今日から始めるランサムウェア対策10チェック【中小企業向け】

今日から始めるランサムウェア対策10チェック【中小企業向け】

中小企業でも今日から始められる、ランサムウェア対策のチェックポイントを10項目に整理しました。バックアップ、アップデート、パスワード、多要素認証、メール対策、VPN・リモート接続の見直しなど、お金をかけすぎずに被害を減らすための具体的なステップを、経営者にもわかりやすく解説します。

はじめに

Day1〜Day3では、

  • なぜ中小企業がランサムウェアに狙われやすいのか
  • どこから会社の中に入り込むのか
  • 実際に起きたとき、どんな被害が出るのか

を見てきました。

ここまで読んでいただいた方の多くが感じているのは、おそらく次のようなことではないでしょうか。

  • 「必要なことはわかってきたけど、具体的に何からやればいい?」
  • 「全部を一気にやるのは現実的ではない…」
  • 「専門用語なしで、優先順位を教えてほしい」

そこでDay4では、「今日から始めるランサムウェア対策10チェック」として、 中小企業でも取り組みやすい対策を10項目に整理しました。

ポイントは、完璧を目指さないことです。
まずは「必須レベル」から手をつけていき、余裕が出てきたら次のレベルに進めるイメージで読んでみてください。

各チェック項目ごとに、

  • 経営者として確認したいこと
  • 社内でお願いできること
  • 外部に頼んだ方が早いこと

を分けてお伝えします。

目次

  1. 対策の考え方:完璧より「優先順位」と「継続」
  2. チェック1〜3:万が一のときに効く「バックアップ」と「更新」
  3. チェック4〜6:入口そのものを固める「パスワード・メール・リモート接続」
  4. チェック7〜8:被害を広げないための「機器」と「分け方」
  5. チェック9〜10:もしものときに慌てないための「相談先」と「初動メモ」
  6. まとめ:全部できなくてOK、「できるところから」で十分意味がある
  7. FAQ:よくある不安・疑問への回答

1. 対策の考え方:完璧より「優先順位」と「継続」

まず、ランサムウェア対策の前提として、次の3つを押さえておくと楽になります。

  • すべてを一気にやろうとしない(会社の負担が大きすぎると続きません)
  • 「被害をゼロ」にするより、「被害を小さくする」発想を持つ
  • 一度決めたら終わりではなく、少しずつ見直す(年に1回の健康診断のように)

今回の10チェックも、

  • まず必ずやってほしいもの(優先度:高)
  • できれば続けてほしいもの(優先度:中)
  • 余裕が出てきたら検討したいもの(優先度:低〜中)

が混ざっています。
「うちでできそうなものに印をつける」くらいのつもりで読み進めてみてください。

2. チェック1〜3:万が一のときに効く「バックアップ」と「更新」

チェック1:バックアップの「場所・頻度・テスト」を確認する(優先度:高)

ランサムウェア対策で一番効くのは、実は「バックアップ」です。
データが暗号化されたとしても、きちんとしたバックアップがあれば、身代金を払わずに復旧できる可能性が高くなります。

経営者として、次の3点を確認してみてください。

  • 場所:バックアップは社内サーバーだけでなく、外部(クラウドなど)にもありますか?
  • 頻度:毎日/毎週/毎月…どのタイミングで取っていますか?
  • テスト:「復元できるか」を実際に試したことはありますか?

理想は、「昨日か一昨日の状態まで戻せる」バックアップが、攻撃者からも触れない場所にあることです。
もし現時点で、

  • バックアップの場所がわからない
  • 復元を試したことがない

という場合は、まずここから着手するのがおすすめです。

チェック2:OS・ソフト・機器の「更新」が止まっていないか(優先度:高)

ランサムウェアの侵入経路として多いのが、古い機器や古いソフトウェアの弱点です。
特に、

  • WindowsなどのOS
  • VPN機器やルーター
  • リモートデスクトップ用のソフト

は要注意です。

経営者として確認したいのは、

  • 「更新を担当している人(または会社)」が決まっているか
  • 「いつ・どのくらいの頻度で」更新しているか
  • サポートが切れた古い機器やソフトを使い続けていないか

「とりあえず動いているから」と長年放置している機器があれば、優先的に見直す対象だと考えてください。

チェック3:セキュリティソフトが「入っているだけ」で終わっていないか(優先度:中〜高)

