年末に備えるサイバー対策・90日ロードマップ
Executive Summary(この記事の要点)
- サイバー対策は「一気に全部やる」より、「90日で3つのフェーズ」に分けると現実的です。
- 0〜30日で「棚卸し」と「最低限の守り」を整えることが第一歩です。
- 31〜60日で「教育」と「連絡体制」を固めると、事故時の対応力が上がります。
- 61〜90日で「テスト」と「見直し」を行うことで、形だけの対策から卒業できます。
- すべてに手を出すのではなく、「Aランクリスク」に絞ることが成功のポイントです。
はじめに:「全部やろう」と思うと、何も進まない
サイバー対策の必要性は頭では分かっていても、実際に手を動かそうとすると、 「やることが多すぎて、どこから手を付ければいいか分からない」という壁にぶつかりがちです。 特に年末は本業が忙しく、「対策まで手が回らない」という声もよく聞かれます。
そこで今回は、「すべてを一度にやる」のではなく、 「これから90日間で、3つのかたまりに分けて進める」という考え方をご紹介します。 Day2で作った「資産・脅威・弱み」の棚卸しと、Day3で見た事例を土台に、 現実的に動かせるレベルまで分解していきます。
この記事を読み終えるころには、「どの時期に何をするか」の大枠が決まり、 カレンダーや社内のタスク表に落とし込める状態を目指します。 完璧な計画ではなくても、「まずはここから」という目印があれば、一歩を踏み出しやすくなります。
1. なぜ「90日」で考えると楽になるのか
サイバー対策に限らず、大きなテーマは「期限」と「範囲」を区切らないと動き出しにくいものです。 90日という期間には、次のようなメリットがあります。
- 1〜2か月では足りないが、半年だと先すぎて緊張感が薄れる
- 3か月あれば、「決める → 実行 → 振り返る」の1サイクルを回せる
- 四半期の区切りとも近く、経営管理のサイクルとも合わせやすい
また、「90日もサイバー対策だけに時間をかける」という意味ではなく、 「本業をこなしながらでも、少しずつ進められる現実的な期間」 として捉えるのがポイントです。
ここからは、この90日をさらに「0〜30日」「31〜60日」「61〜90日」の3フェーズに分けて、 それぞれの時期にどんなことをやっておくと良いかを整理していきます。
2. フェーズ1:0〜30日でやること(棚卸しと最低限の守り)
ゴール:Aランクリスクが整理され、「最低限ここは守る」が決まっている状態
- Day2で作った棚卸し表をベースに、Aランクリスクを確定する
- 重要アカウントに多要素認証を設定する
- バックアップの有無と、ざっくりとした復旧手順を確認する
- 年末〜長期休暇中の「やってはいけないこと」を決める
2-1. Aランクリスクの再確認と「優先テーマ」の決定
まずは、Day2で決めたAランクの行だけを抜き出し、 「90日で着手する優先テーマ」として3つ以内に絞り込みます。
例としては、次のようなテーマが考えられます。
- インターネットバンキングと請求関連の守りを固める
- ECサイト・受注システムのバックアップと復旧手順を確認する
- メールなりすまし対策(振込詐欺対策)を強化する
ここで欲張りすぎると、どれも中途半端になりがちです。 「まず1つ〜3つに絞る」ことを意識しましょう。
2-2. 重要アカウントへの多要素認証の導入
多要素認証(ログイン時にパスワード+別の確認を行う仕組み)は、 いまや多くのサービスで標準的に使えるようになっています。 次のようなアカウントから優先的に設定を検討してください。
- インターネットバンキング、クレジットカード関連のアカウント
- 主要なクラウドサービス(メール、ファイル共有、会計システムなど)の管理者アカウント
- ECサイトや基幹システムの管理画面ログイン
多要素認証は、一度設定すれば、その後は自動的に守りを固めてくれる「コスパの良い対策」です。
2-3. バックアップの確認と「もしものとき」のメモ
