まず何から始めるべきか。90日で進める安全対策
Executive Summary
- 安全対策は90日計画で始めると進めやすいです。
- 最初の30日は現状確認に集中します。
- 次の30日は基本対策を整えます。
- 最後の30日は説明できる状態を作ります。
- 完璧よりも放置しない姿勢が重要です。
SCS評価制度やランサムウェア対策の話を聞くと、「何から手をつければいいのかわからない」と感じる方は多いはずです。 特に中小企業では、専任のIT担当者がいないこともあります。 日々の業務に追われ、セキュリティ対策が後回しになるのも無理はありません。
しかし、ランサムウェア被害や取引先への影響を考えると、何もしないまま放置することは本当に危険です。 会社のデータが使えなくなれば、受発注、配送、請求、顧客対応、給与計算などが止まる可能性があります。 それは、単なるパソコンの問題ではなく、会社の信用と取引を守れるかどうかの問題です。
本記事では、中小企業がSCS評価制度やサイバー攻撃に備えるために、90日で進める現実的な安全対策を紹介します。 高額なシステムをいきなり入れる話ではありません。 まず現状を確認し、危ないところを直し、取引先に説明できる状態を作る流れです。
もし90日間で基本を整えられれば、取引先から質問されたときにも慌てにくくなります。 そして何より、万が一の被害を小さくするための土台ができます。 「完璧にできないからやらない」ではなく、「できるところから始める」ことが、会社を守る第一歩です。
90日計画で進める理由
セキュリティ対策は、やるべきことを一度に並べると、とても大変に見えます。 パスワード、バックアップ、古い機器、ウイルス対策、クラウドサービス、社員教育、取引先への説明。 すべてを同時に進めようとすると、途中で止まってしまいます。
だからこそ、90日で区切って考えることが有効です。 最初の30日は「調べる」。 次の30日は「直す」。 最後の30日は「説明できるようにする」。 この順番にすれば、無理なく進めやすくなります。
セキュリティ対策で大切なのは、最初から完璧な会社になることではありません。 自社の弱点を知り、危ないところから順番に直し、取引先に対して誠実に説明できる状態を作ることです。
90日計画は、経営者が関わると進みやすい
セキュリティ対策は、現場担当者だけでは進みにくいことがあります。 なぜなら、対策には予算、時間、社員の協力、外部業者との調整が必要だからです。
たとえば、古い機器を入れ替えるには費用がかかります。 パスワード管理を変えるには、社員の協力が必要です。 バックアップ方法を見直すには、業務の流れを確認する必要があります。 取引先に説明するには、会社としての方針が必要です。
そのため、経営者や責任者が「会社として取り組む」と決めることが重要です。 担当者任せにせず、90日間の小さなプロジェクトとして進めることで、社内の協力を得やすくなります。
ランサムウェア被害は、起きてから対応すると費用も時間も大きくなりがちです。 まだ何も起きていない今こそ、最も落ち着いて、最も安く対策を始められるタイミングです。
最初の30日:現状確認をする
最初の30日でやることは、対策を入れることではありません。 まずは、自社の状態を知ることです。 どこに情報があり、誰が使っていて、どこが止まると困るのかを確認します。
現状確認をせずに対策を始めると、本当に危ない場所を見落とすことがあります。 たとえば、ウイルス対策ソフトを入れていても、古いVPN機器が外部に開いたままなら、そこが攻撃の入口になるかもしれません。 バックアップを取っているつもりでも、実際には復元できないかもしれません。
だから、最初の30日は「見える化」に集中します。 難しい資料を作る必要はありません。 まずは紙や表計算ソフトで、会社の中にある情報と機器を整理しましょう。
1週目:守るべき情報を書き出す
まず、自社が扱っている情報を書き出します。 取引先から預かっている情報、顧客情報、配送先情報、請求情報、従業員情報、図面、契約書、見積書、ログイン情報などです。
このとき、「重要そうな情報」だけでなく、「止まると仕事ができなくなる情報」も含めます。 中小企業では、日々の業務ファイルこそ大切です。 受発注の一覧、配送予定表、請求書の控え、給与計算のデータなどが使えなくなると、すぐに業務へ影響します。
2週目:使っている機器とサービスを確認する
次に、パソコン、サーバー、ルーター、NAS、VPN機器、プリンター、クラウドサービス、会計ソフト、受発注システムなどを確認します。 どの機器がどこにあり、誰が使っているかを整理します。
特に注意したいのは、古い機器です。 まだ動いていても、安全に使える状態とは限りません。 更新が止まっている機器や、誰も管理していない機器は、攻撃の入口になることがあります。
