IPA「2023年度 中小企業における情報セキュリティ対策の実態調査報告書」によると、中小企業の約3割が「セキュリティ対策への投資額はほぼゼロ」と回答している。一方、同調査では過去3年間でセキュリティインシデントを経験した中小企業のうち、被害額が100万円以上となったケースは約3割にのぼる。
「自社のセキュリティ対策が十分かどうか分からない」「何から手をつけるべきか判断できない」という中小企業の経営者・IT担当者に向けて、本記事では50問のチェックリストを提供する。約5分で回答でき、自社のセキュリティ対策の現状と優先課題が可視化できる。
目次
- チェックリストの使い方
- 基本対策(10問)
- ネットワーク・インフラ(10問)
- データ保護(10問)
- 社員教育・組織体制(10問)
- インシデント対応(10問)
- スコアの読み方と対策の優先度
- スコア別のアクションプラン
- まとめ
- FAQ
1. チェックリストの使い方
回答方法
各質問に対して「はい(2点)」「部分的(1点)」「いいえ(0点)」で回答し、合計スコアを算出する。
| 回答 | 配点 | 基準 |
|---|
| はい | 2点 | 完全に実施・整備できている |
| 部分的 | 1点 | 一部実施しているが不十分 |
| いいえ | 0点 | 実施していない or 不明 |
スコアの目安
| スコア | 評価 | 対応方針 |
|---|
| 80〜100点 | 優良 | 現状維持+最新脅威への対応を検討 |
| 60〜79点 | 良好 | 不足項目を計画的に改善 |
| 40〜59点 | 要改善 | 基本対策の強化を最優先で実施 |
| 20〜39点 | 危険 | 緊急の対策実施が必要 |
| 0〜19点 | 深刻 | 外部専門家に相談し、基礎から整備 |
2. 基本対策(10問)
| # | チェック項目 | はい(2) | 部分的(1) | いいえ(0) |
|---|
| 1 | すべてのPCにウイルス対策ソフトがインストールされ、定義ファイルが自動更新されているか | □ | □ | □ |
| 2 | OS、ブラウザ、主要ソフトウェアのセキュリティパッチを適用しているか | □ | □ | □ |
| 3 | パスワードポリシー(最低8文字以上、英数字記号混合等)を定めて運用しているか | □ | □ | □ |
| 4 | 重要なシステムへのアクセスに多要素認証(MFA)を導入しているか | □ | □ | □ |
| 5 | 退職者のアカウントを即日で無効化する手順が確立されているか | □ | □ | □ |
| 6 | USBメモリ等の外部記憶媒体の利用ルールを定めているか | □ | □ | □ |
| 7 | 業務用Wi-Fiにパスワードを設定し、ゲスト用と分離しているか | □ | □ | □ |
| 8 | 自動画面ロック(5分以内)を全PCに設定しているか | □ | □ | □ |
| 9 | 管理者権限のアカウントは必要最小限の人数に限定しているか | □ | □ | □ |
| 10 | セキュリティに関する基本方針(ポリシー)を文書化しているか | □ | □ | □ |
カテゴリ小計:__ / 20点
3. ネットワーク・インフラ(10問)
| # | チェック項目 | はい(2) | 部分的(1) | いいえ(0) |
|---|
| 11 | ファイアウォールを導入し、不要なポートを閉じているか | □ | □ | □ |
| 12 | VPNまたはゼロトラスト環境でリモートアクセスを制御しているか | □ | □ | □ |
| 13 | ルーター、スイッチ等のネットワーク機器のファームウェアを定期的に更新しているか | □ | □ | □ |
| 14 | サーバーやネットワーク機器の初期パスワードをすべて変更しているか | □ | □ | □ |
| 15 | Webサイト(社外公開)にSSL/TLS証明書を導入し、HTTPSで通信しているか | □ | □ | □ |
| 16 | 社内システムへのアクセスログを取得・保存しているか | □ | □ | □ |
| 17 | クラウドサービス(AWS、Azure、Google Cloud等)のセキュリティ設定を定期的に確認しているか | □ | □ | □ |
| 18 | 社員が利用するSaaSの一覧を把握し、管理しているか(シャドーIT対策) | □ | □ | □ |
| 19 | DNSセキュリティ(DNS over HTTPS等)を導入しているか | □ | □ | □ |
| 20 | ネットワークセグメンテーション(業務用/ゲスト用/IoT用の分離)を実施しているか | □ | □ | □ |
