明日までに「情報セキュリティとは何か」を説明しろと言われ、IPAの定義やISO27001の資料を開いた瞬間に閉じたくなっているなら、すでに見えない損失が始まっています。用語だけ並べても、ランサムウェアやEmotet、内部不正、PPAPの形骸化、UTMやクラウドの“入れて終わり運用”にどこまで効いているのか、上司にも現場にも説明できないからです。
本記事は、情報セキュリティとは何かを「会社の信用とビジネス継続を守る仕組み」として、中小企業の現場語で再定義します。IPA準拠の考え方を踏まえつつ、CIA三要素を電車内のPC画面やExcelの1セル改ざん、サーバー停止といった身近な失敗例で分解し、企業と個人で今日から変えられる情報セキュリティ対策に落とし込みます。さらに、情報資産、情報セキュリティポリシー、ISO27001・ISO27017・ISO27018、自治体セキュリティクラウドといったキーワードを、「どこまでやれば十分か」という線引きとセットで整理します。
読み終えたときには、上司への説明資料も、現場のルール見直しも、自信を持って組み立てられるはずです。この数分を惜しむことが、次のインシデント対応コストになります。
- 情報セキュリティとは何を守ることか?IPAの定義を“現場語”に翻訳するワケ
- 情報セキュリティ3要素(CIA)とは?機密性と完全性と可用性を“身近なやらかし例”で体感する
- いま企業を襲う情報セキュリティリスクとは?ランサムウェアやEmotetや内部不正の“お決まりパターン”
- 現場で本当に起きている「情報セキュリティ違反」ドラマと、LINEやメールの生々しいやり取り再現集
- 情報セキュリティ対策とは何を指すのか?企業と個人で“今日から変えられる”リアルチェックリスト
- 情報セキュリティポリシーとISO27001とは?教科書用語を“実務で使える設計図”に変える
- あえて壊す“古い情報セキュリティ常識”PPAPとパスワード定期変更とUTM万能論のウソ
- 中小企業が“これから1年で”整える情報セキュリティロードマップとDXとのちょうどいい距離感
- Digital Portだから語れるオフィスインフラと情報セキュリティのリアルな接点と次の一手ガイド
- この記事を書いた理由
情報セキュリティとは何を守ることか?IPAの定義を“現場語”に翻訳するワケ
「ウイルス対策ソフトも入っているし、だいたい大丈夫でしょ」
そう思った瞬間から、会社の財布と信用はじわじわ削られていきます。守るべきなのはパソコンそのものではなく、「仕事が回り続けるしくみ」と「顧客からの信頼」です。
情報セキュリティとは何かと情報資産とは何かを一気にスッキリ整理する
IPAは、情報セキュリティを「機密性・完全性・可用性を確保すること」と定義しています。これを現場の言葉に変えると「社内外の大事な情報を、勝手に見られず・勝手に変えられず・いつでも使える状態でキープすること」です。
その前提になるのが「情報資産」の整理です。よく誤解されますが、パソコンやサーバーだけが対象ではありません。
| 種類 | 具体例 | 見落としやすいポイント |
|---|---|---|
| デジタルデータ | 顧客リスト、設計図、売上データ、メール | 個人PCのローカル保存、個人クラウドへの持ち出し |
| 紙の情報 | 見積書、契約書、社内申請書、メモ | シュレッダー待ちの山、机の上の放置書類 |
| システム・サービス | 基幹システム、クラウドストレージ、グループウェア | 権限設定の初期値のまま放置 |
| ノウハウ・人の頭の中 | 担当者だけが知る手順、取引先との暗黙ルール | 退職と同時にごっそり消えるリスク |
現場で最初にやるべきは、「何を守るのか」をこの表レベルまで具体的に書き出すことです。ここがあいまいなまま対策を始めると、UTMを入れたのに紙の書類から漏えいする、というチグハグな状態になりやすくなります。
情報セキュリティ目的とは「会社の信用とビジネス継続」を守り抜くこと
セキュリティという言葉が出た瞬間、「ITの話」に閉じてしまう会社が多いですが、実際に守っているのは次の2つです。
-
会社の信用
顧客情報の漏えいは「一度きりの事故」ではなく、「あの会社は危ないらしい」という口コミとして長く残ります。取引先の稟議でNGになるのは、この信用の部分です。
-
ビジネス継続(BCP)
ランサムウェアでデータが暗号化されたり、クラウドの設定ミスでシステムが止まれば、受注・出荷・請求がその日から止まります。売上の穴だけでなく、残業代や復旧作業の外注費も一気に膨らみます。
情報セキュリティ目的を「ウイルス感染をゼロにすること」とだけ捉えると、現場はただのコストにしか感じません。「会社の信用と、明日の売上を守るための保険」として説明すると、社長や現場も腹落ちしやすくなります。
私の視点で言いますと、中小企業で本当に効くのは、専門用語よりも「このトラブルが起きたら、うちの出荷は何日止まるか」を具体的に話すことです。
IPAの説明が難しく感じる本当の理由と、忙しい担当者のための超ざっくり読み替え方
IPAの資料が「眠くなる」と言われがちな理由は、対象が学生から大企業まで広く、どうしても抽象度が高いからです。中小企業のなんでもIT担当がそのまま読むと、「自社に引き直す翻訳作業」が丸ごと自分の肩に乗ってきます。
そこで、忙しい担当者向けに、まずは次のように読み替えると整理しやすくなります。
| IPA的な言い回し | 忙しい現場向けの超ざっくり読み替え |
|---|---|