3週目:外部から入れる入口を確認する
VPN、リモートデスクトップ、クラウド管理画面、外部から見えるサーバーなどを確認します。 外から会社の中に入れる仕組みは便利ですが、管理が弱いとランサムウェアの入口になることがあります。
誰が外部から接続できるのか。 退職者のアカウントが残っていないか。 パスワードが弱くないか。 二段階認証を使っているか。 こうした点を確認します。
4週目:バックアップと連絡体制を確認する
重要データのバックアップがあるかを確認します。 バックアップは「取っているつもり」では不十分です。 どのデータを、どの頻度で、どこに保存しているのか。 そして、実際に復元できるのかを確認します。
さらに、トラブル時の連絡体制も確認します。 社内の責任者、システム会社、保守会社、取引先への連絡担当、必要な相談先を整理しておきます。
最初の30日で作るもの
- 守るべき情報の一覧
- 使用している機器とサービスの一覧
- 外部から接続できる仕組みの一覧
- アカウントと管理者権限の一覧
- バックアップの状況メモ
- トラブル時の連絡先一覧
この段階では、完璧な一覧を作る必要はありません。 まずは「だいたい見えてきた」と言える状態を目指します。 見える化できれば、次に何を直すべきかがわかります。
次の30日:基本対策を整える
31日目から60日目までは、現状確認で見つかった危ないところを直していきます。 ここでも、いきなり高度な対策を目指す必要はありません。 まずは被害につながりやすい基本部分から整えます。
優先したいのは、侵入されにくくする対策と、被害時に戻せる対策です。 つまり、「入口をふさぐこと」と「復旧できる状態を作ること」です。
1. 不要なアカウントを止める
退職者のアカウント、昔作ったテスト用アカウント、今は使っていない共有アカウントを確認します。 使っていないアカウントは、攻撃者に悪用される入口になることがあります。
特に、管理者権限を持つアカウントには注意が必要です。 管理者権限とは、設定変更やデータ削除など、強い操作ができる権限のことです。 必要な人だけに絞り、使っていないものは停止します。
アカウント管理の確認項目
- 退職者のアカウントが残っていないか
- 使っていない共有IDがないか
- 管理者権限を持つ人が多すぎないか
- パスワードを複数人で共有していないか
- 重要サービスで二段階認証を使っているか
2. パスワードと二段階認証を見直す
パスワードの使い回しは危険です。 ひとつのサービスからパスワードが漏れると、別のサービスにも入られてしまう可能性があります。
メール、会計ソフト、クラウドストレージ、受発注システム、ネットバンキング、管理画面などは特に注意が必要です。 重要なサービスでは、できるだけ二段階認証を設定します。 二段階認証とは、パスワードに加えて、スマートフォンの確認コードなどを使う仕組みです。
パスワードを紙に書いて貼っている、同じパスワードを複数人で使っている、何年も変更していない。 こうした状態は、早めに見直しましょう。
3. 古い機器を更新する、または外す
古いパソコン、ルーター、VPN機器、NAS、サーバーなどは、攻撃の入口になることがあります。 特に、メーカーのサポートが切れている機器は、新しい弱点が見つかっても修正されないことがあります。
すぐに全部を入れ替えるのが難しい場合は、危険度の高いものから優先します。 外部から接続できる機器、取引先情報を扱う機器、業務が止まると困る機器から確認します。
「まだ動くから使える」と「安全に使える」は違います。 古い機器を放置することは、会社の入口の鍵が壊れたままになっているようなものです。 まずは、外部につながる機器から点検してください。
4. バックアップを見直す
ランサムウェア対策で特に重要なのが、バックアップです。 ただし、バックアップは保存しているだけでは不十分です。 本当に復元できるかを確認する必要があります。
また、バックアップが普段のネットワークにつながりっぱなしだと、ランサムウェアに一緒に暗号化される恐れがあります。 重要なデータは、普段のネットワークから切り離した場所にも保管する考え方が大切です。
バックアップの確認項目
- 重要データをバックアップしているか
- バックアップの保存先を把握しているか
- バックアップの頻度が決まっているか
- 復元テストをしたことがあるか
- ネットワークから切り離した保管方法があるか
5. 社員向けの基本ルールを決める
セキュリティ対策は、機器やソフトだけでは守れません。 毎日使う社員の行動も大切です。 たとえば、不審なメールを開かない、怪しいリンクを押さない、パスワードを共有しない、USBメモリを勝手に使わない、といった基本です。
