menu

パソコン情報漏洩対策のセキュリティコラム

menu

中小企業がパソコンで導入すべきセキュリティ対策ベスト5

中小企業がパソコンで導入すべきセキュリティ対策ベスト5のアイキャッチ画像
ホーム > パソコン情報漏洩対策のセキュリティコラム > セキュリティ > 中小企業がパソコンで導入すべきセキュリティ対策ベスト5

潤沢な予算と要員によって、貴重な情報と、それを取り扱うための情報システムにセキュリティ対策が施されているとしても、サイバー攻撃者の手は伸びてきます。ましてや、セキュリティ対策が手薄になっている中小企業にとって、情報セキュリティ対策への投資と要員の投下は、耳の痛い話です。

その上、近年では、中小企業のPC、サーバーやネットワーク機器を踏み台にして、他企業にサイバー攻撃を仕掛ける事案も多くなっています。また、テレワークの普及によって、リスクも変化し、セキュリティ対策が必要となる対象が拡大しています。

リスクの増大と、情報セキュリティ対策のためのリソースの制限というアンバランスのために、自社だけではなく、事業のパートナー企業にも被害を及ぼすリスクがあるとすれば、すぐに、行動を開始すべきです。

本記事では、今すぐに優先順位をつけて取り組むべき「必須の5つの対策」を厳選して紹介します。それを参考に、対策をスタートさせてください。

目次
  1. なぜ今、中小企業のPCセキュリティ対策が急務なのか
    1. 増加する「サプライチェーン攻撃」と中小企業の責任
    2. ハイブリッドワークによる「境界型防御」の限界
    3. IPA「情報セキュリティ10大脅威」に見る最新トレンド
  2. 【第1位〜第2位】侵入を防ぎ、検知する「攻め」の対策
    1. 第1位:EDR(エンドポイントでの検知と対応)の導入
    2. 第2位:多要素認証(MFA/2FA)の全社適用
  3. 【第3位〜第4位】物理的紛失と脆弱性をカバーする「守り」の対策 
    1. 第3位:リモートワイプ(遠隔データ消去)の整備
    2. 第4位:OS・ソフトウェアの脆弱性管理と自動更新
  4. 【第5位】万が一の被害を最小化する「復旧」の対策
    1. 第5位:ランサムウェア耐性のある自動バックアップ
  5. 効果的なセキュリティ対策を進めるためのツール選定ポイント
    1. 「統合管理ツール」による一元管理の可否
  6. 従業員の意識改革なくして対策は機能しない
    1. 定期的なセキュリティ教育とメール訓練
    2. 厳格すぎない「守れるルール」の策定
  7. まとめ

なぜ今、中小企業のPCセキュリティ対策が急務なのか

サイバー攻撃は、年々、巧妙になり、数も増え、被害額が大きくなっています。「PCにウイルスソフトをインストールしているから大丈夫」という時代ではなくなってしまいました。それは、事業形態の変化や、勤務形態の変化が大きく関係しています。

増加する「サプライチェーン攻撃」と中小企業の責任

事業規模の大きさに関わらず、様々な企業が連携して事業を進める形態「サプライチェーン」は、情報の繋がりでもあり、それを支えるネットワークの一体化も意味します。

かつては、自社のPCがウイルス感染を起こすと、自社の資産に対する被害が問題となりましたが、現在は、そのウイルスがネットワークを経由して、サプライチェーン内に拡がります。つまり、自分の会社のPCが感染源になるのです。「感染するのが怖い」は、当たり前ですが、「感染させるのは、もっと怖い」状況になります。そして、その感染源として、中小企業が狙われているのです。

感染させる「加害者」になると、パートナーであった会社からの損害賠償請求が行われることもありますし、そのパートナーからの信用も失って、事業を進められなくなることさえ考えられます。

