がんばりすぎない、それでもできるサイバー攻撃対策（425号）

前回は、主に組織メンバの意識向上の視点から「がんばりすぎない」メリットを紹介しました。

　なぜ「がんばりすぎない」が大切なのか？(424号)
　https://note.com/egao_it/n/n467514c13266

今回は、皆さんが一番気になるであろう、「がんばりすぎない」でもサイバー攻撃対策ができるものだろうか？という視点でのお話です。

最初に結論を述べておきますと、ごく基本的な対策でも十分に効果は期待できます。


1. サイバー攻撃なんてホンマにあるの？

「サイバー攻撃ってのは確かに聞くけど、あれって大企業の話でしょ？ホントに中小を狙った攻撃なんてあるの？」

これはセキュリティセミナーなどでの定番の質問です。

答えはシンプルです。
あります。めっちゃ起きてます。

実は、中小企業への不正侵入がどれくらい発生しているのかは、確かな統計がないのですね。というのは、情報を盗まれていても気付いていない（気付くにも体制が必要）事例がどれくらいあるのか、わかっていないからです。

実際、2022年には、取引先を踏み台として、大阪の病院（急性期総合医療センター）がランサムウェアの被害に会ったケースがあります。
また、トヨタグループの小島プレスが攻撃を受け、製造ができなくなるという事態に発展した事故も記憶に新しい話です。

こういった、取引先を経由したサイバー攻撃を「サプライチェーン（供給網）攻撃」と呼びます。

大企業のセキュリティ対策が進むにつれて、侵入が難しくなっている現在、より侵入しやすい中小企業を踏み台として、カネを払ってくれそうな大企業に侵入するというスタイルは一般的な攻撃手法となっています。


2. それでも恐がりすぎないのも大事

こんな事例を出しますと、簡単な対策なんて無駄なことのように感じるかもしれません。

でも、セキュリティインシデント（事件／事故）の中には、簡単に対策できるはずだったのに、未実施だったというものが多数発生しています。

つまり、基本的な対策をキチンと行うだけでも、かなりの攻撃を防ぐことはできるのです。

また、前回にお話したように組織メンバの意識を高めることも重要です。
万一フィッシングメールを開いてしまった場合、適切な報告手順（エスカレーションルール）が整備できていれば、被害を食い止められる確率は格段に上がります。

基本的な対策だけであっても、サイバー攻撃を必要以上に恐れる必要はないのです。


3. 高度な対策できるならそれがベスト

とはいえ、サイバー攻撃の手法も変化しています。
そのため、セキュリティ対策のため、実にさまざまな製品が販売されています。

Windows Updateのように無償のものから、何億円もするような高価なネットワーク機器まで、本当にいろいろなものがあります。

本記事の主張は「がんばりすぎなくても対策はできる」ですが、だからといって、お金と労力をかけ、高度な対策を取ることを否定するものではありません。

そういった機器や人員を確保できるのであれば、それはそれで素晴らしいことです。

ですが、特に中小企業では予算も人員も限られています。
セキュリティ対策は重要ですが、それでもかけられる予算には限度があります。

じゃあ、その少ない予算で何から手を付ければいいのか？という視点で今回はお話をします。

なお、今回の内容は、本当に初歩的な内容です。

「なんだ、それくらいはウチはとっくにやってるよ」という方は、より高度なセキュリティ対策に進んでいただきたいと思います。


4. 基本的なセキュリティ対策３点セット

今回は、基本的な対策ですので、一般的な事務所でのWindowsパソコン対策とします。
この場合、組織の規模に関わらず、行うべきは以下の３点。

　・ソフトウェアの最新化
　・マルウェア対策ソフトの導入
　・パスワードの強化

最初のソフトウェアの最新化、と言うとWindows Updateが代表的でしょう。

このWindows Updateは、公開と同時適用をオススメします。
業務都合で適用日時をずらす場合も、そのギャップはできるだけ短かくしてください。

さて、Windowsには、システムだけでなく、アプリケーションも含まれています。アプリの多く、例えばメモ帳やフォトは、Microsoft Storeで更新されています。
基本は自動更新なので放置OKですが、時々は目視で更新状況を確認しましょう。

その他のソフトのうち、Officeソフトやブラウザ（ChromeやFirefox、Safari）は自動アップデートですが、中には手動でのアップデートが必要なアプリもあります。
特に業務用アプリ（特定業種の専用アプリ）では手作業での更新が必要なものが多いようです。こちらも定期的に（月末の金曜日など日を決めるのがオススメ）確認しましょう。

余談
　パソコン得意な人向けのおまけの裏技です。
　Windowsには、winget というツールが入っています。
　これは、コマンドプロンプト（cmd.exe）で使える、コマンド入力型のツールです。
　これでアプリの一括更新ができます。
　例えば、Acrobat ReaderやZoomなどは、wingetで更新できます。
　とはいえ、含まれないアプリもありますので、過信は禁物です。

２点目のマルウェア対策ソフトですが、これは是非、有償製品を購入してください。
なお、組織でも個人用の対策ソフトは購入できますが、ライセンス違反となる場合があるようです。ご注意ください。

有償製品を購入される場合は、EDR機能（ふるまい検知機能）のあるものをオススメします。これは、ゼロデイ攻撃と呼ばれる、まだ未修正の脆弱性を狙った攻撃もガードできることをうたった製品です。（あくまでガードできる「可能性がある」レベルですが）

３点目のパスワードの件。
パスワードについては、書き出すときりがないので、ポイントだけ書きます。
　・パスワードの使い回しは絶対禁止
　・パスワードは十分に長く、複雑なものを。
　　英文字のみなら20文字以上、数字や記号を混ぜる場合も最低10文字が目安です。
　・システム部門による定期的な強制パスワード変更は非推奨

詳しくは以下のバックナンバーをご参照ください。

　証券会社のパスワードは絶対に使い回さないで！（417号）
　https://note.com/egao_it/n/neff12145fd64

　パスワードの作り方2024（375号）
　https://note.com/egao_it/n/n6f5be9b7502e 


6. まとめ

今回は、「がんばりすぎない」でもサイバー攻撃対策はできるということを書きました。

もちろん、これ以外にもした方がいい対策はホントにたくさんあります。
　・バックアップ／リストア
　・ネットワーク構成の見直し
　・侵入や不正を検知する体制
　・事故発生時の手順書（マニュアル）
　・IT版BCP（事業継続計画）
　・情報資産の管理体制
　などなど

まずは、基本を押さえましょう。
それが組織の中で十分に定着してから、次のステップに進めば良いのです。

前回の繰り返しですが、セキュリティ対策は、継続がキモです。
無理しなくていいから、できることを愚直に続けることが大切です。

今回は、「がんばりすぎない」サイバー攻撃対策についてお話しました。
次回もお楽しみに

今日からできること：

　・ サイバー攻撃対策も「がんばりすぎない」で大丈夫
　・ Windows Updateだけでなく、Microsoft Storeやwingetも活用しましょう。
　・ パスワードの使い回しをやめましょう。
　・ マルウェア対策ソフトは「ふるまい検知機能（EDR機能)」付きを推奨
　・ セキュリティ対策は続けることが最も大切です。

（本稿は 2025年9月に作成しました）