今日から使える中小企業セキュリティ対策チェックリスト50項目【PDF無料配布】
月曜日の朝、出社してパソコンを立ち上げたら、画面に見慣れない英語のメッセージが表示されている。「あなたのファイルは暗号化されました。解除には0.5ビットコインを支払ってください」。まさか自社が被害に遭うとは思わなかった——そんな言葉が、いまランサムウェア被害に遭った企業の担当者から繰り返し聞かれます。
情報システム担当を兼務で任されたものの、セキュリティの全体像がつかめず何から手をつけたらいいかわからない。経営層から「うちのセキュリティは大丈夫か」と聞かれても、自信を持って答えられない。そんな状況に心当たりがあるなら、この記事がお役に立てるはずです。
ここでは、IPA(独立行政法人 情報処理推進機構)が公開する「中小企業の情報セキュリティ対策ガイドライン 第3.1版」と、NIST(米国国立標準技術研究所)が策定したサイバーセキュリティフレームワーク(CSF)2.0の6機能を基に、セキュリティ対策を50項目のチェックリストに落とし込みました。記事の末尾ではPDF版を無料配布していますので、印刷して部署ごとに配布し、現状把握の第一歩として活用してください。
なぜ今、中小企業にセキュリティチェックリストが必要なのか
IPAが2026年1月に公開した「情報セキュリティ10大脅威 2026」の組織編では、ランサムウェア攻撃が11年連続で1位となりました。2位にはサプライチェーンや委託先を狙った攻撃が8年連続でランクインし、3位には「AIの利用をめぐるサイバーリスク」が初めて選出されています。注目すべきは、これらの脅威がいずれも大企業だけでなく、取引先である中小企業を入り口として悪用される構造を持っている点です。
サプライチェーン攻撃では、セキュリティが手薄な中小企業のシステムに侵入し、そこを踏み台にして取引先の大企業へとアクセスを広げていきます。攻撃者にとっては、堅牢な大企業の正面を突破するより、防御の薄い中小企業を経由するほうがはるかに効率的なのです。「うちのような小さな会社は狙われない」という認識こそが、最大のリスクと言えます。
経済産業省の「サイバーセキュリティ経営ガイドライン Ver 3.0」でも、経営者が自らリーダーシップを取ってセキュリティ対策に取り組むことを3原則の筆頭に掲げています。セキュリティはIT部門だけの課題ではなく、経営そのものに直結する課題だという認識が、国のガイドラインレベルで明確に求められているのです。
このチェックリストは、IPAガイドラインとNIST CSF 2.0の6機能(統治・識別・防御・検知・対応・復旧)を基に、現場で「今日から確認できる」粒度に落とし込んだ50項目です。完璧な対策を一度に実現する必要はありません。まず現状を「見える化」するところから始めましょう。
チェックリストの使い方——3つのステップで現状を可視化する
50項目と聞くと量が多く感じるかもしれませんが、一つひとつの項目は「はい・いいえ・わからない」で答えられるシンプルな問いです。次の3つのステップで進めると、無理なく現状を把握できます。
ステップ1は、全50項目を「対応済み/未対応/不明」の3択で一巡することです。この段階では深く考えすぎず、15〜20分を目安にテンポよく回答してください。「不明」が多くても問題ありません。不明という回答自体が「把握できていないリスクがある」という貴重な情報になります。
ステップ2では、未対応および不明の項目を「被害発生時の影響度」と「対応にかかるコスト」の2軸でマトリクスにプロットします。影響度が高くコストが低い項目——たとえば多要素認証の導入やOSアップデートの自動化——が最優先の着手対象です。
ステップ3は、四半期ごとにチェックリストを再実施し、対応率の推移を記録することです。「前回28項目対応済みだったものが今回は35項目に改善した」という数字は、経営層への報告材料としてそのまま使えます。
記事末尾で配布するPDFチェックシートはA4サイズで印刷できる設計になっていますので、部門ごとに配布して記入・回収・集計のワークフローに組み込んでください。