| 機密性を確保する | 見ていい人以外には見せないしくみとルールを作る |
| 完全性を維持する | 勝手に書き換えられたり、計算ミスに気づけない状態をなくす |
| 可用性を確保する | 営業日・営業時間にちゃんと使える状態をキープする |
| 情報資産を特定する | 「失ったら困る情報」をリストにして優先順位をつける |
| リスク分析を実施する | どの情報が、どんな壊れ方をすると、いくら損をするかをざっくり見積もる |
まずはIPAの定義をすべて理解しようとせず、「自社の現場に当てはめるための素材集」として見ることがポイントです。そのうえで、明日上司に説明するなら、次の3行だけ押さえておくと筋が通ります。
-
守る対象は、顧客データと業務を回すための情報資産です
-
目的は、会社の信用とビジネス継続を守ることです
-
そのために、見られない・変えられない・止まらない状態を保ちます
ここまで整理できていれば、「まず何から手をつけるか」を決める土台はできています。次の章では、この土台をもとに、CIA三要素を現場のやらかし例で分解していきます。
情報セキュリティ3要素(CIA)とは?機密性と完全性と可用性を“身近なやらかし例”で体感する
「何となく守らなきゃいけないのは分かるけど、どこから手を付ければ…」という総務兼情シスの方ほど、まず押さえておきたいのがCIAの3要素です。教科書用語に聞こえますが、実態は毎日のメールやクラウド利用、エクセル作業が安全かどうかを決める軸そのものです。
ここでは、現場で本当に起きている“やらかし例”から3要素を腹落ちさせていきます。
機密性とは電車やカフェでのパソコン画面からダダ漏れする“目視情報”の怖さ
機密性は「見せてはいけない人に見せない」状態を保つことです。
多くの企業はパスワードやアクセス制御ばかり意識しますが、実際によく起きるのは次のような超アナログ事故です。
-
通勤電車でノートPCを開き、顧客リストを表示したまま資料作成
-
カフェでクラウド上の契約書を開き、すぐ後ろに座った人から画面丸見え
-
打ち合わせ帰りにUSBメモリを落としてしまい、暗号化もしていなかった
こうした「目視+物理」の漏えいは、サイバー攻撃よりも発生頻度が高いのに、社内ルールや教育が追いついていないケースが目立ちます。
機密性が崩れやすいポイントの例
-
共有フォルダを社内全員閲覧可にしたまま運用
-
メールで顧客データ付きファイルを暗号化せず送信
-
退職者のアカウントやWi-Fiパスワードをそのまま放置
機密性の対策は「強いシステム導入」だけではなく、画面フィルター、持ち出しルール、最低限の暗号化といった地味な運用の積み重ねで決まります。
完全性とはエクセル1セルの書き換えで信頼が吹き飛ぶ「データ改ざん」リスク
完全性は、データが「正しく」「勝手に書き換えられていない」状態を守ることです。
中小企業の現場で一番ヒヤっとするのは、次のようなパターンです。
-
売上集計エクセルの1セルだけ数式が消え、売上が誤って報告
-
在庫管理ファイルを複数人が同じフォルダで上書き保存し、どれが最新かわからない
-
取引先に送った見積書PDFを、相手側でこっそり書き換えられてしまう
きっかけは単純な操作ミスでも、数字がズレた時に「元データが本当に正しい」と説明できない状態が一番危険です。会社の信用は、サイバー攻撃ではなく、この種の小さな完全性崩壊から損なわれることが少なくありません。
完全性を高めるための代表的な打ち手としては、次のようなものがあります。
-
重要ファイルはバージョン管理付きのクラウドで管理
-
更新権限を絞り、承認フローを設定
-
ログを残し、誰がいつどのデータを触ったかを確認可能にする
-
定期的なバックアップで「改ざん前の状態」に戻せるようにする
可用性とはサーバ停止やクラウド障害で仕事が一斉ストップする「サービス継続性」の現実
可用性は、必要な人が必要な時に情報やシステムを使える状態を保つことです。
ここを軽視すると、守るための対策が、かえって業務停止を招くという本末転倒に陥ります。
典型的なシーンは次の通りです。
-
ファイルサーバーが老朽化して故障、バックアップも無く全業務がストップ
-
クラウドサービスのID管理が属人化し、担当者不在でアカウント追加ができず新人が何日もシステムに入れない
-
ランサムウェア対策を意識しすぎてUSBを全面禁止にした結果、現場が私物クラウドを使い始め制御不能になる
可用性は「停止しないようにする」だけでなく、止まっても素早く戻せる仕組みも含みます。バックアップの仕組み、代替手段の用意、復旧手順の明文化までセットで考えることが重要です。
情報セキュリティCIAとは3つの要素のバランスをどう攻めるかという経営ジャッジ
実務で難しいのは、CIAそれぞれを単体で高めることではなく、バランスをどこに置くかの判断です。
代表的なトレードオフを整理すると、次のようになります。
| 要素 | 高めすぎた時の現場の悲鳴 | 手を抜きすぎた時のリスク |
|---|---|---|
| 機密性 | ログインや承認が多すぎて業務が遅い、外出時に資料が開けない | 顧客情報の漏えい、取引停止、法的トラブル |
| 完全性 | 修正に都度承認が必要で、ちょっとした数値訂正にも時間がかかる | 数値の誤報告、データ改ざん疑惑、監査で指摘 |
| 可用性 | 「いつでも使える」ために誰でもアクセスできる設定にしてしまう | サービスやサーバー停止でビジネス継続が困難 |
中小企業の場合、最初から完璧を狙わず「致命傷を避けるライン」をまず決めることが現実解になります。
