中小・零細企業でも、多大な投資をせずとも昨今の高度なサイバー攻撃に対処することができます。基本を忠実に実施することが大切です。
1.データをバックアップし、コピーを1つオフラインで保管しましょう。
重要な理由:ランサムウェアはファイルをロックしたり消去したりする可能性があります。バックアップは万全の保険です。
対策:
- 信頼できるクラウドバックアップサービスを毎日利用しましょう。
- 週に1回、重要なファイルを外付けUSBドライブにコピーし、電源プラグを抜いた状態にしておきましょう。
- ファイルを復元してバックアップをテストしましょう。
参考資料:サイバーセキュリティ・インフラセキュリティ庁(CISA)は、オフラインバックアップの作成とストレージのベストプラクティスに関する簡単なガイドを提供しています。
2.自動更新を有効にする
重要性:ランサムウェアは、多くの場合、古いソフトウェアを悪用します。すべてを最新の状態に保つことで、侵入が容易な侵入経路をブロックできます。
対策:
- Windows/macOS、およびブラウザやAdobe製品などの一般的なアプリの自動更新を有効にします。
- 更新を完了するために、毎週の再起動を休止日とします。
参考資料:米国国立標準技術研究所(NIST)は、中小企業向けサイバーセキュリティフレームワークにおいて、パッチ適用を重要な対策として強調しています。
3.二要素認証(2FA)を有効にする
重要性:パスワードは盗まれる可能性があります。2FAは、第二の防御線となります。
対策:
- メール、金融機関、クラウドアカウントで2FAを有効にします。
- SMSではなく、認証アプリ(AuthyやMicrosoft Authenticatorなど)を使用します。
- まずは自社のアカウントから始め、その後チームに展開します。
参考資料:英国政府のサイバーセキュリティ機関である国立サイバーセキュリティセンター(NCSC)は、あらゆる規模の企業に適した明確なガイダンスを提供しています。
4.強力で一意のパスワードを使用する(パスワードマネージャーがない場合でも)
重要性:脆弱なパスワードや繰り返し使用されるパスワードは、ハッカーにとって格好の侵入口となります。
対策:
- 15文字以上のパスフレーズ(例:“SunnyRiverGreenSky2025!”)を選択してください。
- アカウントごとにパスワードを一意にしてください。
参考資料:米国国立標準技術研究所(NIST)は、長くて覚えやすいパスフレーズを使用することで、セキュリティとユーザーフレンドリー性が向上する理由を説明しています。
5.アプリケーションのホワイトリスト化を導入する
重要性:信頼できるアプリケーションのみを実行できるようにすることで、ランサムウェアの侵入を未然に防ぎます。
対策:
- アプリケーションのホワイトリスト(「SuperShield」)を強制的に適用するPC Matic Proを使用します。不明なアプリは、承認されない限りブロックされます。
参考資料:PC Maticは、ホワイトリストが中小企業にとって従来のウイルス対策よりも優れている理由を説明しています。
6.管理者権限を制限する
重要性:管理者レベルのアカウントを制限することで、マルウェアのインストールと拡散の機会を減らすことができます。
対策:
- 日常的なタスクには標準ユーザーアカウントを使用してください。管理者権限は、所有者または信頼できる管理者のみに付与してください。
- 管理者権限は、必要な場合にのみ一時的に付与し、その後は削除してください。
参考資料:カナダのCanadian Centre for Cyber Securityは、小規模環境における最小権限の適用に関する非営利団体向けのガイダンスを提供しています。
7. 1ページ程度のインシデント対応計画を作成する
重要性:サイバーインシデント発生時には、明確でシンプルな計画が貴重な時間を節約し、パニックを抑制します。
対策:
- 1ページのチェックリストを作成します。連絡先、デバイスの隔離方法、バックアップの場所などを記載します。
- 印刷して目に見える場所に保管してください。
- 火災訓練のように、毎年実施してください。
参考資料:サイバーセキュリティ・インフラセキュリティ庁(CISA)は、わかりやすく非営利団体向けのインシデント対応計画の基本テンプレートを提供しています。
原文:7 Affordable Cybersecurity Habits Every Micro Business Needs (September 10, 2025/ cmunson)
