「対策済みのつもり」が最も危ない。中小企業がはまりがちな落とし穴5選
鴨居 陽介
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
「対策済みのつもり」が最も危ない。中小企業がはまりがちな落とし穴5選
「ウィルス対策ソフトも入れているし、バックアップも取っている。うちは大丈夫だと思う」
そのご認識、一度立ち止まって確認してみてください。
アクセルパートナーズが中小企業のセキュリティ支援を行う中でよく耳にするのが、まさにこの「対策済みのつもり」という状態です。そして実際に被害に遭った企業の多くが、被害の前は「自分たちは大丈夫だと思っていた」と語っています。
今回は、中小企業がはまりがちな5つの落とし穴を、具体的にお伝えします。
この記事でわかること
・「やっているつもり」になりやすい、5つのよくある誤解
・それぞれが実際にどんなリスクにつながるか
・今すぐ見直せる確認ポイント
落とし穴① ウィルス対策ソフトを入れれば安心、と思っている
ウィルス対策ソフト(セキュリティソフト)の導入は、セキュリティ対策の基本中の基本です。しかし、「導入している=安全」とは言い切れないのが現実です。
なぜか?
ウィルス対策ソフトは、すでに確認されているウィルスのパターン(定義ファイル)をもとに検知します。つまり、定義ファイルが最新でなければ、新しい攻撃に対応できません。
また、最近のランサムウェアは検知を回避するための技術を使うものも存在します。ウィルス対策ソフトは「万能な盾」ではなく、複数の対策のうちのひとつです。
今すぐ確認すること
・全社員のPCで定義ファイルが自動更新されているか
・対策ソフトのバージョンが最新か
・スキャンが定期的に実行されているか
落とし穴② バックアップを「社内ネットワーク上」だけに保存している
「毎日バックアップを取っている」という企業でも、保存先が社内のサーバーや同じネットワーク上のNAS(ネットワーク接続ストレージ)だけ、という場合があります。
なぜ危険か?
ランサムウェアに感染すると、ネットワークでつながっているストレージにも感染が広がり、バックアップデータまで一緒に暗号化されてしまうことがあります。バックアップがあっても、それも使えなくなってしまうのです。
IPA(情報処理推進機構)は、バックアップデータを「オフライン(ネットワークから切り離した状態)」または「外部(クラウドや物理的に別の場所)」で保管することを推奨しています。
(出典:IPA「中小企業の情報セキュリティ対策ガイドライン」)
今すぐ確認すること
・バックアップの保存先がネットワーク上だけになっていないか
・定期的に「バックアップから実際に復元できるか」のテストをしているか
・世代管理(過去の複数バージョン)ができているか
落とし穴③ パスワードを複数サービスで使い回している
「パスワードは一応設定している」という状態でも、同じパスワードを複数のサービスで使い回していると、ひとつが漏洩しただけで全サービスが危険にさらされます。
なぜ危険か?
インターネット上では、漏洩したアカウント情報のリスト(IDとパスワードのセット)が売買・流通しています。攻撃者はこのリストを使い、他のサービスにも同じ組み合わせでログインを試みます(これを「リスト型攻撃」と呼びます)。
業務で使うクラウドサービス・メール・会計ソフト・SNSなど、どれかひとつが突破されると、他のサービスも連鎖的に危険になります。
今すぐ確認すること
・業務で使うサービスのパスワードが使い回しになっていないか
・文字数は12文字以上、英数字・記号を組み合わせているか
・可能なサービスでは多要素認証(二段階認証)を設定しているか
落とし穴④ OSやソフトウェアのアップデートを後回しにしている
「アップデートのタイミングが悪い」「業務が止まるのが怖い」などの理由で、OSやソフトウェアの更新を先延ばしにしているケースがあります。
なぜ危険か?
ソフトウェアには、発見されると随時修正される「脆弱性(ぜいじゃくせい)」と呼ばれるセキュリティ上の欠陥が存在します。攻撃者はこの脆弱性を利用して侵入します。アップデートを適用することで、既知の脆弱性をふさぐことができます。
アップデートを適用していない状態は、「修理済みの欠陥が発表されたのに、まだ穴を開けたままにしている」状態と同じです。
警察庁・IPA等の公的機関も、脆弱性対策としてソフトウェアの迅速なアップデートを最優先の対策として挙げています。
(出典:IPA「情報セキュリティ対策の基本」)
今すぐ確認すること
・Windows/MacのOSが最新バージョンか
・業務で使うアプリケーション(Office、PDF、ブラウザ等)が更新されているか
・アップデートを自動適用する設定になっているか
落とし穴⑤ セキュリティのルールが「口頭のみ」で文書化されていない
「メールの添付ファイルには気をつけて、とは伝えている」という状態で、社内のセキュリティルールが文書化されていない企業は少なくありません。
なぜ危険か?