例えば、顧客データは機密性と完全性を最優先、社内掲示レベルの情報は可用性優先、といった情報の重要度ごとのメリハリが鍵です。
この3要素を「難しい専門用語」ではなく、「画面がのぞき見されないか」「この数字は誰がいつ変えたのか説明できるか」「止まった時にどれくらいで戻せるか」という問いに置き換えると、現場の従業員も一気に腹落ちしやすくなります。ここから先の対策やポリシー設計も、このCIAを物差しにして考えていくことが、中小企業にとって無理のない第一歩になります。
いま企業を襲う情報セキュリティリスクとは?ランサムウェアやEmotetや内部不正の“お決まりパターン”
「うちは中小企業だし、狙われないはず」そう思った会社ほど、同じ“型”でまとめて狩られます。ポイントは、攻撃者はあなたの会社を知らなくても、あなたの会社の弱点パターンは完全に知っているということです。
まず全体像をざっくり整理します。
| リスクの種類 | 入口になりやすい行為 | 典型的な被害 |
|---|---|---|
| ランサムウェア | 添付ファイル、脆弱なVPN | 業務データ暗号化、身代金要求 |
| Emotet | なりすましメールの返信 | メール情報窃取、取引先への二次被害 |
| 内部不正 | アカウント放置、パスワード共有 | 情報持ち出し、改ざん |
| 物理的漏えい | 紙・USB・廃棄PCの管理不足 | 顧客情報流出、信用失墜 |
私の視点で言いますと、これらは「特殊事件」ではなく、オフィスで普通に仕事をしているだけで踏み抜きやすい“落とし穴”になっているケースがほとんどです。
ランサムウェアとは何かと二重脅迫型ランサムウェアが企業を追い詰める最新トレンド
ランサムウェアは、社内PCやサーバーのデータを暗号化し、「元に戻してほしければ金を払え」と迫る攻撃です。最近は二重脅迫型が主流で、暗号化前にデータを抜き取り、次の2段構えで攻めてきます。
-
復号キーが欲しければ支払え(業務停止を人質)
-
支払わないなら盗んだ情報を公開する(信用を人質)
特に中小企業では、次のような“ありがちな設定ミス”から侵入されやすいです。
-
VPN装置やリモートデスクトップのパスワードが弱い
-
Windowsやネットワーク機器のアップデートが何カ月も止まっている
-
重要サーバーのバックアップがオンラインだけで、同じネットワークにぶら下がっている
バックアップが暗号化されてしまうと「復旧の最後の砦」まで奪われます。オフラインバックアップやクラウドバックアップを分散させることが、経営レベルでの必須対策になっています。
Emotetとは何かと「取引先からのメールにしか見えない」巧妙すぎるだまし方
Emotetはメール経由で広がるマルウェアで、怖さはリアルすぎる“なりすまし”にあります。感染したPCから以下のような情報をかき集めます。
-
アドレス帳のメールアドレス
-
実際の件名や本文の一部
-
添付ファイル名ややり取りのパターン
その結果、現場ではこんなメールが届きます。
-
件名: 「先日の見積りの件です」
-
差出人: いつもやり取りしている取引先営業
-
本文: 過去のメール内容が引用されている
-
添付: 「請求書.xlsm」
これを疑えと言われても、無理ゲーに近いレベルです。技術対策だけでなく、「マクロ有効化は原則禁止」「請求系はクラウド請求システムに一本化」など、業務フローごとのルールづくりが鍵になります。
内部不正とは退職者アカウント放置やパスワード共有から静かに始まるインシデント
外からの攻撃より厄介なのが、社内・元社員・委託先による内部不正です。派手なハッキングではなく、“知っている人だからこそできる抜け道利用”が中心になります。
典型的なスタート地点はここです。
-
退職者アカウントを「しばらく残しておく」が常態化
-
チーム内で1つのIDとパスワードを共有(クラウド、NAS、経理システムなど)
-
システム担当者だけが管理者パスワードを握り、引き継ぎがない
内部不正は、最初から悪意があるケースだけでなく、「退職後も自分の成果物を見たい」「在宅勤務でこっそり便利に使いたい」といったグレーな好意が暴走する形で起きることも多くあります。
有効なのは、次のような“地味だが効く”管理です。
-
退職手続きチェックリストに「全アカウント停止」を明記
-
共有IDをなくし、必ず個人ID+アクセスログを残す
-
権限見直しを年1回ではなく、組織変更や部署異動のタイミングで行う
物理的セキュリティとは紙の書類とUSBと廃棄PCが招く“アナログ漏えい”の落とし穴
デジタル攻撃ばかりが注目されますが、紙一枚とUSB一本が会社の信用を吹き飛ばすケースも後を絶ちません。実務で起きやすいのは次のようなパターンです。
-
電車内で顧客リストを印刷したファイル入りのカバンを置き忘れる
-
退職者が「自分の実績サンプル」として顧客データをUSBにコピー
-
廃棄PCを中古買取に出す時、ストレージ初期化が甘くデータが残存
特に紙とUSBは、「あとでまとめて記録するつもり」の一時利用が放置されがちです。
物理面の対策ポイントを整理すると次の通りです。
-
紙の書類: 機密区分ごとに保管場所と廃棄ルールを明文化
-
USBメモリ: 会社支給限定+暗号化、私物USBは原則禁止
-
廃棄PC: 専門業者による破砕・消去証明の取得、データ消去手順の標準化
攻撃者は高度なサイバーセキュリティだけでなく、「忙しい担当者のうっかり」を狙い撃ちしてきます。テクノロジーとルール、そして日々の運用をセットで見直すことが、会社の信用と事業継続を守る最短ルートになります。
