中小企業がサイバーリスクと上手につき合うための「これから1年の行動計画」

はじめに（5日間のゴールを、ここで一度「言語化」する）

ここまで4日間、ランサムウェアを中心に
中小企業のサイバーリスクについてご一緒に見てきました。

Day1では、「ランサムウェアとは何か」「なぜ中小企業こそ狙われるのか」。

Day2では、「メール」「リモート接続」「クラウド」という
代表的な入口。

Day3では、実際に被害を受けた中小企業の
モデルケース。

Day4では、「小さな会社でも無理なく続けられる
7つのステップ」を整理しました。

最終回となるDay5では、

• このシリーズ全体で押さえたポイントをもう一度整理し


• 「自社はどこまでできているか」をチェックし


• これから1年の「現実的な行動計画」に落とし込む

ところまでをゴールにします。

サイバー攻撃はなくせませんが、
「備え方」は変えることができます。

その第一歩として、
今日はぜひ
「自社なりの答え」を一緒に形にしていきましょう。

1. 5日間のふり返り：中小企業が知っておくべき3つの現実

まずは、この5日間で一貫してお伝えしてきた
「3つの現実」を整理します。

現実1：「ランサムウェアは、大企業だけの問題ではない」

被害にあっているのは、大手企業だけではありません。

中小企業も、全体の中で大きな割合を占めています。

「うちは狙われるほどの会社ではない」という考え方は、
攻撃者側から見ると
「守りが甘い会社」と同じ意味
になってしまいます。

現実2：「入口が多いほど狙われやすく、止まったときの影響は会社の規模に比例しない」

メール、リモート接続、クラウド…。

便利な仕組みが増えるほど、
「外からの入口」も増えます。

被害額そのものは大企業の方が大きいかもしれませんが、
中小企業は
「数日止まる＝資金繰りや信頼への打撃が大きい」
という違いがあります。

現実3：「人のうっかり＋仕組みの弱点」が重なると、一気に被害が広がる

多くの事例で、

• 人のうっかり（メールを開く／パスワードを使い回す）


• 仕組みの弱点（古いVPN／更新されていないソフト／バックアップ不十分）

が重なったときに、被害が大きくなっています。

逆に言えば、
どちらか片方でも対策できれば、被害の広がりを抑えられる
ということです。

このシリーズでは、

• 人：メール・パスワード・社内ルール・防災訓練


• 仕組み：入口の棚卸し・アップデート・バックアップ

の両面から考えてきました。

2. 自社チェックリスト10問：今どこに立っているかを見える化

ここからは、
「自社は今どこまでできているか」を
ざっくり把握するためのチェックリストです。

すべて「はい／いいえ」でOKです。

「はい」が多ければ多いほど、すでに対策が進んでいると言えます。

ランサムウェア・サイバー防災チェックリスト（10問）

1. 【入口】メール・リモート接続・クラウドなどの
   「入口の棚卸し」を一度でも実施したことがある。


2. 【やめること】ここ半年使っていないシステムやアカウントを、
   停止・解約したり、入口を閉じたことがある。


3. 【メール】「初めての相手＋添付ファイル」「至急メール」など
   怪しいメールの特徴を、社内で共有している。


4. 【パスワード】会社名や誕生日を避けるなど、
   パスワードの最低ルールを決めている。


5. 【アップデート】Windowsや業務ソフトなどの更新について、
   誰が・いつ確認するかが決まっている。


6. 【ウイルス対策】会社で使うパソコンには
   全てウイルス対策ソフトを入れており、期限切れがない状態になっている。


7. 【バックアップ】「何を・どこに・どの頻度で」バックアップするか、
   紙やファイルに明文化されている。


8. 【暫定運用】システムが止まったときの
   暫定的な受付方法や連絡フローをメモレベルでも用意している。


9. 【外部パートナー】IT会社やベンダーに、
   「うちのランサムウェアリスクで気になるところ」を一度聞いたことがある。


10. 【防災訓練】年1回程度でも、
    「もしシステムが止まったら？」という想定で話し合ったことがある。

結果の見方（ざっくり版）

• 「はい」が0〜3個：
  
  これからしっかり整えていける伸びしろが大きい状態です。
  
  まずは「入口の棚卸し」と「バックアップ」の2つから手をつけると効果的です。


• 「はい」が4〜7個：
  
  すでに部分的な対策が進んでいます。
  
  ばらばらにやってきた対策を
  「社内ルール」と「見える化シート」でまとめると、さらに強くなります。


• 「はい」が8〜10個：
  
  中小企業としてはかなりしっかりした対策レベルです。
  
  年1回の見直しと訓練を続けることで、
  「続ける仕組み」にしていきましょう。

大切なのは、点数ではなく
「次に何をするかが見えたかどうか」
です。

気になった項目に〇をつけておき、
後ほど「1年の行動計画」に落としていきます。

3. 社内でどう話題にするか：経営会議・現場ミーティングの進め方

サイバーリスクは、社長だけが知っていても守りきれません。

一方で、現場任せにしても進みにくいテーマです。

そこで、
「経営側」と「現場側」の両方で話題にする場
を、意識的に作るのがおすすめです。

経営会議で話すなら（30〜60分程度）

1. Day1〜Day4の要点を、社長や担当者から簡単に共有する


2. チェックリスト10問を読み上げ、「今どこまでできているか」をざっくり確認


3. 
   「この1年で、最低限ここだけは守りたいデータ・仕組み」を決める
   
   
   
   • 例：顧客情報、受発注システム、会計データ など
   
   
   
   


4. 外部パートナーに相談したいことを3つだけ選ぶ


5. 責任者と、おおよそのスケジュール感を決める

現場ミーティングで話すなら（15〜30分程度）

1. メールの事例や、Day3のケース（工場・クリニック・商社）を簡単に紹介


2. 
   「もしうちで同じことが起きたら？」をみんなで考える
   
   
   
   • どこが止まりそうか
   
   
   • お客さまや取引先に、どう説明するか
   
   
   
   


