、二段階認証を設定するべきです。 パスワードが漏れても、それだけでは入れないようにするためです。

ただし、二段階認証にも運用が必要です。 誰のスマートフォンに認証が届くのか。担当者が休みのときはどうするのか。 機種変更時に復旧できるのか。退職者の端末に残っていないか。 導入して終わりではなく、会社の運用として整理しておくことが大切です。

管理者アカウントは、社長印のように扱う。

管理者アカウントは、普通のアカウントとは違います。 社員を追加できる。データを削除できる。支払い設定を変えられる。 メールを転送できる。ウェブサイトを変更できる。 つまり、会社の重要な権限を持っています。

管理者アカウントを日常業務で何気なく使うのは危険です。 必要な人だけが持つ。強い認証を入れる。共有しない。 使う場面を限定する。管理者が誰なのかを一覧にしておく。 これは、社長印や銀行印を机の上に出しっぱなしにしないのと同じ考え方です。

退職者・外注先・古いアカウントを忘れない。

中小企業でよくある危険のひとつが、残ったアカウントです。 退職した社員、昔の外注先、以前の制作会社、古い会計担当者、使っていないメールアドレス。 こうした入口が放置されると、そこから会社の情報へ入られる可能性があります。

退職や契約終了のときには、チェックリストを作ります。 メール停止、クラウド権限削除、会計ソフト停止、SNS権限確認、ウェブ管理権限削除、 共有パスワード変更、貸与端末の返却、転送設定の確認。 人が抜けるときこそ、入口を閉めるタイミングです。

会社を辞めた人を疑うためではない。会社の入口を整理するために、権限を閉める。

バックアップは、攻撃後の生命保険である。

ランサムウェア、誤削除、端末故障、クラウド同期ミス、社員の操作ミス。 会社のデータは、さまざまな理由で失われます。 サイバー防衛は侵入を防ぐだけではありません。 失ったときに戻れるかどうかも、防衛です。

最低限、重要データを洗い出します。 会計データ、顧客リスト、契約書、見積書、設計図、写真、メール、業務資料、ウェブサイトデータ。 それぞれがどこに保存され、どの頻度でバックアップされ、誰が復旧できるのかを確認します。

バックアップは、取っているつもりでは不十分です。 実際に復元できるかを一度試すべきです。 復元できないバックアップは、安心感の飾りでしかありません。

backup checklist
> identify critical data
> schedule automatic backup
> keep offline or protected copy
> restrict delete permissions
> test restore
> document recovery steps
> business continuity improved

社員教育は、長い研修より短い習慣が効く。

年に一度の長い研修だけでは、現場の判断は変わりにくいものです。 中小企業では、短い習慣のほうが効きます。 月に一度、怪しいメールの例を共有する。 実際に来た詐欺メールを社内で見せる。 経理の振込確認ルールを再確認する。 新人に最初の一週間で基本ルールを教える。

社員に必要なのは、セキュリティ専門家になることではありません。 怪しいと感じたときに止まれること。 自分一人で判断せず、相談できること。 急がされても確認できること。 この三つができれば、会社の防御力は大きく上がります。

「怒られない報告ルール」を作る。

社員が怪しいリンクを押してしまったとき、添付ファイルを開いてしまったとき、 パスワードを入力してしまったかもしれないとき。 この瞬間に最も大切なのは、早く報告することです。

しかし、報告したら怒られる会社では、社員は黙ります。 黙っている間に被害が広がります。 だから会社は、事前に宣言するべきです。 「怪しいと思ったら、すぐ報告。早く言った人は責めない」。

もちろん、同じミスを何度も繰り返さないための教育は必要です。 しかし、初動では責任追及より止血が先です。

サイバー事故で最悪なのは、ミスではなく、ミスが隠れる社内文化である。

ルーターとWi-Fiを放置しない。

オフィスのルーターやWi-Fiは、会社のネットワークの玄関です。 初期設定のまま、古いパスワードのまま、誰でも入れる状態、 退職者や来客が昔のパスワードで入れる状態は避けるべきです。

来客用Wi-Fiと業務用Wi-Fiを分ける。 強いパスワードにする。管理画面のパスワードを変える。 使っていない機能を開けっぱなしにしない。 可能なら機器の更新やファームウェア更新も確認する。 これは高度な防衛ではなく、オフィスの戸締まりです。

ウェブサイトとドメインを守る。

中小企業にとって、ウェブサイトやドメイン名は信用の看板です。 ドメイン管理アカウント、DNS、ウェブサーバー、CMS、管理者ログイン、 制作会社の権限。これらが乗っ取られると、会社の信用に直接影響します。

ドメイン管理のログイン情報は、誰が持っているのか。 制作会社だけが持っていないか。 管理メールアドレスは現在使えるか。 二段階認証はあるか。 更新期限は誰が見ているか。 これらは必ず確認するべきです。