現場で本当に起きている「情報セキュリティ違反」ドラマと、LINEやメールの生々しいやり取り再現集
「うちは狙われるような会社じゃないから」と油断しているオフィスほど、実はスマホ1画面分のやり取りから崩れていきます。ここでは、監査報告書ではまず出てこない“リアルな会話”ベースで、どこから事故が始まるのかを立体的に見ていきます。
事例1クラウド共有フォルダが“全員フルアクセス”だったと後から気づいたヒヤリ体験
クラウドストレージを導入した直後は順調に見えるのに、数カ月後にこうしたメールが飛び交います。
上司:
「このフォルダ、社外の人も見られたって本当?」
担当:
「初期設定のままで、リンクを知っていれば誰でもアクセスできる状態でした…」
ここで表に出ている問題は「アクセス権設定ミス」ですが、裏側では次の3つが同時に起きています。
-
情報資産の棚卸しをしておらず、何を誰に見せてよいかの区別がない
-
権限設計をIT担当1人に丸投げし、レビューの仕組みがない
-
ログ確認や共有リンクの定期チェックといった運用ルールが存在しない
私の視点で言いますと、クラウド導入直後の「とりあえず全員見られるようにしておきました」が、そのまま固定化するパターンが非常に多いです。
この事例では、機密性と可用性のバランス設計が完全に抜け落ちています。便利さを優先したつもりが、顧客情報や見積りデータの漏えいリスクを放置している状態です。
事例2PPAPとパスワード運用が完全に形骸化した会社の“あるあるチャット”
メールでのファイル送信も、現場では次のようなチャットに収れんしがちです。
担当A:
「さっきの見積りのパスワードなんでしたっけ?」
担当B:
「いつもの1234です。全部それで統一してます」
ここでは、形式上は「暗号化ZIP+パスワード送信」というセキュリティ対策をしているように見えますが、実態は次の通りです。
-
パスワードが単純で、総当たり攻撃に極めて弱い
-
全ファイル同一パスワードで、1回漏れたらすべて解読可能
-
チャットやメールに平文でパスワードを書き続ける習慣が定着
このような運用は、外部攻撃だけでなく、内部の人間による情報持ち出しも容易にしてしまいます。
よくある落とし穴を整理すると、次のようになります。
| 見かけの対策 | 実態 |
|---|---|
| ZIP暗号化して送信 | パスワードが固定かつ超単純 |
| パスワード別送信 | 同じメールサーバで即時照合可能 |
| 社内でルール化済み | 内容を理解せず“やらされ運用” |
本来守りたかった機密データの安全性が、「ルール遵守=安心」という思い込みによって穴だらけになっている典型パターンです。
事例3退職者アカウントが数ヶ月生きていた組織で交わされる、何気ない社内LINEの怖さ
内部不正や情報持ち出しの相談で多いのが、退職者アカウント周りです。現場の会話は驚くほど日常的です。
元同僚:
「一応、このメールアドレスはしばらく残しておいてもらえる?」
総務:
「引き継ぎもあるし、念のため当面はそのままで大丈夫です」
ここで起きているのは、可用性を優先した“善意の延長措置”ですが、リスクは次の通りです。
-
退職後も会社のクラウドやファイルサーバにアクセス可能
-
メールアドレス経由で、各種クラウドサービスのパスワードリセットができてしまう
-
誰がいつまで使っているのか、ログ上もグレーになる
退職手続きとアカウント削除がひとつのフローになっていない組織では、この状態が数カ月続くことも珍しくありません。
対策としては、次の3点を“人事・総務の業務フロー”に組み込むことが重要です。
-
退職届け受理と同時に、利用中システム一覧を自動出力
-
最終出社日の翌営業日までに、すべてのアカウントを停止
-
引き継ぎが必要な場合は、共通アカウントに権限を一時付け替える
どの事例にも共通しているのは、技術よりも運用とコミュニケーションのほころびが決定打になるという点です。LINEやメールのたった一言が、会社の信用と事業継続を揺らすスイッチになってしまうことを、まずは現場全体で共有するところから始めてみてください。
情報セキュリティ対策とは何を指すのか?企業と個人で“今日から変えられる”リアルチェックリスト
「明日までに対策をまとめて」と言われた瞬間、頭が真っ白になるのは、何をどこまでやればいいかの地図がないからです。ここでは、現場で本当に役に立つ“行動レベル”の対策だけを整理します。
企業向け技術と組織と物理と人的に分けて考える情報セキュリティ対策の全体マップ
会社の守りは、技術・組織・物理・人的の4レイヤーで見ると一気に整理しやすくなります。
| レイヤー | 目的 | 代表的な対策 | 現場での落とし穴 |
|---|---|---|---|
| 技術 | 攻撃や誤操作をシステムでブロック | ファイアウォール、UTM、アンチウイルス、暗号化、アクセス制御 | 導入して満足し、設定とログ確認が放置される |
| 組織 | ルールと責任範囲を明確化 | 情報セキュリティポリシー、役割分担、インシデント対応フロー | IT担当1人に丸投げして経営がノータッチ |
| 物理 | 機器と紙を守る | 入退室管理、施錠、PC持ち出しルール、廃棄手順 | シェアオフィスや自宅での紙・USB管理が抜ける |
| 人的 | 従業員の判断ミスを減らす | 教育、訓練メール、テレワーク時の注意喚起 | 年1回のeラーニングだけで「やった気」になる |
私の視点で言いますと、事故の現場では技術レイヤーよりも、退職者アカウント放置や「とりあえず全員アクセス可」などの組織・人的レイヤーのほころびが目立ちます。