多くの会社で、パソコンには何らかのセキュリティソフト(ウイルス対策ソフト)が入っています。
ただし、

  • ライセンスが切れたまま
  • 一部のパソコンには入っていない
  • 「検出したけど放置されている」

といった状態になっていないか、チェックが必要です。

最低限、次のポイントを確認してみてください。

  • 社内で使っているパソコンのすべてに、セキュリティソフトが入っているか
  • ライセンスや契約が有効な状態か
  • 定期的に自動で検査がかかる設定になっているか

「どのパソコンに何が入っているか分からない」という場合は、一覧を作ることが第一歩になります。

3. チェック4〜6:入口そのものを固める「パスワード・メール・リモート接続」

チェック4:パスワードと多要素認証のルール(優先度:高)

パスワードは、会社の情報を守る「鍵」です。
ここが弱いと、外から簡単に入られてしまいます。

最低限、次のルールを決めておくと安心です。

  • 使い回し禁止:同じパスワードを、複数のサービスで使わない
  • 長さ重視:8文字ギリギリではなく、できれば12文字以上の「文章に近いパスワード」
  • 多要素認証:外部から社内に入るサービスは、「パスワード+スマホのコード」など2段階認証を使う
    ※多要素認証=ログイン時に、パスワードに加えてスマホアプリの番号など「もう1つ」確認する仕組みです。

経営者としては、「短くても覚えやすいパスワード」ではなく、「覚えにくくても破られにくい仕組み」を優先してあげる、という発想が大切です。

チェック5:メールの「開き方ルール」と「相談の流れ」(優先度:中〜高)

ランサムウェアの入口として今もよく使われるのが、「請求書」「見積書」を装ったメールです。
Day3で見た建設業B社のように、忙しいときほど狙われやすいのが特徴です。

そこで、社内で次のような簡単なルールを決めておくと、かなりリスクが減ります。

  • 差出人のメールアドレスに違和感があれば、添付を開く前に電話で確認する
  • 口座番号や支払金額が「いつもと違う」と感じたら、必ず別ルートで確認する
  • 少しでも不安なメールがあったら、誰に相談すればいいかを決めておく(部署・担当者名など)

「怪しいメールを見つけた人が褒められる文化」を作ることも、立派なセキュリティ対策です。

チェック6:テレワーク・リモート接続の「棚卸し」と「閉じる勇気」(優先度:高)

外から社内につなぐための仕組み(VPN・リモートデスクトップなど)は、便利な反面、攻撃者から見ても魅力的な入口になります。

次の3つを確認してみてください。

  • 社外から社内に入る方法を「全部書き出して」把握できていますか?
  • 使っていないのに開いたままの接続はありませんか?(あれば閉じる)
  • 残すものは、「強いパスワード+多要素認証」が必須になっていますか?

実際、「一度も使っていないのに開きっぱなしのリモート接続」が入り口になっていたケースもあります。
便利さも大事ですが、「使っていないなら閉じる」という判断が、会社を守るうえでとても重要です。

4. チェック7〜8:被害を広げないための「機器」と「分け方」

チェック7:重要なパソコン・サーバーを「一段階守る」(優先度:中)

すべてのパソコンを同じように守るのは難しくても、特に重要な機器だけ一段階守りを厚くする、という考え方があります。

例えば、

  • 基幹システムが動いているサーバー
  • 顧客情報やカルテが入っているサーバー
  • 経理用・ネットバンキング用のパソコン

などです。

これらについては、

  • 普段使いのパソコンとはネットワークを分ける
  • インターネット閲覧やメールには使わない
  • ログインするときのルール(ID・パスワード・多要素認証)を厳しめにする

など、「重要度に応じた守り方」を検討してみてください。

チェック8:退職者・異動者のアカウント整理(優先度:中)

意外と見落とされがちなのが、退職した人や使われていないアカウントが残ったままになっているケースです。

攻撃者からすると、こうした「空きアカウント」は非常に魅力的なターゲットです。

そこで、次のような運用ルールを決めておくと安心です。

  • 退職が決まった時点で、アカウント廃止の手続きをいつ・誰が行うかを決める
  • 年に1回は「アカウント棚卸し」をして、長期間ログインしていないアカウントを確認する
  • 管理者権限のアカウントは特に慎重に管理する