ハイブリッドワークによる「境界型防御」の限界

もうひとつ、悩ましいトレンドがあります。それは、業務を行う場所、つまり、PCを操作する場所として、会社と会社以外をフレキシブルに選択して、効率的に働くハイブリッドワークです。ここに、業務の効率化に相対する、セキュリティレベルの低下という問題が発生します。社内でのPC利用を、セキュリティ対策の基準においた「境界型防御」が機能していたものが、社内・社外の境界が無くなり、PCの持ち出し、クラウドサービスの利用を前提に、ネットワークを守らなければならなくなりました。つまり、外部からのアクセスを許可した上で、そのアクセスの正規性は信用しないという「ゼロトラスト」の考え方を導入しなければならなくなったのです。

IPA「情報セキュリティ10大脅威」に見る最新トレンド

IPA(独立行政法人情報処理推進機構)では、2014年から、毎年「情報セキュリティ10大脅威」という、社会的な影響の大きさをもとにした脅威のランキングを発表しています。

この、ランキングから、興味深い3つのポイントをピックアップしてみます。

2025年版の最上位は、「ランサム攻撃による被害」ですが、2014年版には、「ランサム」「ランサムウェア」という単語は見当たりません。

2025年の2番目に登場する「サプライチェーンや委託先を狙った攻撃」は、2019年から掲載されていますが、やはり、それ以前には、取り上げられていないものでした。

「リモートワーク等の環境や仕組みを狙った攻撃」は、比較的新しく、2021年版から登場し、5年連続で掲載されています。

この状況から、サイバーリスクの内容が変化していることが、よくわかります。

【第1位〜第2位】侵入を防ぎ、検知する「攻め」の対策

これまでに紹介した、サイバーリスクのトレンドを念頭に、ここからは、PCへの具体的なセキュリティ対策を紹介します。

まずは、「境界型防御」が及ばない状況で、攻撃者の侵入を食い止め、万が一、侵入されても、即座に気付くための最優先対策2つを紹介します。

ただし、第1位の対策を行っておけば大丈夫という意味ではありません。セキュリティ確保のためには、重層的な対策が必要です。

第1位:EDR(エンドポイントでの検知と対応)の導入

EDR(Endpoint Detection and Response)は、侵入の発見・対処を行うツールです。ネットワークとしての境界が不明瞭になった状況では、どのような脆弱性が発見され、どのような攻撃が行われるかが不明であるために、24時間、PCを含むエンドポイントの動きを監視し、異常を発見し、対処します。

従来のウイルス対策ソフト(EPP)は、攻撃を行うウイルスを、予め「ウイルス定義ファイル」に登録しておき、それに合致するかどうかで感知しますが、未知のウイルスは感知できません。

第2位:多要素認証(MFA/2FA)の全社適用

ログイン認証に必要な要素としては「知識要素」「所持要素」「生体要素」の3種があり、それぞれを使った認証方式を、「知識認証」「所持認証」「生体認証」と言います。

  • 知識認証:パスワードや、事前に登録した質問の答え等
  • 所持認証:SMSやEメール利用のワンタイムパスワード等
  • 生体認証:指紋認証、顔認証等

ログインIDとパスワードによる認証は、「知識認証」ですが、これだけでは不十分とされています。

そのため、システムへのログイン時におけるセキュリティ問題の解決策として、この3つの認証方式のうち、複数の要素を使うことが推奨されており、2種以上の認証方式を組み合わせることを「多要素認証(MFA)」、2種に限定したものを二要素認証(2FA)と言います。

クラウドサービスやVPN接続における、ID・パスワードだけの知識認証の脆弱性と比較して、多要素認証は強固で、導入が必須の対不正アクセス特効薬です。

【第3位〜第4位】物理的紛失と脆弱性をカバーする「守り」の対策 

ノートPCの特徴であるポータビリティと、PC全般としての、様々なアプリケーション搭載の利便性は、セキュリティに対する脆弱性と表裏一体です。この「裏の面」をカバーする対策も必須です。