個人でできる情報セキュリティ対策とはパスワードとメールとクラウド利用をサクッと見直す
従業員1人でも、今日から変えられる3点セットがあります。
-
パスワードの見直し
- 社内システムと私用サービスで同じパスワードを使わない
- 8文字ギリギリではなく、12〜16文字程度で「単語+数字+記号」を混ぜる
- 紙の付箋ではなく、会社が許可したパスワード管理ソフトを利用する
-
メールの見直し
- 取引先を名乗るメールでも「差出人アドレス」「本文の日本語の違和感」「不自然な添付ファイル形式」を必ず確認する
- 添付ファイルを開く前に、社内チャットや電話で一言確認する習慣をつける
-
クラウド利用の見直し
- 共有リンクは「リンクを知っている全員」ではなく、原則メールアドレス指定にする
- 退職者や異動者が残っていないか、月1回は共有メンバーを見直す
この3つだけでも、Emotet系の攻撃や情報漏えいリスクは実感できるほど下がります。
情報セキュリティ対策4つの柱と「やりすぎ」と「スカスカ」のちょうどいい境目
4つの柱は、対策の濃さを調整するための物差しにもなります。
| 柱 | やりすぎパターン | スカスカパターン | ちょうどいい状態 |
|---|---|---|---|
| 技術 | 二重三重のツールでコスト過多、誰も設定を理解していない | 無線LANも初期設定のまま、バックアップもなし | 重要システムに絞ったUTMとバックアップ、最低限のアクセス制御 |
| 組織 | 細かすぎる規程で誰も読まない | 規程が存在せず、担当者の“勘”で運用 | A4数枚の簡潔な基本方針と、業務フローに組み込んだ手順 |
| 物理 | USB全面禁止で業務が回らない | 机の上に書類山積み、施錠ルールなし | 持ち出しは申請制にし、暗号化USBなど許可された手段を用意 |
| 人的 | テスト結果だけを追い、理解度を確認しない | 教育を全く実施せず「自己責任」で放置 | 年1〜2回の教育+疑似攻撃メールなど行動に直結する訓練 |
「現場が回らないレベルの厳しさ」は、結局パスワード付箋など別の穴を生みます。逆にスカスカな状態は、ランサムウェアや内部不正が入り放題になります。業務が止まらず、かつ“面倒だけど納得できるライン”を関係者で話し合って決めることが鍵です。
情報セキュリティ対策具体例UTMとクラウドセキュリティとバックアップとCSIRTの使い分け
代表的なソリューションを、「何のために使うのか」で整理します。
| 仕組み | 役割 | 向いている会社 | 注意点 |
|---|---|---|---|
| UTM | ネットワークの出入口で不正アクセスやウイルスをまとめて防ぐ | 拠点ネットワークを持つ中小企業 | 入れっぱなしにせず、ログ確認とルール見直しを行う |
| クラウドセキュリティ | クラウド上のアクセス権やログを統合管理 | Google WorkspaceやMicrosoft 365を本格利用している会社 | 初期設定任せにせず、共有設定と多要素認証を必ず有効化する |
| バックアップ | ランサムウェア、誤削除、災害時の復旧用 | ファイルサーバーや基幹システムを持つ会社 | 同じネットワーク上だけでなく、オフラインまたは別拠点にも保存する |
| CSIRT | インシデント対応の司令塔となる社内チーム | 従業員数が多い、取引先から信頼を求められる会社 | 最初は兼務メンバー数名の「仮CSIRT」からでも良いので役割を明文化する |
とくに中小企業では、「UTMを入れたから安心」という空気が広がりやすいですが、実際の被害現場では、UTMの外側であるメール添付ファイルやクラウド共有の設定ミスから事故が起きているケースが目立ちます。
技術ツールはあくまで“道具”と位置づけ、組織・人的レイヤーとセットで設計することが、信用とビジネス継続を守る最短ルートになります。
情報セキュリティポリシーとISO27001とは?教科書用語を“実務で使える設計図”に変える
情報セキュリティポリシーとは基本方針と対策基準と実施手順の3階建てイメージ
難しい文書と思われがちなポリシーですが、現場感覚で言い換えると「社長の約束」「会社としてのルール」「現場マニュアル」の3階建てです。
| 階層 | 中身 | 現場でのイメージ |
|---|---|---|
| 基本方針 | 何を守るか、経営の考え方 | 社長メッセージ+A4一枚の宣言 |
| 対策基準 | 会社として必ず守るルール | パスワード桁数、持ち出し条件など |
| 実施手順 | 日々の具体的なやり方 | マニュアル、チェックリスト |
ポイントは、3つを一気に作らないことです。先に基本方針で「顧客情報と生産データを最優先で守る」と決め、その後に「USB持ち出しは申請制」「退職当日にアカウント停止」といった対策基準を乗せていきます。最後に、総務や情シスの手順書を更新して、日々の業務に落とし込む流れが現場では回しやすいです。
ISO27001とは何かとISMS認証の「バッジ以上の意味」をざっくり理解する
ISO27001は、情報を守るためのマネジメントシステムの国際規格です。難しく聞こえますが、中身は「やるべきことリスト」ではなく、やるべきことを自分たちで決めて、回していくための型だと捉えると腹落ちします。
ISMS認証は、名刺に載せるロゴマークだけが目的になりがちですが、本来は次の3点が効きます。
-
どの情報資産をどこまで守るかを、経営と現場で合意できる
