継続が最強:中小企業のサイバー対策を止めない仕組み
7-1. 6日間の要点サマリ
– 狙われるかどうかではなく見つかった弱点から踏まれる
– 境界はネットワークではなくIDと権限
– 把握→可視化→検知→封じ込めが最短ルート
– 取引先要求は負担ではなく信用獲得の武器
– 90日で“最低限強い”状態を作り、数値で回す
7-2. 12カ月ロードマップの型
Q1 基盤整備 MFA必須化 共有既定の社外不可 退職者無効化の当日運用 週次ログダイジェスト開始
Q2 運用定着 RBAC第一弾 監査ログ180日 化 月次エグゼクティブレポートと机上演習開始 DMARC可視化 p=none から準備
Q3 強化 条件付きアクセス JIT昇格 イミュータブルバックアップ 無通告リストア演習 DMARCをquarantineへ
Q4 最適化 ベンダレビューとSLA見直し 年次監査 証跡パッケージ改訂 DMARCをrejectへ 文化施策の定着評価
— 各四半期の最後にKPIのトレンドと改善一手を経営に宣言します。
7-3. ガバナンスと会議体の設計
セキュリティ委員会 月1回 参加 経営 情シス 部門代表 議題 KPIレビュー 是正計画 例外承認
週次運用ミーティング 30分 アラートと未完了タスクの確認 1件だけ今週の一手を確定
取引先対応ワーキング 案件前後で証跡更新 ひな形回答の改善 改訂履歴を残す
— 会議は短時間×定型アジェンダで継続。議事は1枚、期日と担当を確定させます。
7-4. 予算と投資判断のフレーム
四象限 低コスト 高効果 から着手 例 共有既定の変更 退職者無効化の徹底 MFA必須化
TCOで比較 ツール費用だけでなく 運用工数 教育時間 障害時の停止損失を含める
保険思考 年1回の“もしも”を想定 1回の停止が売上や信用に与える額で説明
— 「買うか 買わないか」ではなく「どのリスクをどのコストで受容するか」で会話を設計します。
7-5. 文化を育てる社内広報術
Good Security News 毎週1件 「未設定MFAゼロ達成」「外部共有の期限付与率90%」など小さな勝ちを発信
称賛ファースト ミスを責めない 早期通報にありがとう文化
可視化 KPIボードを社内ポータルに掲示 目標と現状を色で表現
言語の統一 「禁止」より「あなたを守る」を強調 例外は期限付きで安心感を担保
7-6. 年間教育カレンダー例
4月 フィッシング基準テストとEラーニング15分
6月 共有とデータ分類のワークショップ 30分
9月 インシデント机上演習 60分 経営も参加
12月 AWSや主要SaaSの権限見直しデー 60分 全社で棚卸
— 毎月のミニ学習5分を社内SNSで配信 翌月のテストで“学びの定着”を測ります。
7-7. ベンダと外部連携の運用
SLA 重大アラートの一次応答 24h 以内 解決の目標 48h
責任分界 監視 検知 通知 は外部 初動 切り分け 封じ込め は自社 再発防止は共同で
四半期レビュー 誤検知率 レポート品質 提案の有無 から評価 目標が曖昧なら契約を見直し
7-8. 例外管理とリスク受容
例外は悪ではない 期限 代替策 責任者を明示すれば健全な選択
テンプレ 目的 期間 対象システム 追加コントロール 影響評価 承認者 を1ページで
棚卸 月次レビューで期限延長を原則禁止 失効時は自動で標準設定へ戻す
7-9. 監査と法令対応の進め方
年次机上監査 プレイブックと証跡パッケージの整合を確認 不足は是正計画に
ログ保全 改ざん防止のため別ストレージへエクスポート 保持期間を規程に明記
委託先管理 二者確認 証跡提出の頻度を契約に 明文化が最強のコントロール
7-10. 生成AIの安全利用の原則
入力禁止 個人情報 契約書 未公開の設計や顧客情報は貼り付けない
承認済みツール のみ使用 署名済み拡張以外は不可
プロンプトの取り扱い 機密を含むテンプレは社内ストレージで共有 外部に貼らない
— 便利さを取るほど境界はIDと権限に寄る ここに戻れば迷いません。
7-11. 年次計画テンプレ
| 目的 | 指標 | 期日 | 責任者 | 今月の一手 |
|---|---|---|---|---|
| 業務停止の最小化 | 重大インシデントMTTR 48h→24h | 12月 | 情シス責任者 | 机上演習の標準化 |
| 誤送金ゼロ | 二者確認遵守率 80%→100% | 6月 | 経理責任者 | 承認フローのシステム化 |
| 可視化の定着 | 週次ログダイジェスト配信率 0%→100% | 3月 | セキュ担当 | 自動レポート構築 |
| 権限の適正化 | 高権限アカウント削減 30%→10% | 9月 | 各部門長 | RBAC第二弾導入 |
| 文化の醸成 | フィッシング失敗率 8%→3% | 通年 | 全社 | 月次ミニ学習+テスト |
7-12. 社内説明の台本
冒頭 私たちの目的は「止まらない会社」を作ることです。
今日の一手 MFA未設定ゼロ 外部共有の期限付与 退職者無効化の当日運用 この3つを約束します。
期待 30秒のMFAは、あなたの信用を守る最短の投資です。
締め できたことを毎週共有します。一歩ずつ、確実に強くなります。
7-13. 今日からのチェックリスト
– Q1〜Q4のロードマップを1枚にまとめ、経営承認を得る
– KPIボードを社内ポータルに掲示 初期値を入力
– セキュリティ委員会の開催案内を送付 定型議事を配布
– 例外申請のテンプレと運用ルールを公開 月次レビュー日を設定
– Good Security Newsのチャンネルを作成 今週の1件を投稿
クロージングと行動喚起
セキュリティは完璧ではなく継続で強くなります。
あなたの組織でも、すでに多くの要素が揃っています。
足りないのは、順番と習慣化だけです。
今日の1手を決め、1週間後に“できた事実”を全社に共有してください。
そこで初めて、守りは文化になります。
📩 自社の状況に合わせてロードマップとKPIを一緒に設計したい方は、LINEで相談するから気軽にご相談ください。