今すぐ全部やらなくていい 90日で始める現実的な対策の進め方
Executive Summary
- 完璧主義は着手を遅らせます
- まずは基本対策をそろえます
- 次に自社の弱みを見える化します
- 方針と担当を決めると進みます
- 90日で土台は作れます
導入
サイバー対策でつまずく会社の多くは、やる気がないのではなく、何から始めるか分からないだけです。 IPAは中小企業向けに、まず最低限の対策、次に自社診断と基本方針、その先に本格対応という段階的な 進め方を示しています。ですから、最初から全部そろえる必要はありません。
本文
1. 最初の30日でやること
OSやソフトの更新、ウイルス対策、パスワードの見直し、共有設定確認、従業員への注意喚起、 バックアップ。この基本はIPAの「情報セキュリティ6か条」に沿っています。まずはここを そろえるだけでも、入口の多くを減らせます。
2. 次の30日で整えること
「5分でできる!情報セキュリティ自社診断」で弱みを把握し、会社としての基本方針を短くても 作る段階です。IPAのSECURITY ACTIONでも、一つ星は6か条、二つ星は自社診断と基本方針の 公開が目安です。
3. 最後の30日で固めること
緊急連絡体制、委託先確認、重要データの置き場所整理、復旧優先順位決定まで進めます。 事故が起きないことが理想ですが、起きた時に止まり方を小さくできる会社は強いです。 IPAも、緊急時対応体制と復旧準備、点検と改善を重要項目に置いています。
まとめ
- まずは基本対策からです
- 自社診断で弱みを見える化します
- 基本方針を決めます
- 緊急時の動きを決めます
- 90日で土台は作れます
次の一手: 今週中に担当者を1人決め、更新・バックアップ状況を確認しましょう。
FAQ
- Q1. 少人数でも方針書は必要ですか。
- 必要です。長文でなくても、何を守るかが明文化されるだけで進みます。
- Q2. いきなり高額な製品購入は必要ですか。
- 必ずしも必要ではありません。まずは更新、パスワード、バックアップ、運用整理が先です。
- Q3. 自社診断は意味がありますか。
- あります。抜け漏れを早く見つけるための出発点になります。
📩 自社に合う90日計画を一緒に整理したい方は、 こちらから無料でご相談ください 。
