中小企業のセキュリティの現状
中小企業はサイバー攻撃の標的になりやすい一方、セキュリティ対策が遅れています。「うちは小さいから狙われない」は誤解で、攻撃者は脆弱な中小企業を踏み台にして取引先の大企業を攻撃するサプライチェーン攻撃を行います。
IPAの情報セキュリティ5か条
IPA(情報処理推進機構)が提唱する中小企業向けの最低限の対策です。
- ①OSやソフトウェアは常に最新の状態にする
- ②ウイルス対策ソフトを導入する
- ③パスワードを強化する
- ④共有設定を見直す
- ⑤脅威や攻撃の手口を知る
優先度順10施策
| 優先度 | 施策 | 効果 | コスト |
|---|---|---|---|
| 1 | MFA(多要素認証)の全ユーザー適用 | 不正アクセスの99.9%をブロック | 無料(M365に含む) |
| 2 | Windows/ソフトウェアの自動更新 | 既知の脆弱性を解消 | 無料 |
| 3 | EDR(Defender for Business)の導入 | ランサムウェア等の検知・対応 | Business Premiumに含む |
| 4 | バックアップの3-2-1ルール実施 | ランサムウェア被害からの復旧 | 月額数千〜数万円 |
| 5 | メールセキュリティ(SPF/DKIM/DMARC) | なりすましメールの防止 | 無料(DNS設定のみ) |
| 6 | 条件付きアクセスの設定 | 場所・デバイスに基づくアクセス制御 | Business Premiumに含む |
| 7 | 従業員向けセキュリティ教育 | フィッシング被害の防止 | 年1回数万円〜 |
| 8 | 退職者アカウントの即時無効化 | 内部不正・情報漏洩の防止 | 無料(運用ルールの整備) |
| 9 | 情報セキュリティポリシーの策定 | 組織としてのルールの明文化 | IPAテンプレートで無料 |
| 10 | インシデント対応手順の策定 | 事故発生時の迅速な対応 | 無料(手順書の作成) |
費用感
上記10施策のうち、施策1〜3と5〜6はM365 Business Premium(月額約3,000円/ユーザー)に含まれており、追加コストなしで実施できます。最大の投資は「Business StandardからPremiumへのアップグレード」で、50名の企業で月額約7.5万円の差額です。
まとめ
中小企業のセキュリティ対策はMFAの適用から始め、OS更新→EDR→バックアップ→メールセキュリティの順に進めます。M365 Business Premiumを活用すれば、多くの対策が追加コストなしで実現できます。