-
リスクを洗い出して、優先順位をつけて投資しやすくなる
-
「担当者が辞めても回る」仕組みとして、手順と記録が残る
私の視点で言いますと、トラブルが続いていた会社ほど、認証をきっかけに「決める→実行→見直す」のサイクルがやっと回り始めるケースが多いです。
ISO27017とISO27018とクラウドセキュリティとはクラウド利用企業が外せないキーワード
クラウド前提の今、ISO27001だけだと「オンプレ時代の絵」のままになりがちです。そこで効いてくるのがISO27017とISO27018です。
-
ISO27017
クラウドサービスの提供側と利用側、それぞれがどこまで責任を持つかを整理するためのガイドラインです。具体的には、アクセス権限、ログ管理、バックアップなど、クラウド特有のリスクに焦点を当てています。
-
ISO27018
クラウド上で扱う個人データをどう守るかに特化した規格です。顧客情報や従業員情報をクラウドに置く企業にとっては、「どこまで暗号化するか」「誰が閲覧できるか」を決める判断材料になります。
クラウドベンダー側がこれらに準拠しているかを確認しつつ、自社側でもアクセス管理や多要素認証、バックアップ運用を組み合わせることで、クラウドセキュリティの穴を小さくできます。
形式だけのポリシーから脱却するための「現場フローぜんぶ棚卸し」発想術
形式だけのポリシーが危険なのは、「紙の上では完璧」で「現場では誰も守っていない」状態を生むからです。ここを抜け出すには、先に現場フローを丸裸にする棚卸しが有効です。
棚卸しのステップを、現場で回しやすい形にすると次の通りです。
- 部署ごとに、仕事の流れをざっくり書き出す
- どのタイミングでどんな情報を扱うかを付箋レベルで可視化する
- 「持ち出し」「共有」「保存」「廃棄」の4場面に色ペンで印をつける
- 印がついたところだけ、詳しくヒアリングしてリスクを確認する
この棚卸しをしてからポリシーを見直すと、「退職者アカウントが残り続ける」「クラウド共有フォルダが全員フルアクセス」といった、現場あるあるの危険ポイントが一気に浮かび上がります。
教科書の条文から入るのではなく、自社の業務フロー図を下敷きにしてポリシーを上書きしていく。この順番に変えるだけで、ポリシーは一気に「読まれる文書」になり、ISO27001の取り組みも現場に根付きやすくなります。
あえて壊す“古い情報セキュリティ常識”PPAPとパスワード定期変更とUTM万能論のウソ
昔の教科書のままのセキュリティ運用を続けると、攻撃者より先に「自社の現場」が壊れていきます。ここでは、まだ根強い3つの古い常識を、現場視点でバッサリ更新します。
とにかくパスワードは頻繁に変えればいいが現場を追い詰める危険な勘違い
毎月パスワード変更を義務にすると、多くの現場で次のような「副作用」が起きます。
-
付箋にパスワードを書いてモニターに貼る
-
ほぼ同じ文字列を1文字ずつ変えるだけ
-
全員で同じパスワードを共有してしまう
私の視点で言いますと、これらは機密性を高めるどころか攻撃者にドアを開けて待っている状態です。
推奨されるのは、次の組み合わせです。
-
長くて推測されにくいパスフレーズ方式
-
多要素認証の導入
-
例外的なときだけ変更(漏えい疑い時、異動時など)
頻度ではなく「強さと仕組み」で守る発想が重要です。
USB全面禁止で仕事が止まる会社が選ぶべき、可用性とのリアルな落としどころ
「USB禁止」と書いたポリシー1枚で満足してしまうと、こんなことが起こります。
-
設備メーカーのメンテナンスが進まない
-
現場が内緒で私物USBを持ち込む
-
結局、管理できない“地下ルート”が生まれる
ここで見るべきは機密性と可用性のバランスです。
| 項目 | 全面禁止 | 管理付き利用 |
|---|---|---|
| 機密性 | 高いが抜け道が出やすい | ルール次第で高水準 |
| 可用性 | 業務が止まりやすい | 業務継続しやすい |
| 運用負荷 | 表向きは低い | 最初は高いが安定しやすい |
現実的には「登録済みUSBのみ許可」「利用ログ取得」「ウイルススキャン必須」といった管理された利用が落としどころになります。
UTMを入れたから情報セキュリティは完了という一言が事故を呼び寄せるワケ
中小企業でよく聞くのが「UTMも入れたし、もう安心」という一言です。ところが現場を見ると、次のような状態が頻発します。
-
初期設定のままログを誰も見ていない
-
退職者のVPNアカウントが残ったまま
-
社内PCに古いソフトウェアが放置
UTMはネットワークの“番犬”にすぎません。家の鍵を開けっぱなしにしたり、窓を割れたままにしていれば、番犬だけでは守り切れません。
UTM導入とセットで整えるべきは以下です。
-
標的型メール対策と従業員教育
-
ソフトウェア更新とバックアップ
-
アカウント管理フロー(入退社時のチェック)
技術とルールと人の運用がつながって、ようやく意味を持ちます。
情報セキュリティマネジメントとはCIA三要素のバランスをオフィス全体でデザインすること
古い常識が危ない理由は、CIA三要素のどれか1つだけを極端に上げようとするからです。
| 施策例 | 機密性 | 完全性 | 可用性 | よくある落とし穴 |
|---|---|---|---|---|
| パスワード頻繁変更 | 上げたい意図 | 変化なし | 大きく低下 | 付箋・共有パスワード |
| USB全面禁止 | 上げたい意図 | 変化なし | 低下 | 私物USBの横行 |