【カテゴリA】ネットワークセキュリティ(チェック項目 #1〜#8)
ネットワークは社内と外部をつなぐ境界線であり、攻撃者が最初に突破を試みるポイントです。境界防御の基本思想は、外部からの侵入経路を最小限に絞り込むこと。「入口を減らせば守りやすくなる」というシンプルな原則に基づいています。
まず確認すべきは、ファイアウォールやUTM(複数のセキュリティ機能を統合した機器)が正しく設定されているかどうかです。導入しただけで初期パスワードのまま運用しているケースは意外に多く、これは玄関に鍵をかけたつもりで鍵を郵便受けに入れているようなものです。ファームウェアの更新も忘れてはいけません。古いファームウェアには既知の脆弱性(攻撃者に悪用される可能性のあるソフトウェアの欠陥)が残っており、攻撃者はそこを狙ってきます。
Wi-Fi環境では、業務用と来客用のSSID(無線LANの識別名)を分離することが鉄則です。来客が接続するネットワークから社内の業務サーバーにアクセスできる状態は、見知らぬ人にオフィスの鍵を渡しているのと変わりません。暗号化方式もWPA3、少なくともWPA2-AESを使ってください。
VPN(仮想プライベートネットワーク)接続には多要素認証を設定しましょう。パスワードだけの認証は、流出した認証情報を使った不正アクセスに対して無力です。加えて、リモートデスクトップ(RDP)がインターネットに直接公開されていないかも確認が必要です。RDPの公開はランサムウェア感染の主要経路の一つとして知られています。
| # | チェック項目 |
|---|---|
| 1 | ファイアウォール/UTMが導入され、デフォルトのパスワードから変更されている |
| 2 | 不要なポート(Telnet、FTPなど)が閉じられている |
| 3 | ファームウェアが最新バージョンに更新されている |
| 4 | 業務用Wi-Fiと来客用Wi-Fiが別SSIDで分離されている |
| 5 | Wi-Fiの暗号化方式がWPA3(またはWPA2-AES)になっている |
| 6 | VPN接続に多要素認証(MFA)が設定されている |
| 7 | ネットワーク機器のアクセスログが取得・保存されている |
| 8 | リモートデスクトップ(RDP)がインターネットに直接公開されていない |
クラウド環境へのVPN設計やゼロトラストアーキテクチャの考え方については、クラウド移行ガイド(近日公開)で詳しく解説しています。
【カテゴリB】エンドポイントセキュリティ(チェック項目 #9〜#17)
エンドポイントとは、従業員が日常的に使うPC、スマートフォン、タブレットなどの端末のことです。ネットワークの境界防御を突破した攻撃が最終的にたどり着く場所であり、従業員がフィッシングメールのリンクをクリックしたときに直接影響を受けるのもここです。
OSやソフトウェアのアップデート管理は、セキュリティ対策の中でも費用ゼロで効果が大きい項目です。しかし「各自で更新してください」という運用では、忙しい現場では後回しにされがちです。Windows UpdateやmacOSの自動アップデート機能を有効にし、IT管理者がポリシーとして強制する仕組みを整えましょう。業務ソフトウェアやブラウザの更新も同様です。
ウイルス対策ソフトは「入れて終わり」ではなく、定義ファイル(ウイルスを識別するためのデータベース)が自動更新される設定になっているかを確認してください。定義ファイルが古いままでは、新しいマルウェアを検知できません。
USBメモリなどの外部記憶媒体は、マルウェアの持ち込み経路になるだけでなく、データの持ち出しリスクもあります。使用ルールを明文化し、必要に応じて物理的な接続制限を導入することも検討すべきです。
BYOD(Bring Your Own Device=私物端末の業務利用)を認めている場合は、対象端末の範囲、インストール必須のセキュリティアプリ、紛失時の対応手順などを文書化しておく必要があります。なお、サポートが終了したOS(Windows 8.1以前など)を使い続けている端末は、セキュリティパッチが提供されないため、脆弱性が放置された状態で業務に使われていることになります。該当端末がないか棚卸しを行ってください。
