中小企業を直撃する最新サイバー脅威マップ

2-1. いま注目すべき4大脅威

ランサムウェア：暗号化と恐喝がセット化。
復旧に時間がかかるほど損失が拡大し、支払いの有無にかかわらず業務停止と信用毀損が発生します。
バックアップが分離されていない、管理者権限が広い、端末の脆弱性が放置されている組織は格好の標的です。
BEC：取引先や経営層になりすまし、支払口座の変更や見積送付を装って資金を詐取。
正規スレッドへの割り込みと決裁タイミングの狙い撃ちが特徴です。
サプライチェーン攻撃：自社ではなく、関連会社・委託先の脆弱性を踏み台にして侵入。
アクセス権の過剰付与や、共有環境の監視不備が入口になります。
SaaS設定不備：共有リンクの公開、MFA未設定、退職者アカウント放置、監査ログ未保存など“1クリックの甘さ”が漏えいを招く典型。
IDが境界である以上、設定が組織の安全度を決めると言っても過言ではありません。

2-2. 中小企業で実際に起きやすいシナリオ

シナリオA：メール侵害からの請求書差し替え
外部で漏えいしたパスワードを使っている社員がフィッシングで二段階認証を回避され、メールボックスに侵入されます。
攻撃者はメール転送ルールを設定して、請求関連のやり取りを収集。
月末に取引先になりすまし、支払口座の変更を依頼。
電話による二者確認がない企業は高確率で被害を受けます。

シナリオB：SaaSの共有リンク誤公開
見積書フォルダを「リンクを知っている全員」に設定したまま運用。
検索エンジンにインデックスされ、競合や第三者がアクセス可能に。
プロジェクト終了後の共有棚卸がないため、外部共有が残り続けます。

シナリオC：委託先PCからの横展開
委託先の端末がマルウェア感染し、VPN資格情報が窃取されます。
多要素認証が未導入のため侵入を許し、ファイルサーバと共有SaaSの両方が暗号化。
バックアップの分離不足で復旧が長期化します。

2-3. 影響度×発生確率マトリクスの作り方

手順1：資産の棚卸
売上に直結する業務データ、個人情報、知財・設計図、メール・チャットの4カテゴリで洗い出します。
各資産について「保管場所（SaaS/端末/オンプレ）」「共有先（社外有無）」「復旧目標時間（RTO）」を1行で書き出します。

手順2：脅威と弱点のペアリング
資産ごとに「脅威（例：BEC、ランサム、内部不正）」と「弱点（例：MFA未設定、権限過剰、ログ未保存）」を1対1で記述。
弱点が複数ある場合は最も致命的なものだけを残し、マトリクスが肥大化しないようにします。

手順3：影響度と発生確率を3段階で採点
影響度は「売上影響」「法的影響」「信用影響」を総合して高・中・低で採点。
発生確率は「過去の発生」「未然に検知できる仕組み」「外部依存度」の3観点から高・中・低をつけます。

手順4：優先順位の算出
「高×高」が最優先、「高×中」「中×高」が次点。
各マスごとに1つだけ対策を記述（例：MFA必須化、共有の既定OFF、監査ログ90日保持、バックアップ分離）。
“一気に全部”ではなく、30日で終わる一手に分解します。

手順5：経営報告フォーマット
マトリクスの赤いマスに対して「今月の一手」「担当」「期日」「効果」を1行で記載。
翌月は“前月の約束”の実行結果から報告し、継続性そのものを評価指標にします。

2-4. 部門別“あるある”と対処の勘所

営業：名刺管理SaaSとストレージの二重管理で共有が肥大化。
→ 取引先フォルダは案件完了で自動アーカイブ、社外共有は期限付きに。
総務・人事：退職者アカウントの取り消しが後手に。
→ 人事発令と同時に自動ワークフローで無効化、共有ドライブの所有権を移管。
経理：支払い依頼のメール頼み。
→ 5万円以上の支払は二者確認（電話）、口座変更は旧口座へテスト送金禁止をルール化。
開発・製造：設計データの外部共有が常態化。
→ 機密区分“赤”は社外共有禁止、閲覧は期限＋透かしで管理。

2-5. 今日からの監視・点検チェックリスト

– MFA未設定ユーザー一覧を週1で確認
– メール転送ルールの新規作成を即通知し、発見時は管理者がレビュー
– 退職・異動者のアカウント無効化を当日に実施し、台帳を更新
– 主要SaaSの社外共有リンクを月次で棚卸
– バックアップのリストアテストを四半期に1回、結果を記録
– EDR/AVのインシデント対応フローを机上演習で確認（年2回）

2-6. 自社マトリクステンプレ（記入例）