小さな会社でも無理なく続けられるランサムウェア対策7つのステップ

はじめに（Day1〜3を踏まえて、いよいよ「実践編」へ）

Day1では、ランサムウェアが
「データを人質にしてお金を要求するウイルス」であり、
中小企業こそ狙われやすいことを確認しました。

Day2では、攻撃が
「メール」「リモート接続」「クラウド・外部サービス」
などの入口から入ってくることを整理しました。

Day3では、「工場」「クリニック」「商社」という3つのモデルケースを通じて、
「人のうっかり」＋「仕組みの弱点」が重なると、
実際に業務停止や信頼低下につながることを見てきました。

ここまで読むと、きっとこんな気持ちも出てくると思います。

「重要なのはよく分かった。でも、具体的に何から始めればいいの？」

「専門部署もIT担当もいない中で、現実的にできる範囲はどこまで？」

そこでDay4では、
「小さな会社でも無理なく続けられるランサムウェア対策7つのステップ」
に絞ってお話しします。

難しいセキュリティ用語の羅列ではなく、

社長がまず決めること

社内ルールとして紙1枚に落とせること

外部パートナーとうまく役割分担する方法

といった、現場でそのまま使える視点を中心にまとめていきます。

「全部は一気にできない」と感じて当然です。

今日はまず、
「自社はこの7つのうち、どこから手をつけるか」
を決めるところまで進めていきましょう。

1. ランサムウェア対策は「技術」だけではなく「経営の選択」

まず、最初に押さえておきたい大事なポイントがあります。

それは、
「ランサムウェア対策は、技術ではなく経営の選択でもある」
ということです。

たとえば、

どこまでシステムにお金をかけるのか

どの作業を手作業のまま残すのか

どこから先を外部パートナーに任せるのか

といった判断は、IT担当だけでは決められません。

売上や利益、今後の投資計画、取引先との関係などを考えると、
社長や経営層の判断が必要になります。

だからこそ、

すべてを自社で完璧に守ろうとしない

「ここまでは自社で」「ここから先は外部に」と線を引く

まずは「最低限ここだけは守る」という優先順位をはっきりさせる

という考え方が重要です。

ここから説明する7つのステップも、
「全部やらないと意味がない」というものではありません。

むしろ、
「自社の状況に合わせて、優先順位をつけて少しずつ進めていくための地図」
として使っていただければと思います。

2. ステップ1：入口の棚卸しと「やめること」を決める

Day2でもお伝えしたように、攻撃者は
「会社の外と中をつなぐ入口」を狙ってきます。

そこで、最初のステップはとてもシンプルです。

入口を書き出す（棚卸し）

使っていない入口をやめる（閉じる）

紙1枚でできるイメージです。

入口の棚卸しチェック例

次のような表を作って、社内で書き込んでみてください。

メール：代表アドレス、部署別アドレス、個人アドレスなど

リモート接続：VPN機器名、リモートデスクトップの有無など

クラウド・外部サービス：オンラインストレージ、クラウド会計、販売管理など

外部とのファイルのやり取り：USBメモリ、ファイル転送サービスなど

「やめること」を決めるポイント

書き出したあと、次の観点で「やめる」「残す」を〇△×で分けます。

ここ半年使っていない仕組み → 思い切って停止・解約を検討

便利だが、危険も大きい使い方 → 使い方を変える or 代わりの方法を検討

業務上どうしても必要な仕組み → 後ほど「守りを厚くする」対象にする

ランサムウェア対策というと、
「何かを追加で導入する」イメージが強いかもしれません。

しかし実は、
「まず危ない入口を減らす・やめる」ことが一番費用対効果が高い対策
だったりします。

3. ステップ2：メール・パスワードの「人の守り」を強くする

次に大事なのは、Day2・Day3でも何度も出てきた
「人のうっかり」を減らす仕組みづくりです。

メール対応の「3つの約束」

難しい教育プログラムはなくても、次の3つを社内で共有するだけでも効果があります。

「初めての相手＋添付ファイル」は必ず一呼吸おく

「至急」「本日中」など急かすメールは、開く前に本物か疑う

迷ったらメールで返事をせず、電話で確認してから対応する

そして何より大切なのは、