| # | チェック項目 |
|---|---|
| 9 | 全PCにウイルス対策ソフトが導入され、定義ファイルが自動更新されている |
| 10 | OS(Windows/macOS)の自動アップデートが有効になっている |
| 11 | 業務ソフトウェア(Office、ブラウザ等)が最新版に更新されている |
| 12 | USBメモリ等の外部記憶媒体の使用ルールが定められている |
| 13 | PC紛失・盗難時のリモートワイプ手段が確保されている |
| 14 | スクリーンロックの自動設定(5分以内)が全端末に適用されている |
| 15 | 業務用モバイル端末にMDM(モバイルデバイス管理)が導入されている |
| 16 | 私物端末(BYOD)の業務利用ルールが文書化されている |
| 17 | サポート終了OS(Windows 8.1以前等)を使用している端末がない |
AIツールを業務端末に導入する際のセキュリティ要件については、AI導入 中小企業の成功事例集(近日公開)も参考にしてください。
【カテゴリC】アクセス制御・認証管理(チェック項目 #18〜#26)
「誰が、何に、どこまでアクセスできるか」を明確に定義し、必要最小限の権限だけを付与する。これがアクセス制御の基本原則であり、セキュリティ対策の世界では「最小権限の原則」と呼ばれています。権限が広すぎると、アカウントが一つ乗っ取られただけで被害が全社に広がるリスクがあります。
パスワードポリシーについては、NIST(米国国立標準技術研究所)のSP 800-63Bが示す考え方が参考になります。かつては「大文字・小文字・記号を混ぜて8文字以上」が推奨されていましたが、現在ではパスワードの「長さ」が「複雑さ」より重要だとされています。12文字以上のパスフレーズ(覚えやすい文章をベースにしたパスワード)を設定し、パスワードマネージャーで管理する方法が現実的です。
多要素認証(MFA)は、パスワードに加えてスマートフォンの認証アプリやSMSコードなど、別の要素で本人確認を行う仕組みです。すべてのアカウントに一斉導入するのが理想ですが、まずは管理者アカウントから優先的に設定してください。管理者アカウントが乗っ取られた場合の被害は、一般ユーザーアカウントの比ではありません。
退職者や異動者のアカウント処理は、退職日(異動日)当日に無効化する運用を徹底しましょう。退職後もアカウントが残っていた結果、元従業員が社内システムにアクセスできてしまった事例は珍しくありません。3ヶ月に1回のアクセス権限棚卸しで、不要なアカウントや過剰な権限を定期的に洗い出すことも重要です。
| # | チェック項目 |
|---|---|
| 18 | 管理者アカウントに多要素認証(MFA)が設定されている |
| 19 | パスワードの最低文字数が12文字以上に設定されている |
| 20 | 共有アカウント(admin、root等)の使用が禁止または最小化されている |
| 21 | 退職者のアカウントが退職日当日に無効化される運用がある |
| 22 | アクセス権限が「必要最小限の原則(最小権限)」で設定されている |
| 23 | 管理者権限を持つアカウントの一覧が文書化・定期レビューされている |
| 24 | クラウドサービス(SaaS)のログイン状況が一元管理されている |
| 25 | パスワードの使い回しを禁止し、パスワードマネージャーの利用を推奨している |
| 26 | 3ヶ月に1回以上、アクセス権限の棚卸しを実施している |
アクセス制御の設計思想をさらに深く理解したい方は、deny-firstアーキテクチャ設計ガイドで「まず全てを拒否し、必要なものだけを許可する」という設計原則を解説しています。
【カテゴリD】データ保護・バックアップ(チェック項目 #27〜#34)
企業にとってデータは事業そのものです。顧客情報、設計図面、営業資料、会計データ——これらが一瞬で暗号化されて使えなくなったとき、事業は継続できるでしょうか。ランサムウェア被害が年々深刻化する中、セキュリティ対策としてのバックアップの重要性はかつてないほど高まっています。