これは、ITに詳しくない経営者でも「お願いしやすい」対策のひとつです。

5. チェック9〜10:もしものときに慌てないための「相談先」と「初動メモ」

チェック9:相談先リストを紙でも控えておく(優先度:中〜高)

いざトラブルが起きたとき、誰に連絡すればいいのかが分からないと、それだけで対応が遅れてしまいます。

少なくとも、次の連絡先は紙でも控えておくことをおすすめします。

  • 普段お願いしているITベンダー・システム会社
  • インターネット回線やプロバイダのサポート窓口
  • 社内でITに詳しいキーパーソン
  • 必要に応じて、警察の相談窓口など

これらを1枚の紙にまとめて、「社長室」「総務」「サーバーの近く」など複数箇所に保管しておくと、いざというときに慌てずに済みます。

チェック10:「何が起きたら・誰が・何をするか」の初動メモ(優先度:中)

ランサムウェアに限らず、「おかしいな」と感じたときの初動で、被害の広がり方が大きく変わります。

例えば、次のようなメモをA4一枚にまとめておくと安心です。

  • 何が起きたら:画面に見慣れない警告が出た/ファイルが急に開けなくなった/パソコンの動きが極端に遅くなった…
  • 誰が:気づいた人が、まず直属の上司とIT担当(または相談窓口)に連絡
  • 何をするか:
    • ネットワークから切り離す(Wi-Fiを切る・ケーブルを抜く など)
    • 勝手に電源を切らず、指示を待つ
    • 画面やメッセージの写真をスマホで撮影しておく

こうした「初動マニュアル」は、難しい専門用語はいりません。
「現場で実際にやれそうか?」を基準に、シンプルな内容にしておくことがポイントです。

7. まとめ

本日のポイント

  • ランサムウェア対策は、「被害をゼロにする」より「被害を小さくする」「復旧を早める」発想が現実的です。
  • バックアップ・更新・セキュリティソフトといった基本対策でも、きちんと運用することで被害を大きく減らすことができます。
  • パスワード、多要素認証、メールルール、リモート接続の棚卸しは、「入口そのもの」を固める重要なポイントです。
  • 重要な機器を一段階強く守ることや、退職者のアカウント整理は、中小企業でも取り組みやすい現実的な対策です。
  • 相談先リストと初動メモを準備しておくことで、万が一のときにも慌てず、被害を最小限に抑える行動が取りやすくなります。

Day5では、これまでの内容を総まとめしながら、「経営としてサイバーリスクにどう向き合うか」という視点と、今後の一歩を考える回にしていきます。

8. FAQ

Q1. 正直、10個全部をすぐにやるのは難しいです。どこから優先すべきでしょうか?

A. まずは「チェック1(バックアップ)」「チェック2(更新)」「チェック4(パスワード・多要素認証)」の3つをおすすめします。 これらは、被害を受けたときの「ダメージの大きさ」を大きく左右する部分だからです。そのうえで、メールルール(チェック5)と リモート接続の棚卸し(チェック6)に進んでいくイメージが現実的です。

Q2. IT担当がいない小さな会社でも、実行できますか?

A. すべてを社内だけでやる必要はありません。バックアップやセキュリティソフトの管理、機器の更新などは、 外部のITベンダーに「この10チェックを一緒に見てほしい」と依頼してしまうのも一つの方法です。 経営者は、「何をやるべきか」「何が終わっていて、何が終わっていないか」を把握する役割に集中すると負担が軽くなります。

Q3. 高価なセキュリティ製品を入れれば、それだけで十分でしょうか?

A. 高性能な製品は役に立ちますが、それだけで安心とは言えません。 パスワードの使い方や、退職者アカウントの整理、メールの運用ルールなど、「人」と「運用」の部分も同じくらい重要です。 まずは今回の10チェックのような「基本」を固め、そのうえで必要に応じて製品を検討するほうが、コストパフォーマンスも高くなります。

📩 「この10項目を自社向けにどう落とし込めばいいか」「優先順位を一緒に決めてほしい」と感じた方は、 LINEで相談する から気軽にご相談ください。業種や規模、現在のIT環境を伺ったうえで、「まず3つだけやるならどれか?」という現実的なご提案も可能です。