中小企業の被害は、高度な標的型だけで起きるものではありません。パスワード使い回し、更新停止端末、クラウド設定ミス、添付ファイル実行といった基本的な隙が入口になります。侵入後は、請求書詐欺やアカウント乗っ取り、ランサムウェアによる停止、取引先への踏み台化など、売上や信用に直撃します。完璧を目指して止まるより、被害確率と規模を下げる順に手を打つ判断が重要です。
最も費用対効果が高いのは多要素認証(MFA)の強制です。Microsoft 365やGoogle Workspace、会計・受発注SaaSなど「情報とお金」に直結するサービスから適用します。管理者アカウントは日常利用しない運用に分離し、退職・異動時は即日停止をチェックリスト化します。MFA適用状況と管理者数を一覧にして、月1回見直すだけでも事故率は下がります。
侵入の多くは古いOSやソフトの脆弱性起点です。自動更新を有効化し延期を最小化、ローカル管理者権限を配らない方針を徹底します。端末台帳(機種、OS、利用者、導入日)を作り「何がどこにあるか」を見える化します。メールは教育より設定と手順が先で、外部メール表示やなりすまし警告、請求書・振込先変更の二経路確認を重要取引から必須化します。
侵入をゼロにできない以上、最後の砦は「戻せるバックアップ」です。重要データの保存先を寄せ、世代管理を行い、四半期に1回は復旧テストを実施します。月1回30分の点検(MFA未設定、退職者残存、更新停止、バックアップ最新世代)と、連絡網・初動(切断、停止、証拠保全)を紙1枚に落とすと、担当者1人でも回ります。社長への報告は「MFA強制」「管理者分離」「自動更新+台帳」「二経路確認」「世代バックアップ+復旧テスト」「月1点検と初動手順」の6点で説明できる状態が目標です。
参照元:予算なし・知識なし・担当者1人でもできる中小企業のサイバー防御:ホワイトハッカー流「社長に報告できる安心セット」
