90日で作る中小企業のセキュリティ基盤
6-1. 90日計画の考え方
目的は最小コストで“最低限強い”状態をつくることです。
すべての脅威をゼロにするのではなく、踏まれても止まらず、すぐ戻れる体制を90日で固めます。
優先は「IDと権限」「バックアップと復旧」「可視化と初動」「端末防御」「人の行動」の5本柱です。
6-2. 前提条件と成功基準
対象範囲 主要SaaS メール ファイル共有 会計 情報共有 端末は会社支給とBYODの両方を把握
成功のKGI 業務中断時間の短縮と誤送金ゼロ 重要データの復旧実績を90日内に確立
主要KPI MFA適用率 退職者の当日無効化率 外部共有リンク件数 重要端末のEDR適用率 バックアップ成功率と復旧時間 週次アラート対応率 フィッシング失敗率 など
6-3. 0〜30日 スプリント1 基盤をつくる
IDとメール
– 全ユーザーにMFA必須化 重要操作は再認証を要求
– レガシー認証 IMAP POP SMTP AUTH の段階停止 ステップ実施の周知を徹底
– SSOを優先導入 主要3サービスから開始 ログインを一元化
– メールの転送ルール自動通知と国外ログイン通知を有効化
バックアップと復旧
– 重要データのバックアップを分離保管 週次オフライン複製を開始
– リストア試験を実施 成功可否と復旧時間を記録 失敗時は手順を修正
– SaaSのごみ箱 保持期間を確認 重要領域は保持延長を設定
端末とパッチ
– 端末台帳を作成 重要端末からEDRまたはAVを一本化して適用率90%以上へ
– OS ブラウザ 主要ソフトの自動更新を有効化 重大パッチは7日以内適用を目標
可視化と初動
– 主要SaaSの監査ログ保持90日以上に設定 週次ダイジェストを自動配信
– インシデントプレイブックを1枚で作成 連絡窓口と封じ込め手順を整備
教育
– 15分Eラーニングとフィッシング基準テストを全社員に実施 結果は部門別に共有
6-4. 31〜60日 スプリント2 運用に落とす
権限と入退社
– 役割ベースアクセス RBAC の第一弾を導入 主要三サービスのロールを定義し直す
– Joiner Mover Leaverの運用を明文化 退職は当日無効化と所有権移管を必須に
監視と検知
– 見るべきイベントを10個に絞り込み 週次レビューと月次エグゼクティブレポートを開始
– 外部共有リンクを月次棚卸 期限なしは自動失効へ
端末と脆弱性
– 端末暗号化 スクリーンロック USB制御を標準化 例外は期限付きで申請制
– 月次の脆弱性スキャンを開始 重大は7日 高は14日で修正を目標
メール認証と支払統制
– SPF DKIM DMARCを整備 まずはp=noneで可視化から開始 段階的に厳格化
– 経理は二者確認を標準化 口座変更は電話で再確認 テスト送金は実施しないルール化
証跡と取引先対応
– 設定画面キャプチャと運用レポートを証跡パッケージとして月次更新 提示依頼に即応できる状態へ
6-5. 61〜90日 スプリント3 強化と検証
アクセス強化
– 条件付きアクセス 地理 制度 端末姿勢 でハイリスクログインを抑止
– 管理者はJIT 権限昇格に切替 期限付きで承認ログを残す
バックアップ高度化とDR
– 変更不可またはイミュータブルオプションを適用 重要領域のみでも可
– ランダムに選んだデータで無通告リストア演習を実施 手順の穴を洗い出す
– 主要業務についてRTO RPOを数値化 ダッシュボードに表示
メールと詐欺対策
– DMARCをquarantine以上へ段階引き上げ 不正送信を抑止
– 経理の支払プロセスに想定問答集を導入 時間外の支払指示は原則不可に
ログの集中管理
– 監査ログの保持を180日に延長 重要イベントは自動チケット化とSLA 24/48h を設定
訓練とふりかえり
– インシデント机上演習を実施 経営を交えた意思決定ラインを確認
– 90日間のKPIトレンドをレビュー 次の半年計画に接続
6-6. 役割分担 RACI の雛形
| 活動 | 責任 Responsible | 説明 Accountable | 協力 Consulted | 共有 Informed |
|---|---|---|---|---|
| MFA必須化 | 情シス | 経営 | 部門長 | 全社員 |
| 退職者無効化 | 情シス・人事 | 情シス責任者 | 総務 | 監査 |
| バックアップとリストア | 情シス | 経営 | ベンダ | 全社 |
| 週次ログレビュー | 情シス | 情シス責任者 | ベンダ | 経営 |
| フィッシング訓練 | 情シス | 経営 | 部門長 | 全社員 |
| 取引先対応・証跡 | 情シス | 経営 | 営業・法務 | 取引先 |
6-7. 予算と負荷の考え方
ゼロコストで始める領域 既定の共有を社内のみへ 設定の見直し MFA必須化 退職時の無効化運用 週次のログ確認
軽コストで効果が高い領域 セキュリティキーやパスキーの一部導入 バックアップの分離保管 クラウドログの保持延長 簡易スキャン
外部活用が向く領域 24時間監視のSOC 高度EDRの運用 年次のペンテスト 机上演習のファシリテーション
— 費用は工数×継続性で見積り まずは自社で回せるところを固め 外部はボトルネックに限定します。
6-8. ダッシュボード項目の例
– MFA適用率 目標100% 未設定者は0名 締切と担当を表示
– 退職者無効化の所要時間 目標当日 24h超は赤表示
– 外部共有リンク件数 月次推移 期限なしはゼロを目標
– EDR適用率と検知件数 重大インシデントの平均対応時間 MTTA MTTR を表示
– バックアップ成功率と復旧時間 重要データの最新復旧テスト日を明示
– フィッシング失敗率 初回からの改善率を部門別に可視化
– DMARCポリシー 運用レベルと偽装メール遮断数
6-9. 週次運用カレンダーの型
月 先週のKPIを共有 未設定者や期限切れ例外を是正
火 権限の申請と例外レビュー 期限の延長は原則不可
水 端末とパッチの適用状況チェック 高優先の修正は即時対応
木 ログの深掘り調査と共有棚卸の進捗確認
金 経営向けサマリ作成 来週の改善一手を宣言
月末 リストア演習 机上監査 証跡パッケージ更新
6-10. 今日から動かすチェックリスト
– 未設定のMFAをゼロへ 期限と担当を明確化
– 重要データのバックアップ分離と今月のリストア試験の予約
– 主要SaaSの共有既定を社内のみへ 期限なし共有を一括失効
– 退職者無効化のチェックリストを配布 人事と同時運用へ
– 週次ログダイジェストを自動化 経営向け月次レポートの雛形を作成
– フィッシング基準テストを実施 失敗ポイントを共有
📩 あなたの状況に合わせた具体的なアドバイスが欲しい方は、LINEで相談するから気軽にご相談ください。