中小企業のためのランサムウェア基本10対策と90日計画
要約5つ
- ランサムウェア対策の多くは、高価な製品より「設定」と「運用」を見直すことから始められます。
- 特に重要なのは、VPN機器やリモート接続の管理、パスワードの強化、バックアップ、ログ(履歴)の確保です。
- 中小企業でも、「今日〜30日」「30〜90日」の3フェーズに分ければ、現実的な範囲で基本10対策を進められます。
- RACI(役割分担)を決めることで、「誰も責任を持たない状態」を避けることができます。
- 本稿の90日計画は、取締役会での報告や、金融機関・保険会社への説明にもそのまま使える土台になります。
はじめに
Day1〜Day3までで、「中小企業こそランサムウェアの被害が増えていること」「攻撃の入り口と流れ」「実際の被害ケースと教訓」を見てきました。
ここから多くの経営者が感じるのは、「何から手をつければいいのか」「現実的な範囲でどこまでやれば良いのか」という問いではないでしょうか。
本稿では、専門部署や大きなIT予算がなくても、中小企業が90日で実行できる現実的な対策を、10項目に絞って整理します。
そして、これらを「今日〜30日」「30〜90日」の3フェーズと、経営と現場の役割分担(RACI)に落とし込み、取締役会や幹部会で共有しやすい形にします。
もしこの90日計画をベースに、自社向けのアクションプランに書き換えられれば、「何もしていない状態」からは確実に一歩抜け出すことができます。
目次
- なぜ「高価なツール」よりも基本対策なのか
- フェーズ1(今日〜30日):まず整えるべき5つの土台
- フェーズ2(30〜90日):仕組みに落とし込む5つの対策
- 90日ロードマップ(経営タスク/現場タスク)
- RACIで決める「誰が何をするか」
本文
1. なぜ「高価なツール」よりも基本対策なのか
ランサムウェア対策というと、「最新のセキュリティ製品を導入しないといけない」と考えがちです。しかし、中小企業の被害を見てみると、侵入経路の多くは「古い機器」「弱いパスワード」「バックアップの不備」「設定の放置」といった、基本のところにあります。
逆に言えば、こうした基本の部分をしっかり押さえるだけでも、リスクを大きく下げることができます。高価なツールは「上乗せ」するものと考え、まずは今ある環境の中でできることを整理することが、費用対効果の面でも重要です。
そこで本稿では、「お金より、手間と工夫でできること」を中心に、10の対策を取り上げます。
2. フェーズ1(今日〜30日):まず整えるべき5つの土台
最初の30日間は、「環境を大きく変える」というより、「現状を見える化し、危ないところから順にふさぐ」期間と位置づけます。ここでは、できるだけ短期間で着手できる5つの対策をご紹介します。
対策1:管理者パスワードと共通パスワードの見直し
最初に手をつけるべきは、パスワードです。特に次の2つを優先します。
- サーバーやルーター、VPN機器などの「管理者パスワード」
- 複数人で使っている「共通パスワード」
これらは、一度破られると被害が一気に広がる入り口になります。8文字以上で、英数字と記号を混ぜた「長くて推測されにくいパスワード」を使い、可能であれば多要素認証(スマホなどでの確認)も導入を検討しましょう。
対策2:VPN機器・リモート接続の棚卸しと最低限の見直し
続いて、社内ネットワークに入るための「入り口」を洗い出します。
- VPN機器やリモートデスクトップが何台あり、どこに設置されているか
- インターネットから直接アクセスできる機器はどれか
- テレワーク用に一時的に開けた設定が、そのまま残っていないか
まずは「一覧表を作る」ことがゴールです。その上で、明らかに不要な接続は閉じ、サポートが終了している極端に古い機器があれば、早めの交換を検討します。
対策3:バックアップの「有無」と「場所」の確認
次に、バックアップについて、次のような点を確認します。
- そもそもバックアップを取っているか(どのデータを・どれくらいの頻度で)
- バックアップの保存先は、社内ネットワーク内か、外部か、クラウドか
- ランサムウェアに巻き込まれにくい形になっているか
この段階では、「完璧な仕組みにする」ことよりも、「何がどうなっているのかを把握する」ことが目的です。詳しい設計は、フェーズ2で行います。
対策4:不審メール対策のミニ教育(10〜15分)
人を完全に守ることはできませんが、「知っているだけで避けられる」パターンも多くあります。そこで、全社員向けに10〜15分程度の短い説明の場を設けます。
- 怪しいメールの典型例(不自然な日本語、差出人アドレス、急かす表現など)