口頭の注意喚起は、伝わる人と伝わらない人が生まれます。また、新入社員・アルバイト・外部スタッフへの引き継ぎができません。ルールが「なんとなく」の状態だと、インシデントが起きたときに「誰が・何を・どうすべきだったのか」が曖昧になり、対応が遅れます。
また、情報セキュリティ基本方針を文書化・公開することは、SECURITY ACTION 2つ星(★★)の取得要件でもあります。取引先へのセキュリティ証明としても機能するため、文書化は一石二鳥の対策です。
IPA(情報処理推進機構)は「中小企業の情報セキュリティ対策ガイドライン」の中で、情報セキュリティポリシーの策定を推奨しており、無料のひな形も提供しています。
(出典:IPA「中小企業の情報セキュリティ対策ガイドライン」)
今すぐ確認すること
・情報セキュリティに関するルールが文書として存在するか
・全従業員が内容を把握しているか
・新入社員に対してセキュリティ教育を実施しているか
まとめ:チェックリストで今日から確認を
5つの落とし穴を整理すると、以下のとおりです。
|
#
|
落とし穴
|
リスクの種類
|
|---|---|---|
|
①
|
ウィルス対策ソフトを入れていれば安心
|
新手の攻撃への無防備
|
|
②
|
バックアップが社内ネットワーク上のみ
|
感染時にバックアップも失う
|
|
③
|
パスワードの使い回し
|
一か所の漏洩から全滅
|
|
④
|
OSアップデートの後回し
|
既知の脆弱性からの侵入
|
|
⑤
|
セキュリティルールの文書化なし
|
属人化・インシデント対応の遅延
|
「全部できている」と自信を持って言える企業は、実はそれほど多くありません。まずは5項目を確認するだけで構いません。ひとつでも「できていないかも」と感じた箇所があれば、そこが最初に取り組むべき場所です。
アクセルパートナーズでは、こうした確認作業から一緒に行うご支援も行っています。「自社の現状を把握したいだけ」という段階からでもご相談いただけます。
アクセルパートナーズの「サイバーセキュリティ やり切りパック」のご紹介
「5つすべてをまとめて整えたい」という方には、アクセルパートナーズの「サイバーセキュリティ やり切りパック」がご活用いただけます。
申請書類の作成だけでなく、社内に実際に機能するセキュリティ体制の整備まで、約4〜6週間でワンストップに対応します。
サービスの3つの特徴:
・①やり切れる:診断から基本方針策定・申請・社内周知まで一貫してサポート
・②まとめて終わる:「SECURITY ACTION 2つ星」と「事業継続力強化計画」を1社・1回の契約で完結
・③補助金に直結する:取得した認定をIT導入補助金・ものづくり補助金の申請に活用できます
料金プラン(税別):
|
プラン
|
内容
|
価格
|
|---|---|---|
|
単品A:SECURITY ACTION 2つ星 サポート
|
診断+基本方針策定+申請
|
55,000円
|
|
単品B:事業継続力強化計画 サポート
|
ヒアリング+計画書策定+申請
|
100,000円
|
|
【推奨】やり切りパック(両方セット)
|
上記A+B+補助金アドバイス+体制整備支援
|
120,000円
|
単品A+単品Bの合計155,000円が、パッケージなら120,000円。約35,000円お得。
初回相談(60分・Zoom)は無料です。「自社のどこが抜けているか確認したい」という段階からでもお気軽にご相談ください。
株式会社アクセルパートナーズ 認定経営革新等支援機関 / 全国対応(Zoom) お問い合わせ:listing-partners.com
参考・出典
・IPA(情報処理推進機構)「情報セキュリティ10大脅威 2025」
・IPA「中小企業の情報セキュリティ対策ガイドライン」
・IPA「情報セキュリティ対策の基本」
・警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
本コラムの内容は2026年5月時点の情報に基づきます。制度の要件は変更される場合がありますので、最新情報はIPA・中小企業庁の公式サイトおよび当社へご確認ください。
サイバーセキュリティ やり切りパック の詳細・お申し込みはこちら ▶ listing-partners.com/cybersecurity/
編集:
鴨居 陽介
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