カテゴリ小計:__ / 20点
4. データ保護(10問)
| # | チェック項目 | はい(2) | 部分的(1) | いいえ(0) |
|---|
| 21 | 重要データのバックアップを定期的に取得しているか | □ | □ | □ |
| 22 | バックアップからの復元テストを定期的に実施しているか | □ | □ | □ |
| 23 | バックアップの保存先を本番環境と物理的に分離しているか(3-2-1ルール) | □ | □ | □ |
| 24 | 個人情報、機密情報のアクセス権を必要最小限に制限しているか | □ | □ | □ |
| 25 | 機密文書の持ち出し・印刷に関するルールを定めているか | □ | □ | □ |
| 26 | 不要になった個人情報・機密データの削除ルールが整備されているか | □ | □ | □ |
| 27 | PC廃棄時のデータ消去手順(物理破壊 or ソフトウェア消去)を定めているか | □ | □ | □ |
| 28 | メールの添付ファイルやクラウドストレージの共有設定を定期的に確認しているか | □ | □ | □ |
| 29 | 個人情報の取得・利用・提供に関するプライバシーポリシーを公開しているか | □ | □ | □ |
| 30 | クラウドストレージ(Google Drive、OneDrive等)の共有範囲を管理しているか | □ | □ | □ |
カテゴリ小計:__ / 20点
5. 社員教育・組織体制(10問)
| # | チェック項目 | はい(2) | 部分的(1) | いいえ(0) |
|---|
| 31 | セキュリティに関する社員研修を年1回以上実施しているか | □ | □ | □ |
| 32 | フィッシングメールの見分け方を社員に教育しているか | □ | □ | □ |
| 33 | 標的型攻撃メールの訓練を実施したことがあるか | □ | □ | □ |
| 34 | 情報セキュリティの責任者(CISO等)を任命しているか | □ | □ | □ |
| 35 | セキュリティインシデント発生時の連絡先・対応フローを全社員に周知しているか | □ | □ | □ |
| 36 | テレワーク時のセキュリティルール(VPN使用、公共Wi-Fi禁止等)を定めているか | □ | □ | □ |
| 37 | 入社時にセキュリティ教育を実施し、誓約書を取得しているか | □ | □ | □ |
| 38 | SNSでの情報発信に関するガイドラインを定めているか | □ | □ | □ |
| 39 | 委託先・取引先のセキュリティ対策状況を確認しているか | □ | □ | □ |
| 40 | セキュリティに関する最新の脅威情報を定期的に収集・共有しているか | □ | □ | □ |
カテゴリ小計:__ / 20点
6. インシデント対応(10問)
| # | チェック項目 | はい(2) | 部分的(1) | いいえ(0) |
|---|
| 41 | セキュリティインシデント対応手順書を作成しているか | □ | □ | □ |
| 42 | インシデント発生時の初動対応(隔離、証拠保全)の手順を決めているか | □ | □ | □ |
| 43 | インシデント発生時の外部連絡先(セキュリティベンダー、弁護士、警察等)を確保しているか | □ | □ | □ |
| 44 | 個人情報漏えい時の個人情報保護委員会への報告手順を把握しているか | □ | □ | □ |
| 45 | ランサムウェア感染時の対応手順(身代金を払わない等の方針)を決めているか | □ | □ | □ |
| 46 | インシデント対応の訓練・演習を実施したことがあるか | □ | □ | □ |
| 47 | サイバー保険に加入しているか | □ | □ | □ |
| 48 | ログの保存期間を定め、インシデント調査に使える状態で保管しているか | □ | □ | □ |
| 49 | 事業継続計画(BCP)にサイバー攻撃のシナリオを含めているか | □ | □ | □ |
| 50 | インシデント後の再発防止策を実施し、改善を文書化しているか | □ | □ | □ |
カテゴリ小計:__ / 20点
7. スコアの読み方と対策の優先度
総合スコアの算出
| カテゴリ | スコア |
|---|
| 基本対策 | __ / 20 |
| ネットワーク・インフラ | __ / 20 |
| データ保護 | __ / 20 |
| 社員教育・組織体制 | __ / 20 |
| インシデント対応 | __ / 20 |