社長や責任者から「怪しいものは開かなくていい」とはっきり伝えること
です。

「もし本物だったらどうしよう」と不安になると、人は無理をして開いてしまいます。

パスワード管理の「最低ライン」

理想を言えばキリがありませんが、まずは次の3点から始めてみてください。

パスワードに会社名や誕生日を使わない

「会社名＋1234」などは避けるよう、全員で約束します。

重要なサービスは、他と同じパスワードにしない

特に、メールアドレス・クラウド・販売管理・ネットバンキングなどは別々にします。

紙に書くなら、どこに保管するかを決めておく

「パスワードを書かない」が理想ですが、現実には難しいことも多いです。

書く場合は、机の上やモニターに貼らず、鍵付きの引き出しなど、
「ここにだけ保管する」と決めておくことが大切です。

もし可能であれば、
パスワード管理ソフトの導入も検討してみてください。

「1つの強いパスワードだけ覚えればよい」仕組みにすることで、
弱いパスワードを使い回すリスクを減らせます。

4. ステップ3：アップデートとウイルス対策で「機械の守り」を整える

「人の守り」とセットで必要なのが、
「機械の守り」です。

アップデート（更新）の「やる・やらない」を決める

OSやソフトのアップデートは、
「家の鍵を新しいものに取り替える」ようなものです。

古いままにしておくと、
攻撃者にとって入りやすい状態がいつまでも続いてしまいます。

おすすめは、次のルールを決めることです。

WindowsやMacの更新は、原則「自動更新ON」にしておく

業務ソフトの更新は、「月に1回」まとめて確認する日を決める

更新してはいけない機器（工場設備など）があれば、一覧にして区別しておく

ウイルス対策ソフトの「役割」と「限界」を理解する

ウイルス対策ソフトは、
「玄関の防犯カメラ」のようなものです。

不審なものを見つけてくれますが、
すべてを防げるわけではありません。

そのうえで、次の点だけは徹底しておきたいところです。

会社で使うパソコンには、必ずウイルス対策ソフトを入れる

期限切れにならないよう、更新状況を年に数回は確認する

「警告が出たら、その画面を消さずに責任者に連絡する」ルールを作る

特に最後のポイントは大切です。

警告画面を怖がってすぐ閉じてしまうと、
「何が起きたのか」が分からなくなってしまいます。

5. ステップ4：バックアップと「止まったときの暫定運用」を決める

ランサムウェア対策の中でも、
「最後の砦」となるのがバックアップです。

たとえデータが暗号化されても、
別の場所にコピーがあれば、そこから復旧することができます。

バックアップの「3つのポイント」

何を守りたいのかを決める

例：顧客名簿、受発注データ、設計図、経理データなど。

「全部」ではなく、「これだけは絶対に失いたくないもの」を先に決めます。

どこに保存するかを決める

外付けHDD・NAS・クラウドバックアップなど、会社に合った方法を選びます。

可能であれば、「社内」と「社外（クラウドなど）」の両方を用意できると安心です。

どの頻度でバックアップを取るかを決める

例：「毎日夜」「週1回」「月末」など。

「この頻度なら現実的に続けられる」というラインを決めます。

システムが止まったときの「暫定運用」を紙1枚に

どれだけ気をつけても、
「システムが止まる」可能性をゼロにはできません。

そのときの混乱を減らすために、
「暫定運用メモ」を1枚だけ作っておくと役立ちます。

記載しておきたいのは、次のようなことです。

システムが止まったとき、「まず誰に連絡するか」

受発注・予約・問い合わせを、当面どうやって受け付けるか（手書き・Excelなど）

取引先やお客さまへの、簡単な説明文の例

完璧なマニュアルでなくて構いません。

「いざというとき、慌てずに読み返せるメモ」があるだけで、
現場の心理的な負担は大きく変わります。

6. ステップ5：簡単な「社内ルール」と「見える化シート」を作る

ここまでのステップをバラバラに進めると、
「誰が何をやるのか」が分かりにくくなってしまいます。

そこで、
「社内ルール」と「見える化シート」にまとめておくことをおすすめします。

社内ルール（A4・1〜2枚）のイメージ

たとえば、次のような見出しでまとめると分かりやすくなります。