難しい研修を長時間行う必要はありません。 まずは、短い社内ルールを1枚にまとめ、全員に共有することから始めます。 特に、経理、総務、受発注、配送、営業など、外部とのやり取りが多い部署には丁寧に伝えましょう。
社員向けルールの例
- 不審なメールの添付ファイルは開かない
- パスワードを他人と共有しない
- 退職者や異動者のアカウントはすぐに停止する
- 取引先情報を個人のUSBメモリに保存しない
- トラブルに気づいたら、すぐ責任者へ連絡する
最後の30日:取引先に説明できる状態を作る
61日目から90日目までは、整えた内容を「説明できる状態」にしていきます。 SCS評価制度への備えとしても、取引先への説明準備はとても重要です。
ここで大切なのは、立派な資料を作ることではありません。 実際にできていること、これから改善すること、トラブル時の連絡体制を、わかりやすく整理することです。
1. セキュリティ対策メモを作る
取引先から質問されたときに備えて、1枚から2枚程度の社内メモを作ります。 内容は難しくなくて構いません。 「どの情報を守っているか」「どんな対策をしているか」「誰が責任者か」「困ったときにどう動くか」を整理します。
セキュリティ対策メモに入れる項目
- 会社として守る情報の種類
- 情報を保管している場所
- アクセスできる担当者
- パスワードと二段階認証の状況
- 使用している主な機器とサービス
- バックアップの方法
- トラブル時の社内責任者
- 外部の相談先や保守会社
- 今後改善する予定の項目
このメモがあるだけで、取引先から聞かれたときの対応が変わります。 「何もわかりません」ではなく、「現在ここまで確認しています」と答えられるからです。
2. トラブル時の初動手順を決める
ランサムウェアや情報漏えいの疑いがあるとき、最初の対応が遅れると被害が広がります。 そのため、最低限の初動手順を決めておきます。
初動手順の例
- 異常に気づいた社員は、すぐ社内責任者へ連絡する
- 感染が疑われるパソコンは、むやみに操作しない
- 必要に応じてネットワークから切り離す
- 保守会社や外部相談先へ連絡する
- 取引先への影響があるか確認する
- 影響がある場合は、責任者の判断で取引先へ連絡する
- 対応内容と時刻を記録する
ここで重要なのは、誰が判断するかを決めておくことです。 被害時は混乱します。 そのときに「誰に聞けばよいかわからない」となると、対応が遅れます。
3. 取引先への説明文を準備する
取引先からセキュリティ対策について聞かれたとき、すぐに説明できるように短い文章を準備しておきます。 難しい表現は不要です。 実態に合った説明をすることが大切です。
取引先への説明文の例
当社では、取引先情報を取り扱う担当者を限定し、重要なデータについては定期的なバックアップを行っています。 また、退職者アカウントの停止、パスワード管理、古い機器の確認を進めています。 トラブル発生時には、社内責任者と保守会社が連携し、必要に応じて取引先へ速やかに連絡する体制を整えています。
このような説明ができるだけでも、取引先に安心感を与えられます。 もちろん、実態と違うことを書いてはいけません。 できていることと、これから改善することを分けて伝えることが大切です。
4. 外部専門家に相談すべきタイミングを決める
自社だけで判断が難しい場合は、早めに外部へ相談することも重要です。 特に、VPNやリモート接続、古いサーバー、クラウド設定、バックアップ設計などは、専門家の確認が必要になることがあります。
経済産業省とIPAは、中小企業向けの支援策として、SCS評価制度の★3・★4取得に向けた「サイバーセキュリティお助け隊サービス」の新類型創設を進めています。 今後、こうした支援策も確認しながら、自社に合う進め方を検討するとよいでしょう。
外部相談を検討したいケース
- VPNやリモート接続の設定がわからない
- 古い機器が安全か判断できない
- バックアップから復元できるか不安がある
- 取引先からセキュリティ確認票が届いた
- SCS評価制度への備えを進めたい
- ランサムウェア対策をどこから始めるべきかわからない
90日チェックリスト
ここまでの内容を、実行しやすいチェックリストにまとめます。 すべてを一度に完了させる必要はありません。 まずは、できているもの、できていないもの、不明なものに分けて確認してください。
現状確認
- 取引先から預かっている情報を一覧にした
- 顧客情報や配送先情報の保管場所を確認した
- 業務が止まると困るデータを確認した
- 使用しているパソコンや機器を一覧にした
- クラウドサービスや業務システムを一覧にした