| UTM導入のみ | やや向上 | やや向上 | 変化なし | 「他は何もしない」状態 |
本当に目指すべきは、オフィス全体で機密性と完全性と可用性を同時に最適化する設計です。
業務フロー、クラウド利用、ネットワーク構成、教育をひとつのマップに描き出し、「どこを締めて、どこを開けておくか」を経営判断として決める。そこからルールとツール選定を逆算することで、古い常識に縛られない、攻めと守りが両立したセキュリティ体制が見えてきます。
中小企業が“これから1年で”整える情報セキュリティロードマップとDXとのちょうどいい距離感
まず1ヶ月でやるべき現状の見える化と最低限のマイルールづくり
最初の1ヶ月は、技術投資より「状況把握」と「小さなルール」で一気に進みます。派手さはないのに、ここをサボると後が全部グラグラします。
主なチェックポイントは次の通りです。
-
どのPCとスマホが業務利用かを一覧化する
-
社内で使っているクラウドサービスを洗い出す(個人アカウントも含めて)
-
社外に出るデータの経路を確認する(メール、チャット、USBなど)
-
管理者パスワードと共有パスワードを棚卸しする
この棚卸し結果から、まずはA4一枚レベルの「マイルール」を作ります。
-
社外に送るファイルはクラウド共有リンクを基本にする
-
退職者が出たら当日中にアカウント削除を依頼する
-
管理者パスワードの紙メモは禁止にする
私の視点で言いますと、この1枚ルールが後のポリシーや監査の“叩き台”になり、現場の反発も最小で済みます。
半年で目指す姿情報資産の洗い出しと情報セキュリティポリシー骨格づくりのステップ
次のフェーズでは「何をどこまで守るか」をはっきりさせます。全部を最高レベルで守ろうとするからDXが止まります。
代表的な整理の仕方を表にまとめます。
| 区分 | 例 | 優先度 | 主な対策イメージ |
|---|---|---|---|
| 極めて重要 | 顧客データ、設計図 | 最優先 | アクセス制限、暗号化、持ち出し禁止 |
| 重要 | 見積書、社内資料 | 中 | 権限管理、変更履歴、バックアップ |
| 通常 | チラシ原稿など | 低 | 最低限のアクセス管理 |
この区分をもとに、3階建て構造でポリシーの骨格を作ります。
-
基本方針:会社としての宣言(信用と事業継続を守ること)
-
対策基準:パスワードやバックアップ、アクセス権の基準
-
実施手順:退職時アカウント削除フロー、クラウド権限申請フローなど
ここで大事なのは「フロー図とセットで作る」ことです。文章だけのポリシーは、ほぼ確実に読まれません。
1年で到達したいレベルUTMとクラウドセキュリティと教育と監査をサイクル化する
1年のゴールは、「守る仕組み」と「回す仕組み」をセットで動かせる状態です。よくある失敗は、UTM導入やクラウド設定を入れたところで安心してしまい、運用と教育が置き去りになるパターンです。
1年目の完成イメージは次のサイクルです。
-
技術対策
- UTMやエンドポイント対策で外部攻撃とマルウェアをブロック
- クラウドは多要素認証と権限管理を標準設定にする
-
教育
- 年1のeラーニングだけでなく、四半期ごとに10分の社内ミニ勉強会
- ランサムウェアメールの実例スクリーンショットを使って訓練
-
監査と改善
- 権限の棚卸しを年2回実施
- 退職者アカウントと共有フォルダのアクセスログを定期確認
この「技術 × 人 × チェック」の3点セットが回り始めると、DX施策を増やしてもセキュリティが崩れにくくなります。
DX推進や自治体情報セキュリティクラウドとの関係整理便利と安全を両立させる視点
DXは便利さを一気に引き上げますが、同時に攻撃者から見ると“入口”も増えます。大事なのは「すべてを自前で守ろうとしない」発想です。
-
自治体や取引先が指定するクラウドや情報セキュリティクラウドがある場合
- どこまで相手側が守ってくれるか
- どこから先が自社の責任か
この境界を仕様書レベルで確認しておきます。
-
DXツール選定時に必ず見るポイント
- 管理者画面でのアクセスログがどこまで見られるか
- バックアップと復旧の仕組みが公開されているか
- 国内外のどのデータセンターに保存されるか
便利さを優先したい現場と、リスクを気にする経営層がぶつかりがちですが、「止めるためのセキュリティ」ではなく「止まらないためのセキュリティ」という言い方に変えると、社内の合意形成が一気に楽になります。
Digital Portだから語れるオフィスインフラと情報セキュリティのリアルな接点と次の一手ガイド
ネットワークとUTMとOA機器と業務用空調がなぜ情報セキュリティと切り離せないのか
オフィスの中でインターネットにつながる機器は、PCとサーバだけではありません。複合機、IP電話、監視カメラ、会議室ディスプレイ、さらには業務用空調まで、今はほぼすべてがネットワーク対応です。ここを「ただの設備」と見なした瞬間に、守りきれない穴が生まれます。
私の視点で言いますと、次のような構図になっている会社が非常に多いです。
| 機器 | 現場の認識 | 実際のリスク例 |
|---|---|---|
| ルーター・UTM | ベンダ任せで安心 | 古いルールのまま更新されず穴だらけ |
| 複合機(コピー・FAX) | 事務機器 | アドレス帳から顧客情報が丸見え |
| 業務用空調・IoT機器 | 設備業者の管轄 | 初期パスワードのまま外部から操作可能 |
| 監視カメラ・録画装置 | 防犯機器 | 映像データがインターネット公開状態 |