① メールの開き方ルール

② パスワードの決め方・保管方法

③ アップデート（更新）をする人とタイミング

④ バックアップの担当者と頻度

⑤ 不審な画面やメールを見たときの連絡先

「かっちりした規程」を作るよりも、
現場が読んですぐ動けるレベルの具体さが大切です。

見える化シート（一覧表）のイメージ

もう1枚、「システムと入口の一覧表」を作っておくと便利です。

例として、次のような項目があります。

システム名／サービス名

何に使っているか（用途）

社外との入口になっているか（メール／VPN／クラウドなど）

担当者（社内の窓口）

外部の問い合わせ先（ベンダーやIT会社）

これが1枚あるだけで、
「誰に聞けばいいか分からない」時間を大きく減らせます。

7. ステップ6：外部パートナーを「丸投げ先」ではなく「相談相手」にする

中小企業では、
すべてを自前で対応するのは現実的ではありません。

むしろ、

システム会社

ITサポート会社

会計事務所やコンサルタント

などの外部パートナーを、
「相談相手」としてうまく活用することが重要です。

外部パートナーに聞いておきたいこと

例えば、次のような質問を投げかけてみてください。

「今のうちの環境で、ランサムウェアのリスクが高そうなところはどこですか？」

「バックアップはちゃんと取れていますか？どこまで戻せますか？」

「もしランサムウェアに感染したら、御社はどこまでサポートしてくれますか？」

こうした質問をするだけでも、相手との役割分担が見えやすくなります。

「丸投げ」ではなく「協力」のスタンスで

外部パートナーにすべてを任せきりにすると、
「何を任せていて、何が自社の責任なのか」があいまいになってしまいます。

そこで、

「ここからここまでは御社にお任せしたい」

「この部分は社内でルールを作って運用していきます」

といった形で、線を引いておくことが大切です。

そのうえで、
「困ったらすぐ相談できる関係」を作っておくと、
いざというときの初動も早くなります。

8. ステップ7：年に1回の「サイバー防災訓練」をスケジュールに入れる

最後のステップは、
「年に1回だけでも、防災訓練をしてみる」ことです。

といっても、難しいことをする必要はありません。

例えば次のような「机上訓練（シミュレーション）」でも十分意味があります。

簡単な訓練例

「今、受発注システムが急に使えなくなったとしたら？」と想定してみる

誰が、どの取引先に、どの順番で連絡するかを考える

手書きやExcelで、当面の受注をどう管理するかを話し合う

外部パートナーや公的機関に、いつ・誰が連絡するかを決める

これを毎年1回、
決算後や繁忙期が終わったタイミングなどに実施してみてください。

訓練をすると、

社内ルールや見える化シートの「穴」が見つかる

新しく入った人にも、会社の考え方を共有できる

「いざというときも何とかできるかもしれない」と安心感が生まれる

ランサムウェア対策は、
「一度やって終わり」ではなく「毎年少しずつ育てていくもの」です。

小さくてもいいので、続けられる形を一緒に作っていきましょう。

10. 今日のまとめと、明日（Day5）の予告

今日のポイントを3つに絞ると：

ランサムウェア対策は「技術の話」だけでなく、「何にどこまで備えるか」という経営の選択でもある

入口の棚卸し・メールとパスワード・アップデート・バックアップ・社内ルールなど、小さなステップでも積み重ねれば大きな守りになる

外部パートナーとの協力や年1回の防災訓練を通じて、「一度きりではなく続けていく対策」にしていくことが大切

最終日のDay5では、
これまでの内容を振り返りながら、

中小企業がサイバーリスクとどう付き合っていくか

社内でどのように話題にし、浸透させていくか

必要に応じて専門家に相談するときの考え方

をまとめていきます。

記事の最後には、
「自社用チェックリスト」としても使える形で整理する予定です。

11. まとめ

本記事では、中小企業が限られた人員や予算の中でも無理なく進められるランサムウェア対策として、「入口の棚卸し」「メール・パスワードの見直し」「アップデートとウイルス対策」「バックアップと暫定運用」「社内ルールと見える化」「外部パートナーとの協力」「年1回の防災訓練」という7つのステップを整理しました。