3. メールの「3つの約束」など、
   現場でできる行動ルールを確認


4. 「怪しいと思ったら無理に開かなくていい」と、
   経営側からあらためて伝える

ポイントは、
「教える」ではなく「一緒に考える」スタンスです。

攻められるのはシステムですが、
守るのは「人の判断」と「日々の習慣」です。

4. 専門家や外部窓口に相談するときのポイント

ランサムウェアをはじめとしたサイバーリスクは、
自社だけで完璧に対処しようとしないことも大切です。

すでにお付き合いのある

• システム会社・ITサポート会社


• クラウドサービスのサポート窓口


• 顧問の会計事務所・コンサルタント

などがいれば、まずはそこから相談してみるのがおすすめです。

相談前に整理しておくと良いこと

• どんな業務を、どのシステムやクラウドで行っているか（ざっくりでOK）


• 「これだけは止まってほしくない」業務やデータ


• サイバー被害が出たときに、一番困りそうな相手（取引先・患者さん・顧客など）

相談するときの聞き方の例

• 「うちのような規模でランサムウェアに備えるなら、まずどこから手をつけるのが現実的ですか？」


• 「今の契約の範囲で、どこまで対応してもらえますか？ 逆に、どこは自社でやる必要がありますか？」


• 「もし明日、受発注システムが止まったら、御社はどのような流れでサポートしてくれますか？」

こうした質問を通じて、
「頼れるところ」と「自社で決めるところ」
が見えやすくなります。

なお、万が一の被害や不審な事象が起きた場合は、
早めに公的な相談窓口や、専門家への相談も検討してください。

「迷ったけれど、結局何も相談しなかった」よりも、
「早めに相談して、過剰だったとしても一安心できた」
状態の方が、結果的にダメージは小さくすみます。

5. これから1年の「サイバー防災」行動計画サンプル

最後に、このシリーズでお伝えしてきた内容を
「これから1年の行動計画」として整理してみます。

あくまで一例ですが、イメージをつかむためにご覧ください。
自社の状況に合わせて、順番や内容を入れ替えていただいて構いません。

第1〜3か月：現状把握と「危ない入口」を減らす期間

• 入口の棚卸し（メール／リモート接続／クラウド／外部サービス）


• 使っていないアカウントやサービスの停止・解約


• チェックリスト10問を使って、自社の現状を把握


• 経営会議で、「この1年で最低限守りたいもの」を決める

第4〜6か月：人と仕組みの「基本セット」を整える期間

• メール対応の3つの約束を社内で共有し、紙1枚のルールにまとめる


• パスワードの最低ルールを決め、重要システムのパスワードを順次見直す


• OS・業務ソフトのアップデート方針（自動更新／月1回確認など）を決める


• ウイルス対策ソフトの導入状況と期限を確認し、抜け漏れをなくす

第7〜9か月：バックアップと暫定運用の準備期間

• 「何を・どこに・どの頻度で」バックアップするかを決める


• 実際に復元できるか、テストを1度実施してみる


• システムが止まったときの暫定運用メモを作成（取引先・患者さんへの説明文例なども用意）


• 外部パートナーと、被害発生時の対応フローについて一度話し合う

第10〜12か月：社内浸透と「サイバー防災訓練」の実施期間

• 社内ルールと見える化シートを、最新版に整理して配布


• 30分〜1時間程度の「机上訓練（もしシステムが止まったら？）」を実施


• 訓練で見つかった改善点を反映し、来年に向けた見直しポイントをメモ


• 翌年も「年1回は見直す・訓練する」というサイクルをスケジュールに登録

ここまで読むと、
「1年もかけるのか」と感じられるかもしれません。