0〜30日の間に、次の2つを確認しておくと安心です。
- 重要なデータ(売上・顧客・請求・人事など)が、どこに・どのようにバックアップされているか
- 「もしメインのPCやシステムが壊れたら、何をどうすれば復旧できるか」を簡単にメモしておく
ここでは、詳細なマニュアルを作るのではなく、「誰に連絡するか」「どの画面から復元できるか」程度で構いません。
2-4. 年末〜長期休暇中の「やってはいけないこと」を決める
最後に、「やること」だけでなく、 「この期間はやらない」と決めることも重要です。
例:
- 長期休暇中は、新しいソフトのインストールや設定変更をしない
- 長期休暇中に届いた「口座変更」メールだけで振込先を変えない
- 休暇中に仕事用のID・パスワードをブラウザに保存しない
この「やってはいけないリスト」は、社内に回したり、社内チャットに固定表示したりすると効果的です。
3. フェーズ2:31〜60日でやること(教育と連絡体制)
ゴール:事故が起きたときに「誰が・誰に・どう連絡するか」が決まっている状態
- 従業員・関係者への簡易な注意喚起とミニ教育
- 休日・夜間に異常を見つけたときの連絡フローを作成
- 取引先への緊急連絡テンプレートを用意
3-1. 「これだけは知っておいてほしい」を1枚にまとめる
サイバー教育といっても、専門的な研修をする必要はありません。 まずは次のような内容を、 A4一枚またはスライド1〜2枚程度にまとめて共有するのがおすすめです。
- よくある事例(フィッシングメール/偽サイト/振込詐欺/共有ミス)
- 「怪しいと思ったら、必ず◯◯に相談」の一文
- 年末〜長期休暇中の「やってはいけないこと」リスト
朝礼やオンライン会議の5分など、短い時間で構いません。 「ひと通り説明した」という事実そのものが、組織としての備えにもなります。
3-2. 異常を見つけたときの連絡フローを決める
事故の被害を小さくするうえで最も重要なのは、「早く気づき、早く知らせる」ことです。 そのために、次のような簡単なフローを文字にしておきましょう。
- 誰が(例:全社員・アルバイト・外注先も含む)
- どのようなときに(例:変な画面/おかしなメール/PCの異常など)
- 誰に連絡するか(例:◯◯さんの電話・チャット・専用メールなど)
連絡先は、紙で貼る/チャットの固定メッセージに入れる/メールの署名に書くなど、 「すぐに見つかる場所」に置いておくことが大切です。
3-3. 取引先への緊急連絡テンプレートを用意する
実際にインシデントが起きた場合、取引先やお客様に連絡を入れる必要が出てくることがあります。 その場でゼロから文章を考えるのは大変なので、 次のような項目を含むテンプレートを1つ用意しておくと安心です。
- 冒頭のあいさつと、お詫びの言葉
- 現時点で判明している事実(分かる範囲で)
- 当面の対応方針(例:一時的に◯◯を停止/調査中など)
- 相手にお願いしたいこと(例:不審なメールを開かないでほしい 等)
実際に使う際には、状況に応じて表現を修正する必要がありますが、 「たたき台」があるだけでも、対応のスピードと心理的な負担は大きく変わります。
4. フェーズ3:61〜90日でやること(テストと見直し)
ゴール:作ったルールや仕組みが「実際に動くこと」を確認できている状態
- 想定インシデントを1つ決めて、机上訓練(テーブルトップ演習)を行う
- バックアップからの復元テストを小さく試す
- 気づいた改善点をメモし、次年度以降の計画に反映する
4-1. 机上訓練(テーブルトップ演習)で流れを確認する
「もし◯◯が起きたらどうするか」を、関係者で会話しながら確認するのが机上訓練です。 大げさなものではなく、会議の中で次のような流れを話し合うイメージです。
- シナリオ例:「年末セール中にECサイトが表示されなくなった」
- 誰が最初に気づくか?
- その人は、最初に誰に連絡するか?
- 経営者は、どのタイミングで状況を把握するか?
- 取引先やお客様への連絡は誰がどう行うか?