- 添付ファイルやリンクを開く前に、同僚に一言相談する習慣
- 「少しでもおかしいと思ったら、すぐ報告してOK」というメッセージ
完璧なテストや研修でなくても、「経営からのメッセージ」として、危険への意識を共有することが大切です。
対策5:インシデント時の連絡先リストの作成
万一、不審な動きやランサムウェアらしき表示が出た場合、誰に連絡すべきかを事前に決めておきます。
- 社内の窓口(情報システム担当、総務など)
- 外部のITベンダーやシステム会社
- 警察や関係機関の相談窓口
A4一枚でかまわないので、「連絡先リスト」を作り、社内ポータルや掲示板などで共有しておくと、いざというときの初動が大きく変わります。
3. フェーズ2(30〜90日):仕組みに落とし込む5つの対策
次の60日間(30〜90日)は、フェーズ1で把握した現状をもとに、「仕組み」として回していけるように整える期間です。ここから多少手間は増えますが、やっておく価値が高い5つの対策をご紹介します。
対策6:バックアップ方針の設計とテスト復元
フェーズ1で確認したバックアップを、「使えるバックアップ」にしていきます。
- どのデータを、どの頻度でバックアップするか(例:基幹システムは毎日、ファイルサーバーは週1回など)
- バックアップを社内ネットワークの外にも1つ用意できないか
- 実際にバックアップから1台復元してみて、どれくらい時間がかかるか
「復旧に何時間・何日かかるか」の感覚がつかめると、被害発生時の判断に大いに役立ちます。
対策7:VPN・リモート接続のルール化と定期見直し
フェーズ1で棚卸ししたVPN機器やリモート接続について、ルールと点検のサイクルを整えます。
- 誰が、どの目的で、どの接続方法を使っているのかを一覧化
- 利用されていないアカウントや設定の削除
- 年に1回以上の見直しスケジュールの設定
「とりあえず作って放置」という状態をなくすことが目的です。
対策8:パスワード・権限管理の基本ルールづくり
パスワードと権限について、少なくとも次の3点をルール化します。
- 共通パスワードを原則禁止とし、どうしても必要な場合は期限と管理者を決める
- 退職者・異動者のアカウント削除を、人事・総務のフローに組み込む
- 管理者権限を持つアカウントを必要最小限にし、誰が持っているかを一覧化する
細かいシステムの機能を使いこなすよりも、まずは「危ない運用をやめる」ことが効果的です。
対策9:ログ(アクセス履歴)の保全と確認方法の整理
ランサムウェア被害が起きたとき、「いつ・どこから・何が起きたか」を調べるためには、ログ(アクセス履歴)が必要です。
- どの機器・サーバーにログ機能があり、どれくらいの期間保存されているか
- 必要なときに、誰がどのようにログを見ることができるか
- ログの保存先が「消してはいけないデータ」として扱われているか
ここでは、専門家が詳細を分析できるよう、「あとから追える状態」をつくることを目標とします。
対策10:サイバー攻撃を想定した簡易BCP(業務継続計画)の作成
最後に、ランサムウェアを含むサイバー攻撃が起きた場合の「業務継続計画(BCP)」を簡単にまとめます。Day3で整理した「止まって困る業務ベスト3」を活用しましょう。
- 優先して動かすべき業務(例:受注、出荷、顧客問い合わせ対応など)
- 一時的に手作業でも対応できる業務と、そのやり方
- 取引先・顧客・関係機関への連絡手順と、担当者
すべてを細かく書き切る必要はありませんが、「ここまでは最低限やる」というラインを決めておくことが重要です。
4. 90日ロードマップ(経営タスク/現場タスク)
ここまでの10対策を、「経営タスク」と「現場タスク」に分けて、90日のロードマップとして整理します。図にすると分かりやすいですが、ここではテキスト版をご紹介します。
0〜30日(フェーズ1:現状把握と応急対策)
- 経営タスク
- ランサムウェア対策を「経営課題」として位置づける宣言
- 担当責任者(情報システム担当など)の指名
- 全社員向けミニ教育の場を設定する決定
- 現場タスク
- 管理者パスワードと共通パスワードの見直し(対策1)
- VPN機器・リモート接続の棚卸しと不要な設定の削除(対策2)
- バックアップの有無と場所の確認(対策3)
- 不審メール対策ミニ教育の実施(対策4)
- インシデント時の連絡先リスト作成と共有(対策5)
30〜90日(フェーズ2:仕組み化と文書化)
- 経営タスク
- バックアップ方針とBCPの方針案の承認(対策6・10)
- VPN・リモート接続のルールと見直しスケジュールの承認(対策7)