| 無線LANアクセスポイント | 「とりあえず繋がればOK」 | 来客用と社内用が分離されていない |
ネットワーク図を描いたとき、UTMの「内側」にこれらがどれだけぶら下がっているかを可視化すると、攻撃者から見える入口が急に増えていることに気づけます。オフィスインフラの更新や入れ替えをするたびに、アクセス制御とログの取り方までセットで見直すことが、今の中小企業では必須になりつつあります。
Web制作とSEOとDX推進が気づかないうちに情報セキュリティリスクとつながる瞬間
集客やブランディングのためにWebサイトを作り、問い合わせフォームを設置し、クラウドのCRMに自動連携する。DX推進としては王道の流れですが、その裏側では個人情報と業務データが複数のサービス間を行き来しています。
よくある抜け漏れは次の通りです。
-
制作会社がテスト用に作った管理アカウントを残したまま運用開始している
-
SEOツールやアクセス解析に、必要以上の権限を付与している
-
社内の共有スプレッドシートに、問い合わせ内容を丸ごと自動転記している
-
外注ライターや広告代理店に、同じIDとパスワードを共有している
こうした運用は「便利で成果が出ている」ほど止めづらいため、気づいたときにはアクセス権の棚卸しだけで数日かかることもあります。DXは業務効率と同時に、どこまでを誰が見られるかというアクセス管理設計とセットで考える必要があります。
中小企業の経営者や担当者がDigital Portの知見を意思決定にどう役立てられるか
Digital Portは、Webやクラウドの話と、UTMや複合機、業務用空調のようなオフィスインフラの話が、同じテーブルで語られるメディアです。この「横串」が、経営判断のスピードを上げるポイントになります。
意思決定で押さえておきたい視点を整理すると、次の3つです。
-
投資の順番
まずはバックアップとアクセス権の整理、その次にUTMとクラウドの設定見直し、といった優先度の付け方を学ぶことができます。
-
部門横断の影響範囲
ネットワーク変更がWeb会議や複合機、テレワークにどんな影響を与えるかを、あらかじめイメージできます。
-
「売り文句」と「現場運用」のギャップ
製品パンフレットでは見えない、導入後の運用負荷や教育コストを、現場目線の記事から逆算できます。
経営者はこの視点で「どこまで自前でやるか」「どこから専門家に任せるか」を線引きしやすくなり、担当者は上司への説明資料を作るときの骨組みとして活用しやすくなります。
もっと深く知りたい人への情報セキュリティチェックリストと相談先を選ぶ時の見極めポイント
オフィス環境を見直すときに、まず確認したい項目をシンプルなチェックリストにまとめます。
-
ネットワーク図を「今の実態」に合わせて1年以内に更新しているか
-
退職者アカウント削除とメール転送停止が、総務・人事フローに組み込まれているか
-
複合機・監視カメラ・空調などのログインIDが、初期設定のまま残っていないか
-
クラウドサービスごとに、管理者権限を持つアカウント数を把握しているか
-
取引先や外注に渡したアカウントと権限を一覧化しているか
-
バックアップの復元テストを、少なくとも年1回は実施しているか
次に、相談先を選ぶときの見極めポイントです。
| 見極めポイント | 要注意なパターン | 信頼しやすいパターン |
|---|---|---|
| 提案範囲 | 自社製品だけを強く推す | 他社製品や既存資産も含めて比較してくれる |
| ヒアリング内容 | 機器台数と予算だけを聞く | 業務フローや部門間のやり取りまで確認する |
| 教育・運用サポートの説明 | 「簡単です」「自動です」で終わる | 年間の運用タスクと役割分担まで具体的に話す |
| トラブル対応の考え方 | 「何かあれば連絡ください」で済ませる | インシデント対応フローを一緒に設計してくれる |
こうした観点を押さえておくと、単なる機器の導入相談ではなく、自社の業務とリスクに合わせた伴走役を選びやすくなります。Digital Portの記事は、その見極めの「物差し」を磨くための材料として使っていただくことを意図しています。
この記事を書いた理由
著者 – 平井 悠介 | 株式会社アクスワン 広報 / 『Digital Port』編集・運営
情報セキュリティの相談を受けると、最初の壁になるのは「用語」ではなく「現場で何を変えればいいか分からない」という戸惑いです。ここ数年、UTM導入やクラウド移行のご支援をした中小企業だけでも30社ほどありますが、「ISO27001を読んだけれど、結局うちの会社では何をすればいいのか」という声は共通していました。
私自身、入社直後に社内共有フォルダの権限設定を誤り、全社に開示予定のない見積書が一時的に営業全員から見られる状態にしてしまったことがあります。幸い発覚は早く、実害は出ませんでしたが、あの冷や汗と「信用を失う怖さ」は今も忘れられません。
その経験以降、ランサムウェアやEmotetの話をする時も、CIA三要素やポリシーの話をする時も、「会社の信用とビジネス継続」にどうつながるかを、経営者と担当者が同じ言葉で語れることを意識してきました。
本記事では、IPAやISOの枠組みを前提にしつつも、電車内のPC画面、Excelの1セル、退職者アカウントといった、皆さんのオフィスで起きうる場面に引き寄せて整理しています。明日の会議で説明しなければならない人が、専門部署を持たない中小企業でも「ここまでやればまず一歩目として十分」と言い切れる材料を届けたい。その思いで筆を取りました。