このシミュレーションを通じて、 「連絡先が分からない」「権限を持つ人が不在」といった詰まりやすいポイントが見えてきます。
4-2. バックアップの「復元テスト」をしてみる
「バックアップを取っているから安心」と思っていても、 実際に復元できるか試したことがない、というケースは少なくありません。
61〜90日の期間に、次のような小さなテストをしてみることをおすすめします。
- テスト用のフォルダやデータを使って、バックアップから復元してみる
- 復元にどれくらい時間がかかるかを計ってみる
- 「誰が」「どの画面から」「どの手順で」操作するかをメモに残す
こうすることで、「もし本当にトラブルが起きても、ここまでなら戻せる」という自信が生まれます。
4-3. 気づいた改善点を「翌年以降の宿題」にする
90日でできることには限りがあります。 重要なのは、「やったこと」と同じくらい、 「分かったこと」「残った課題」を整理しておくことです。
たとえば、次のようなメモを残しておきます。
- 今期中に対応できなかったが、来期優先したい対策項目
- 追加で必要になりそうな予算・ツール・人手のイメージ
- 次回の90日サイクルで改善したいポイント
こうしたメモは、Day5で作成する「意思決定ブリーフ」にもそのまま活用できます。
5. 90日ロードマップ簡易シートのイメージ
最後に、ここまでの内容を1枚にまとめるための簡易シートの例を紹介します。 紙でもExcelでもよいので、次のような表を作ってみてください。
| 期間 | 経営のタスク(決めること) | 現場のタスク(やること) |
|---|---|---|
| 0〜30日 |
・Aランクリスクの確定 ・優先テーマ(最大3つ)の決定 ・「やってはいけないこと」リストの承認 |
・資産・脅威・弱みシートの更新 ・重要アカウントへの多要素認証設定 ・バックアップ状況と復旧先の確認 |
| 31〜60日 |
・教育資料の内容確認 ・連絡フローの承認 ・外部専門家に相談する範囲の検討 |
・ミニ教育の実施(朝礼・オンライン会議など) ・連絡先一覧の作成と周知 ・取引先への緊急連絡テンプレの作成 |
| 61〜90日 |
・机上訓練の実施方針とシナリオの決定 ・次期以降に回す課題の整理 |
・机上訓練の実施と振り返り ・バックアップ復元テストの実施 ・気づいた改善点のメモ作成 |
6. まとめと今日の一歩(Next Best Action)
この記事のまとめ(5ポイント)
- サイバー対策は、「90日で一巡させる」と決めると、動きやすくなります。
- 0〜30日では、Aランクリスクの確定・多要素認証・バックアップ確認など、土台づくりが中心です。
- 31〜60日では、短時間の教育と連絡フロー整備により、「気づき」と「通報」の仕組みを作ります。
- 61〜90日では、机上訓練や復元テストを通じて、仕組みが実際に動くかどうかを確認します。
- すべてを完璧にするのではなく、「Aランクリスク」と「今年やる分」の線引きをすることが重要です。
Next Best Action(今日やることは2つだけ)
- Day2で作った「資産・脅威・弱み」の表から、 Aランクの行を3つ以内に絞り、「優先テーマ」として印をつけてください。
-
その3つを、「0〜30日」「31〜60日」「61〜90日」のどこで対応するか、ざっくりと書き込んでみてください。
完璧な計画でなくて大丈夫です。「まずは書いてみること」が一歩目です。
よくある質問(FAQ)
- Q1. 90日もサイバー対策に時間を割く余裕がありません。
- A. ここでの90日は、「サイバー対策だけに専念する」という意味ではありません。 通常業務をこなしながら、週に1〜2個のタスクを割り振るくらいのイメージです。 まとめて一気にやるよりも、少しずつ分散した方が、結果的に負担は小さくなります。
- Q2. 人数が少ないので、机上訓練や教育まで手が回るか心配です。
- A. 2〜3人の小さなチームでも問題ありません。 会議や打ち合わせの中で、「もし◯◯が起きたらどうする?」と10分だけ話題にするだけでも、立派な机上訓練になります。 大掛かりな準備は不要です。
- Q3. どのタスクを自社でやり、どこから先を専門家に任せるべきか分かりません。
- A. まずは自社で「何を守りたいか」「どんなリスクがあるか」を整理し、 そのうえで「ここから先は自社だけでは難しい」と感じる部分を専門家に相談するのがおすすめです。 ロードマップを持って相談すれば、話がスムーズに進みやすくなります。
自社用の90日ロードマップを一緒に作りたい方へ
📩 「うちの場合はどんな90日計画になるのか知りたい」「優先順位のつけ方を一緒に考えてほしい」という方は、 こちらからご相談ください 。
業種・規模・現状の体制に合わせて、「やりすぎず、しかし不足もしない」現実的なロードマップを一緒に検討するお手伝いも可能です。
参考リンク(執筆時の参考情報)
※上記は執筆時点で参考にした公開情報です。実際の運用では、最新の公的機関(IPA、総務省、経産省 等)の情報もあわせてご確認ください。
 サイバー対策は「一気に全部やる」より、「90日で3つの){kind=link}