第3位:リモートワイプ(遠隔データ消去)の整備

ノートPCのポータビリティは、置き忘れ、紛失、盗難というリスクにさらされています。これは、単に、ハードウェアの紛失による資産の滅失だけを意味するものではありません。PCの中には、重要な情報資産が入っています。できる限り早く、データを消去し、データへのアクセスをロックしなければいけません。サイバー攻撃者の技術レベルも高くなっており、盗んだPCから、容易にデータを窃取し、情報漏洩を起こします。

第4位:OS・ソフトウェアの脆弱性管理と自動更新

PCには、OSと多くのソフトウェアが搭載されており、業務の効率化や高度化に役立っています。ただ、ここにも、サイバー攻撃者がターゲットとする脆弱性があります。それは、OSやWebブラウザ、Adobe製品等に、既知として存在しますが、潜在的に存在する脆弱性も、日々、確認され、その是正措置である「アップデート」が配布されます。

組織として、PCに搭載したOSとソフトウェアを最新の状況に保つようにします。また、そのために、資産管理ツール等で管理を徹底することも重要です。

【第5位】万が一の被害を最小化する「復旧」の対策

ここまで説明した対策で、セキュリティが万全か、というと、実はそうとも言えません。サイバー攻撃は、日々、進化していますし、複雑化しています。

ここでは、不幸にも、サイバー攻撃を受けた際に、事業継続を可能にする「最後の砦」となる対策を紹介します。

第5位:ランサムウェア耐性のある自動バックアップ

ランサムウェアによって、貴重なデータが暗号化され、業務が停止に追い込まれる事例が発生していますが、事業を継続するためには、データのバックアップが必要です。ただし、サイバー攻撃の中には、バックアップデータまでをも攻撃の対象とするケースがあります。

この対応として、「バックアップの時だけオンラインとし、それ以外はオフラインにするバックアップ装置」や「リムーバブル磁器記憶装置」が有効です。また、専用のイミューダブル(変更不可能)バックアップ装置の導入や、その機能を持つクラウドサービスの利用は、非常に有効です。

効果的なセキュリティ対策を進めるためのツール選定ポイント

セキュリティリスクの対応に無限の予算を投下することは不可能です。

担当する情シス部門の人数やスキルセットを鑑みて、ユーザーインタフェースの優れたものや、導入や導入後のサポートの手厚いものを選ぶべきです。

「統合管理ツール」による一元管理の可否

情報システムを運用管理していく上で、管理ツールは欠かせません。とはいうものの、情報システムの管理項目毎にツールを導入する訳にはいきません。セキュリティ対策として行う「資産管理」「ログ管理」「リモートワイプ」などを一元管理できるツールを導入することによって、管理の効率化が可能なだけではなく、それがDXにも繋がります。

従業員の意識改革なくして対策は機能しない

セキュリティリスクマネジメントの考え方では、ここまで解説した「技術的」な対策以外に、「物理的」「組織的」「人的」対策も重視しています。

特に、「組織的」「人的」対策は、セキュリティ対策のベースとなるものです。

定期的なセキュリティ教育とメール訓練

いくら技術的なセキュリティ対策を施しても、従業員のセキュリティ意識が低ければ、効果を発揮しません。

「組織的対策」として、経営者が、企業としてのセキュリティ方針を明確に打ち出し、自社のセキュリティ目標を従業員に伝える必要があります。そして、それをもとに、「人的対策」として、「継続的なセキュリティ教育」を実施します。実施方法としては、標的型攻撃メールに対する実地訓練やeラーニング等が考えられますが、「継続して行うこと」がキーワードです。

厳格すぎない「守れるルール」の策定

「組織的対策」としては、社内ルールを作成し、社内教育を通じて、社内に周知徹底することも重要です。ただ、ルールが厳しすぎると、抜け穴を探す「シャドーIT」が発生し、それが、セキュリティホールになってしまい、逆効果です。利便性とセキュリティは、常に、良いバランスであるべきです。

まとめ

本記事では、中小企業にとって悩ましい、「PCのセキュリティ対策」について解説しました。セキュリティ対策とサイバー攻撃は「いたちごっこ」の様相を呈していますが、間違いなく、放っておいては解決しない問題です。迅速なアクションによって事業を守りましょう。