バックアップの基本指針として広く知られているのが「3-2-1ルール」です。データのコピーを3つ作り、2種類の異なる媒体に保存し、そのうち1つはオフサイト(社外の別拠点やクラウド)に置くという考え方です。さらにランサムウェア対策としては、ネットワークに接続されていないオフラインバックアップの確保が不可欠です。ランサムウェアはネットワーク上のすべてのドライブを暗号化しようとするため、ネットワークから物理的に切り離されたバックアップだけが最後の砦になります。
バックアップは「取っている」だけでは不十分です。半年に1回以上、実際にバックアップから復元するテストを実施してください。いざというときに「バックアップデータが壊れていて復元できなかった」という事態は、想像以上に発生しています。
データの分類基準も整備しておきましょう。すべてのデータを同じレベルで保護するのはコストがかかりすぎます。極秘、社外秘、公開など機密レベルを定義し、レベルに応じた保護措置(暗号化、アクセス制限、保管場所の指定など)を適用するのが現実的なアプローチです。
2022年4月に改正個人情報保護法が施行され、個人情報の漏えいが発生した場合は個人情報保護委員会への報告と本人への通知が義務化されました。取扱規程の整備と従業員への周知は法的要件でもあります。廃棄するPCやハードディスクのデータ消去手順も忘れずに定めてください。
| # | チェック項目 |
|---|---|
| 27 | 重要データのバックアップが定期的に取得されている |
| 28 | バックアップの「3-2-1ルール」(3コピー・2媒体・1オフサイト)を満たしている |
| 29 | バックアップからの復元テストを半年に1回以上実施している |
| 30 | ランサムウェア対策として、オフライン(ネットワーク非接続)バックアップがある |
| 31 | 機密情報の分類基準(極秘・社外秘・公開等)が定められている |
| 32 | 重要データの暗号化(保存時・転送時)が実施されている |
| 33 | 個人情報の取扱規程が整備され、従業員に周知されている |
| 34 | 廃棄するPC・記憶媒体のデータ消去手順が定められている |
インシデント発生後のクラウドバックアップからの復旧手順については、障害復旧完全ガイドで具体的なステップを解説しています。
【カテゴリE】メール・Web・クラウドサービスの安全対策(チェック項目 #35〜#42)
フィッシングメールは、中小企業へのサイバー攻撃で最も多く使われる手口です。「請求書を添付しました」「アカウントが停止されました」といった件名で受信者の注意を引き、偽サイトへ誘導してパスワードを盗み取ったり、添付ファイルを開かせてマルウェアに感染させたりします。
技術的な防御として、メールのスパムフィルタとフィッシング対策機能が有効になっているかを確認してください。加えて、送信ドメイン認証(SPF/DKIM/DMARC)の設定が重要です。これらは自社のドメインを詐称したなりすましメールを防ぐ技術で、取引先に対しても「この送信元は正規のものです」と証明する役割を果たします。2024年以降、GmailやYahoo!メールが送信ドメイン認証を強化しており、未設定の場合はメール自体が届かなくなるリスクもあります。
技術面の対策と同時に、不審なメールを受け取ったときの報告先と報告手順を全従業員に周知しておくことが欠かせません。「怪しいと思ったが誰に報告すればいいかわからなかった」という状況を放置してはいけません。
クラウドサービス(SaaS)の利用が広がる中、シャドーIT(情報システム部門が把握していない業務用サービスの利用)への対策も必要です。従業員が個人判断で便利なクラウドサービスを使い始め、そこに業務データが蓄積されていくのは、情報漏えいの温床になります。業務で利用するクラウドサービスの一覧を管理し、新規導入時にはセキュリティ基準を確認するチェックシートを用意しましょう。