- VPNやリモート接続の有無を確認した
基本対策
- 退職者や不要アカウントを停止した
- 管理者権限を持つ人を確認した
- 重要サービスのパスワードを見直した
- 二段階認証を使えるサービスで有効にした
- 古い機器の更新状況を確認した
- ウイルス対策やソフト更新の状況を確認した
復旧対策
- 重要データのバックアップ方法を確認した
- バックアップの保存先を確認した
- 復元できるかを確認した
- ネットワークから切り離した保管方法を検討した
- トラブル時の社内責任者を決めた
- 保守会社や相談先の連絡先を整理した
説明準備
- 取引先に説明できる対策メモを作った
- トラブル時の初動手順を作った
- 社員向けの基本ルールを共有した
- 今後改善する項目を整理した
- SCS評価制度に関する情報を確認した
- 必要に応じて外部相談を検討した
このチェックリストを使うことで、自社の現在地が見えます。 できていない項目が多くても、落ち込む必要はありません。 大切なのは、今の状態を知り、優先順位を決めることです。
経営者・責任者が90日で持つべき視点
セキュリティ対策は、技術だけの問題ではありません。 経営の問題です。 会社を止めないこと、取引先に迷惑をかけないこと、従業員を守ること、信用を守ることに直結します。
経営者や責任者は、次の3つの視点を持つことが大切です。
1. 何を守るか
すべてを同じ重さで守ろうとすると、対策が進みません。 取引先情報、受発注データ、配送データ、請求データ、従業員情報など、止まると困るものから優先します。
2. 誰が責任を持つか
担当者があいまいだと、確認も対策も進みません。 社内責任者を決め、外部の保守会社や相談先ともつながれる状態にしておきます。
3. 取引先にどう説明するか
SCS評価制度の流れの中では、対策そのものだけでなく、説明できることも重要です。 できていること、改善中のこと、今後の予定を整理しておきます。
ランサムウェアや情報漏えいは、起きてから「誰の責任か」を考えても遅いことがあります。 事前に責任者、連絡先、復旧方法を決めておくことが、被害を小さくするための現実的な対策です。
まとめ+要約
- セキュリティ対策は、90日計画に分けると中小企業でも進めやすくなります。
- 最初の30日は、情報、機器、アカウント、バックアップ、連絡先の現状確認に集中します。
- 次の30日は、不要アカウント停止、パスワード見直し、古い機器確認、バックアップ整備を進めます。
- 最後の30日は、取引先に説明できる対策メモと、トラブル時の初動手順を作ります。
- 完璧を目指すより、危ないところを放置しないことが会社と取引を守る第一歩です。
次の一手: 今週中に、守るべき情報、使っている機器、外部接続、バックアップ、連絡先の5項目を書き出してください。
FAQ
Q1. IT担当者がいない会社でも90日計画はできますか?
できます。 最初から専門的な対策をする必要はありません。 まずは、どの情報を扱っているか、どの機器を使っているか、誰が管理しているかを確認することから始めます。 判断が難しい部分は、保守会社や外部専門家に相談しながら進めると安心です。
Q2. 予算が限られている場合、何を優先すべきですか?
まずは、外部から入れる入口、不要アカウント、重要データのバックアップを優先してください。 VPNやリモート接続、古い機器、弱いパスワードは、ランサムウェアの入口になることがあります。 高額な製品を入れる前に、危ない場所を見つけて直すことが重要です。
Q3. SCS評価制度への対応は、いつから始めればよいですか?
できるだけ早めに始めることをおすすめします。 制度の取得そのものを急ぐ前に、自社の現状を確認し、取引先に説明できる状態を作ることが大切です。 取引先から確認を求められてから慌てるより、今から90日で基本を整えておく方が負担を減らせます。
出典・参考資料
-
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」
https://www.meti.go.jp/policy/netsecurity/scs.html -
独立行政法人情報処理推進機構(IPA)「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」
https://www.ipa.go.jp/security/scs/index.html - 警察庁サイバー警察局「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」令和7年9月
📩 90日でどこから安全対策を始めるべきか確認したい方は、 こちらからご相談ください。