- パスワード・権限管理ルールの承認(対策8)
- 現場タスク
- バックアップの設定変更とテスト復元の実施(対策6)
- VPN・リモート接続一覧の整備と定期見直しフローの作成(対策7)
- アカウント管理フローとパスワード運用の見直し(対策8)
- ログ保存期間と閲覧方法の整理(対策9)
- サイバー攻撃を想定した簡易BCP(業務継続計画)の作成(対策10)
90日が過ぎた時点で、「どこまでできたか」「どこが残っているか」を経営会議で振り返ることで、次の四半期以降の計画にスムーズにつなげることができます。
5. RACIで決める「誰が何をするか」
最後に、Day3でも触れたRACIの考え方を使って、「誰が何をするか」をはっきりさせます。ここでは一例として、中小企業でよくある役割分担のパターンを示します。
RACIの考え方(おさらい)
- R(Responsible):実際に手を動かす担当
- A(Accountable):最終責任を持つ人(決裁者)
- C(Consulted):相談・助言を行う人
- I(Informed):状況を知らされる人
ランサムウェア基本対策におけるRACIの例
| タスク | R(実行) | A(最終責任) | C(相談) | I(報告) |
|---|---|---|---|---|
| 基本10対策の全体方針決定 | 情報システム担当 | 代表取締役 | 主要部門長 | 全社員 |
| VPN・リモート接続の棚卸し | 情報システム担当 | 情報システム担当責任者 | 外部ITベンダー | 経営陣 |
| パスワード・権限管理ルール策定 | 情報システム担当 | 代表取締役 | 人事・総務 | 全社員 |
| バックアップ設計とテスト復元 | 情報システム担当 | 情報システム担当責任者 | 外部ITベンダー | 経営陣 |
| 簡易BCP(業務継続計画)の作成 | 各部門長 | 代表取締役 | 情報システム担当/総務 | 全社員 |
実際には会社ごとに役割は異なりますが、「すべてIT担当任せ」や「すべて外部任せ」になっていないかをチェックすることが重要です。特に、A(最終責任)は経営側にあることを明確にし、R(実行)が無理なく動けるように支える形を意識しましょう。
まとめ
要点(5つ)
- ランサムウェア対策は、高価な製品よりもまず「設定」と「運用」の見直しから始めるのが現実的です。
- 最初の30日で、「パスワード」「VPN・リモート接続」「バックアップの有無」「不審メール教育」「連絡先リスト」を整えることができます。
- 次の60日で、「バックアップ方針」「VPNルール」「パスワード・権限管理」「ログ」「簡易BCP」を仕組みとして定着させます。
- 90日ロードマップとして整理することで、取締役会や金融機関への説明資料にも流用できます。
- RACIで役割をはっきりさせることで、「誰も本気で担当していない状態」を避けられます。
Next Best Action(次の一手)
次回の幹部会で、「90日で基本10対策を完了する」ことを目標として宣言し、フェーズ1(今日〜30日)で取り組む5つの対策について、担当者と期限を決めてください。
FAQ(よくある質問)
Q1. 90日でここまでやるのは、現実的ではないのでは?
A. もちろん、会社の状況によっては90日で完了しない部分も出てくると思います。ただ、「90日でここまでを目指す」という目安を置くことで、優先順位がつけやすくなり、話だけで終わらせずに前に進める効果があります。実際には、まずフェーズ1を30日で終えることを第一の目標とし、その結果を見ながらフェーズ2のスケジュールを微調整して構いません。
Q2. すでに一部の対策は実施している場合、どう考えれば良いですか?
A. その場合は、今回の基本10対策を「チェックリスト」として使い、「できていること」「できていないこと」「できているつもりだが不安なこと」を仕分けするのがおすすめです。すでに実施している対策も、運用が形骸化していないか、ルールが文書化されているかを確認するきっかけになります。
Q3. 外部のセキュリティ会社に丸ごと任せた方が早くないですか?
A. 外部の専門家を活用すること自体は、とても有効です。ただし、「何を任せるのか」「どこまでを社内で決めておくのか」が曖昧なまま丸投げしてしまうと、費用対効果が見えづらくなります。本稿の10対策と90日計画をもとに、「この部分を外部にお願いしたい」という形で相談すれば、無駄の少ないパートナーシップを組みやすくなります。
📩 自社向けに「90日計画」と「基本10対策チェックリスト」を一緒に作成したい方は、 こちらからご相談ください。