しかし実際には、1つ1つの作業は数時間〜半日程度で終わるものがほとんどです。

大切なのは、
「大ごとにせず、小さく分けて進める」こと。

このシリーズが、そのための「地図」として少しでもお役に立てば幸いです。

7. 今日のまとめと、シリーズ全体の完結メッセージ

今日と5日間全体のポイントを3つに絞ると：

1. ランサムウェアをはじめとしたサイバーリスクは、
   中小企業こそ「入口」と「人」と「仕組み」のバランスで備えることが重要である。


2. チェックリストや1年計画のように、
   自社なりの優先順位とペースを決めることで、
   無理なく現実的な対策が進められる。


3. すべてを自社だけで抱え込まず、
   社内での対話と、外部パートナー・専門家との協力を通して、
   「続けられるサイバー防災」を育てていくことが大切である。

5日間のシリーズを通じて、
ランサムウェア対策を

• 「難しいITの話」から


• 「自社の大事なものをどう守るか」という経営と現場の話

に少しでも近づけて感じていただけていれば、とてもうれしく思います。

「これで完璧」という状態は、正直なところ存在しません。

ですが、

• 入口を減らす


• バックアップを用意する


• 人のうっかりを前提にしたルールを作る

こうした小さな積み重ねが、
会社とお客さまを守る大きな力になっていきます。

もし、
「自社の場合はどう考えたらいいか」という段階で悩まれている場合は、
この下にある無料相談のご案内も、ぜひ気軽に活用してみてください。

8. まとめ

本記事では、5日間の内容をふり返りながら、中小企業がランサムウェアを含むサイバーリスクと向き合うための「自社チェックリスト」と「これから1年の行動計画」を整理しました。入口・人・仕組みのバランスを意識し、社内の対話と外部パートナーとの協力を通じて、無理なく続けられるサイバー防災体制を作ることがポイントです。

キーポイント箇条書き

• ランサムウェアは大企業だけの問題ではなく、中小企業の業務停止や信頼低下に直結する


• チェックリスト10問で、自社の現状と優先順位を見える化できる


• 経営会議と現場ミーティングの両方で話題にし、「一緒に考える」姿勢が重要


• 専門家や外部パートナーには、「何を任せて何を自社で決めるか」を意識して相談する


• 1年単位の行動計画に落とし込み、小さなステップを積み重ねることで、無理なく対策を進められる

9. FAQ（よくある質問）

Q1. どこまでできていれば「ひとまず安心」と言えるのでしょうか？

絶対のラインはありませんが、
ひとつの目安としては、

「入口の棚卸し」「バックアップの方針」「メール・パスワードの最低ルール」の3つが
形になっていれば、

「まったく手つかず」の状態からは大きく前進していると言えます。

そのうえで、年1回の見直しや訓練を続けることで、徐々に安心感を高めていくイメージです。

Q2. すでに一度対策をしたつもりですが、それでもこのチェックリストをやる意味はありますか？

はい、あります。サイバー環境は変化が早いため、
「過去にやった対策」が今も有効かどうかを見直すことが大切です。

チェックリスト10問に改めて向き合うことで、
「前はできていたが今は形骸化している部分」や、
「逆に、思ったより進んでいた部分」が見えてきます。

Q3. ここまで読んでも具体的なイメージが湧かないのですが、どうしたらよいでしょうか？

その場合は、
「自社の業務フロー」と「守りたいデータ」を紙に書き出すところから始めてみてください。

それでも難しいと感じる場合は、
外部の専門家や公的窓口に「自社の状況メモ」を見せながら相談するのがおすすめです。

下の無料相談をご活用いただき、
「自社の場合はどう考えるか」を一緒に整理するという使い方も歓迎です。