クラウド共有は、便利だが漏れやすい。

クラウドストレージは便利です。 しかし、共有リンクの扱いを間違えると、顧客資料や契約書が外部から見えることがあります。 「リンクを知っている全員が閲覧可」という設定は、使い方を間違えると危険です。

重要資料は、相手を指定して共有する。 共有期限を設ける。不要になった共有を消す。 外注先ごとにフォルダを分ける。 退職者や終了した取引先のアクセスを見直す。 クラウドは倉庫ではなく、鍵付きの倉庫として扱います。

共有リンクは、便利な鍵である。便利な鍵ほど、誰に渡したか忘れてはいけない。

スマートフォンも業務端末である。

社員のスマートフォンには、会社メール、チャット、写真、顧客連絡先、 認証アプリ、クラウドアクセスが入っていることがあります。 それは実質的に業務端末です。

画面ロックを設定する。紛失時の対応を決める。 退職時に会社アプリやアカウントを外す。 私物端末を使うなら、会社として最低限のルールを作る。 スマートフォンの安全は、もはや個人の問題だけではありません。

取引先を守ることも、自社防衛である。

サイバー攻撃は、自社だけで完結しません。 取引先を装ってメールが来ることもあれば、自社のメールが乗っ取られて取引先へ詐欺メールが送られることもあります。 その場合、自社の信用が傷つきます。

だから、取引先との確認ルールを作ることは重要です。 振込先変更は電話確認する。 急な支払い依頼は二人確認する。 重要書類の共有方法を決める。 不審なメールを受けたら、取引先へ早く知らせる。 サイバー防衛は、取引関係の信頼防衛でもあります。

事故対応の紙を一枚作っておく。

事故は、起きてから考えると遅れます。 最低限、一枚の紙に事故対応をまとめておくとよいでしょう。

誰に連絡するか。社内責任者は誰か。IT業者は誰か。 銀行やカード会社の連絡先はどこか。 ドメイン管理会社、クラウド会社、会計ソフト、保険会社、顧問弁護士や顧問税理士の連絡先。 どの端末をネットから切るか。どのパスワードを変えるか。

事故時は、画面もメールも信用できない場合があります。 紙に印刷して、社長、経理、管理担当が持っておく。 古い方法に見えて、非常時には強い方法です。

incident response card
> detect suspicious activity
> stop payment if needed
> disconnect affected device
> notify internal lead
> call IT support
> change critical passwords
> document timeline
> resume safely

サイバー保険は、免罪符ではない。

サイバー保険を検討する会社も増えています。 保険は役に立つ場合がありますが、保険に入っているから安全というわけではありません。 基本的な対策をしていなければ、被害は大きくなります。

保険は、防衛の代わりではなく、最後の備えです。 メール確認、二段階認証、バックアップ、権限管理、事故対応。 これらを整えたうえで、必要に応じて保険を考える。 火災保険に入っていても、火の用心をやめないのと同じです。

外部IT業者に丸投げしない。

中小企業では、ITを外部業者に任せることが多いでしょう。 それ自体は悪いことではありません。 しかし、丸投げは危険です。 会社のアカウント、ドメイン、バックアップ、管理者権限、契約内容を経営側が理解していないと、 いざという時に動けません。

経営者は、技術の細部まで分かる必要はありません。 しかし、重要な入口と責任者は知っておくべきです。 どの業者が何を管理しているのか。管理画面に入れるのは誰か。 契約終了時に権限を戻せるのか。 会社の鍵を誰が持っているのかを知ることは、経営の一部です。

ITは外注できる。しかし、会社の責任は外注できない。

中小企業のための十の最低限ルール。

最後に、中小企業がまず整えるべき最低限のルールをまとめます。

一、振込先変更はメールだけで信じない。
二、高額支払いは二人確認にする。
三、重要アカウントには二段階認証を入れる。
四、パスワードを使い回さない。
五、退職者と外注先の権限をすぐ閉める。
六、バックアップを取り、復元を試す。
七、怪しいメールを報告しても怒らない。
八、管理者アカウントを特別扱いする。
九、ドメインとウェブサイトの管理者を確認する。
十、事故対応の連絡先を紙で残す。

この十項目は、完璧なセキュリティではありません。 しかし、多くの中小企業にとって、最初に作るべき防波堤です。

会社を守るとは、信用を守ること。

中小企業にとって、サイバー被害はデータだけの問題ではありません。 顧客の信用、取引先の信頼、社員の安心、現金の流れ、仕事の継続性。 それらすべてに関わります。

大企業のような大規模な防衛はできなくても、中小企業には中小企業の防衛があります。 顔の見える社内連絡、短い確認ルール、早い報告、経理の二人確認、 取引先との信頼関係、社長が入口を知っていること。

サイバー防衛は、会社を怖がらせるためのものではありません。 会社が安心して商売を続け、顧客と取引先から信頼され、社員が安全に働くための生活技術です。 見えない世界に会社が住む時代には、見えない玄関にも鍵をかける。 それが、中小企業の最低限のサイバー防衛です。