ファイル共有サービスの公開リンク設定は定期的な見直しが必須です。「一時的に外部共有するつもりだった」リンクがそのまま残り、機密情報が誰でもアクセスできる状態で放置されている事例は、セキュリティ監査で頻繁に発見されます。
テレワーク環境でのセキュリティ対策については、総務省の「テレワークセキュリティガイドライン 第5版」が実践的な指針を提供しています。
| # | チェック項目 |
|---|---|
| 35 | メールのスパムフィルタ・フィッシング対策が有効になっている |
| 36 | 送信ドメイン認証(SPF/DKIM/DMARC)が設定されている |
| 37 | 不審なメールの報告先・報告手順が全従業員に周知されている |
| 38 | 業務で利用するクラウドサービスの一覧が管理されている |
| 39 | クラウドサービスの契約時にセキュリティ基準を確認するチェックシートがある |
| 40 | ファイル共有サービスの公開リンク設定が定期的に見直されている |
| 41 | Webブラウザの拡張機能が許可リスト方式で管理されている |
| 42 | 業務外のクラウドサービス(シャドーIT)を検知する仕組みがある |
許可リスト方式(ホワイトリスト方式)の設計思想について詳しくは、deny-firstアーキテクチャ設計ガイドをご覧ください。
【カテゴリF】インシデント対応・教育・組織体制(チェック項目 #43〜#50)
セキュリティインシデント(事故や事件)は、どれだけ防御を固めても完全に防ぐことはできません。だからこそ、「起きたときにどう動くか」を事前に決めておくことが、被害を最小限に抑える鍵になります。
インシデント対応計画は、初動(検知・封じ込め)、報告(経営層・関係機関・取引先への連絡)、復旧(システム復元・業務再開)の3段階で手順書を文書化してください。手順書を作っただけで安心してはいけません。年1回以上の対応訓練(机上演習でも可)を実施し、手順書が実際に機能するか検証することが重要です。訓練で見つかった課題を手順書にフィードバックし、PDCAサイクルを回していきましょう。
従業員向けセキュリティ教育は年2回以上の実施が推奨されます。座学だけでなく、標的型攻撃メール訓練(実際にテストメールを送り、クリックしてしまった従業員にその場で注意喚起する訓練)を年1回以上組み込むと効果的です。NISCが公開する「インターネットの安全・安心ハンドブック」は、従業員教育の教材としてそのまま活用できる無料資料です。
サプライチェーン全体のセキュリティを考える上で、外部委託先のセキュリティ水準を確認することも忘れてはなりません。自社のデータを委託先に預ける以上、その委託先が十分な対策を講じているかどうかは自社のリスクに直結します。契約時にセキュリティ要件を明記し、定期的な確認を行う体制を整えてください。
経営層への定期的な報告も組織体制の重要な要素です。四半期に1回以上、セキュリティ対策の進捗状況、発生したインシデントの概要、次の四半期の優先課題を報告する場を設けましょう。経済産業省のサイバーセキュリティ経営ガイドラインが求める「経営者のリーダーシップ」は、こうした報告と意思決定のサイクルによって実現されます。
| # | チェック項目 |
|---|---|
| 43 | インシデント発生時の対応手順書(初動〜報告〜復旧)が文書化されている |
| 44 | インシデント対応の責任者と連絡先が明確に定められている |
| 45 | 年1回以上のインシデント対応訓練(机上演習含む)を実施している |
| 46 | 従業員向けセキュリティ教育を年2回以上実施している |
| 47 | 標的型攻撃メール訓練を年1回以上実施している |
| 48 | 外部委託先のセキュリティ水準を契約時に確認している |
| 49 | セキュリティに関する社内規程・ポリシーが文書化され、全従業員がアクセスできる |
| 50 | 経営層へのセキュリティ状況報告が四半期に1回以上行われている |
セキュリティ施策をDX推進計画全体にどう組み込むかについては、DX推進ロードマップの作り方(近日公開)で体系的に解説しています。