| 合計 | __ / 100 |
カテゴリ別の優先度マトリクス
| カテゴリスコア | 評価 | 対応 |
|---|
| 16〜20点 | 十分 | 現状維持、最新脅威への対応を検討 |
| 12〜15点 | 概ね良好 | 不足項目を3ヶ月以内に改善 |
| 8〜11点 | 要改善 | 1ヶ月以内に基本項目を整備 |
| 0〜7点 | 危険 | 即座に対策を開始。外部専門家の支援を検討 |
カテゴリ別の対策優先順位
| 優先度 | カテゴリ | 理由 |
|---|
| 最優先 | 基本対策 | ウイルス対策、パッチ適用、MFAは最も費用対効果が高い |
| 高 | データ保護 | バックアップと復元テストはランサムウェア対策の要 |
| 高 | インシデント対応 | 対応手順がないと被害が拡大する |
| 中 | ネットワーク・インフラ | ファイアウォール、VPNは基本対策の次に重要 |
| 中 | 社員教育・組織体制 | 人的ミスの防止は継続的な取り組みが必要 |
中小企業のセキュリティ対策費用については
中小企業のセキュリティ対策費用ガイドも参照されたい。
セクションまとめ:総合スコア40点未満は「危険」レベル。基本対策→データ保護→インシデント対応の順で優先的に対策を実施すべきだ。
8. スコア別のアクションプラン
0〜39点(危険〜深刻):緊急対応プラン
| 期間 | 対策 | 費用目安 |
|---|
| 即日 | 全PCのウイルス対策ソフトを最新化 | 0〜5万円 |
| 1週間 | OS・ソフトウェアのパッチを適用 | 0円(社内作業) |
| 2週間 | 重要システムにMFA(多要素認証)を導入 | 0〜3万円/月 |
| 1ヶ月 | バックアップ体制を構築(3-2-1ルール) | 5〜20万円 |
| 1ヶ月 | セキュリティポリシーの最低限の文書化 | 0円(社内作業) |
40〜59点(要改善):計画的改善プラン
| 期間 | 対策 | 費用目安 |
|---|
| 1ヶ月 | 基本対策の不足項目を補完 | 10〜50万円 |
| 3ヶ月 | 社員向けセキュリティ研修の実施 | 10〜30万円 |
| 3ヶ月 | インシデント対応手順書の作成 | 0〜20万円 |
| 6ヶ月 | 脆弱性診断の実施(外部委託) | 30〜100万円 |
60〜79点(良好):レベルアップ施策
| 対策 | 費用目安 |
|---|
| 標的型攻撃メール訓練の実施 | 30〜80万円 |
| ISMS認証の取得検討 | 100〜300万円 |
| サイバー保険の加入 | 年間10〜50万円 |
| SOC/MDRサービスの導入検討 | 月額10〜50万円 |
9. まとめ
本チェックリストのポイントは以下の3つだ。
- 基本対策を最優先に:ウイルス対策、パッチ適用、MFAは費用対効果が最も高い対策
- バックアップは命綱:ランサムウェア被害時の最後の砦。復元テストまで実施すること
- インシデント対応手順の準備:「起きてから考える」では被害が拡大する。事前に手順を決めておく
セキュリティ対策の費用と優先順位については中小企業のセキュリティ対策費用ガイドを参照されたい。
セキュリティ対策のご相談はお問い合わせフォームよりお気軽にどうぞ。
10. FAQ
Q1. このチェックリストはどのような基準で作成されていますか?
IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」、NIST Cybersecurity Framework 2.0、CIS Controls v8を参考に、中小企業が現実的に対応可能な範囲で50問に絞り込んでいる。
Q2. 満点を目指す必要はありますか?
必ずしも満点を目指す必要はない。重要なのは「0点のカテゴリをなくすこと」だ。全カテゴリで最低8点以上を確保することを最初の目標とすべきだ。
Q3. チェックリストはどのくらいの頻度で実施すべきですか?
年2回(上期・下期の各1回)の実施を推奨する。また、大きなシステム変更やセキュリティインシデント発生後にも実施すべきだ。
Q4. IT担当者がいない場合、誰がチェックすべきですか?
経営者自身、または総務・管理部門の担当者が実施する。IT知識がなくても回答できるように設計してある。不明な項目は「いいえ(0点)」とし、外部の専門家に相談する際の参考にすればよい。
Q5. スコアが低い場合、最初に何をすべきですか?
最初にすべきは「全PCのウイルス対策ソフト最新化」「OSパッチ適用」「重要システムへのMFA導入」の3つだ。これらは費用をほとんどかけずに実施でき、最も基本的な防御ラインを確保できる。