チェック結果を「改善計画」に変換する——優先度の決め方
チェックリストで未対応項目を洗い出したら、次はそれを具体的な改善計画に変換します。ここで大切なのは、すべてを同時にやろうとしないことです。
未対応項目を「被害発生時の影響度(高/中/低)」と「対応にかかるコスト(高/中/低)」の2軸で4象限に分類してみてください。最優先で取り組むべきは「影響度が高く、対応コストが低い」項目です。
多くの企業で最優先項目となるのは、管理者アカウントへの多要素認証(MFA)導入、OSアップデートの自動化、退職者アカウントの即日無効化の3つです。いずれもツールの購入や大規模なシステム改修を必要とせず、設定変更や運用ルールの整備で今すぐ着手できます。
四半期ごとにチェックリストを再実施し、「対応率の推移」を数値化して記録していきましょう。たとえば「第1四半期は50項目中30項目が対応済み(60%)、第2四半期で38項目に改善(76%)」という報告は、経営層に対してセキュリティ投資の成果を示す明確なエビデンスになります。
また、IPAが推進するSECURITY ACTION制度も活用を検討してください。これは中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度で、一つ星(情報セキュリティ5か条に取り組む)と二つ星(自社診断を実施し基本方針を策定する)の2段階があります。このチェックリストの結果をもとに二つ星宣言を行えば、取引先からの信頼向上やIT導入補助金の申請要件充足にもつながります。
無料PDF配布——印刷して使えるチェックシート
PDFチェックシートの内容と使い方
本記事の50項目を、印刷して手元に置けるPDFチェックシートにまとめました。A4サイズ見開き2ページの構成で、カテゴリA〜Fの全50項目に「対応済み/未対応/不明」の記入欄と、備考欄を設けています。
活用のワークフローとしては、まず部署ごとにチェックシートを印刷配布し、各部署の責任者が記入します。記入後のシートを情報システム担当者が回収し、全社の対応状況を一覧表に集約します。Excel版テンプレートを併用すると、対応率の自動計算やグラフ化が可能です。
ダウンロード方法
PDFチェックシートは、メールアドレスの登録なしで直接ダウンロードいただけます。社内への配布や取引先との共有も自由に行ってください(「京谷商会 セキュリティガード」のクレジット表記をお願いします)。
まとめ——50項目の完全対応より「まず30項目」から始める
50項目すべてに完璧に対応しようとすると、その道のりの長さに圧倒されて「全部できないからやらない」という判断に陥りがちです。完璧主義こそがセキュリティ対策の最大の敵だということを、最後にお伝えしたいと思います。
まずはカテゴリA(ネットワークセキュリティ)とカテゴリC(アクセス制御・認証管理)から着手することをおすすめします。この2つのカテゴリは、対応コストが比較的低い項目が多く含まれている一方で、未対応のまま放置した場合の被害が甚大になりやすい領域です。この2カテゴリ17項目に加えて、他カテゴリの「影響度:高×コスト:低」の項目を合わせると、おおむね30項目程度になるはずです。
チェックリストは「1回やって終わり」のものではありません。四半期ごとの継続的な運用こそが真の価値を生みます。セキュリティの脅威は日々変化し、自社の環境も業務の増減やシステムの入替えで常に動いています。定期的な見直しによって、新たなリスクを早期に発見し、対策の漏れを防ぐことができます。
自社だけで対策を進めることが難しい場合は、IPAの「サイバーセキュリティお助け隊サービス」の活用も選択肢に入れてください。中小企業向けに低コストでセキュリティの相談・監視・緊急対応を提供するサービスで、専任の情報システム担当者を置けない企業にとって心強い支援です。
セキュリティ対策に「終わり」はありません。しかし、このチェックリストで現状を把握し、優先順位をつけて一歩ずつ改善を積み重ねることで、確実に自社の防御力は向上していきます。今日チェックリストに目を通すその行動が、明日の被害を防ぐ最初の一歩になります。