中小企業のセキュリティ負債は「基礎不足」で 9割説明できる
IPA が 2026年 1月に公表した「情報セキュリティ 10大脅威 2026」では、中小企業を狙った「ランサムウェア」「サプライチェーン攻撃」「標的型メール」が上位を独占した。一方、侵害を受けた中小企業の事後調査では、共通して 4つの基礎対策のいずれかが欠けていたことが判明している。MFA 未導入、バックアップの設計不備、メール認証(DMARC/DKIM/SPF)の未実装、エンドポイント保護が従来型アンチウイルスのまま、の 4点だ。
これらを揃えるのに必要な追加投資は、50名規模で年間 80〜150万円程度。対して、実際に被害を受けた中小企業の復旧コストは平均 4,200万円、業務停止を含む機会損失はその 2〜3倍に達する。費用対効果の観点では、基礎 4本柱を揃えない合理的理由は存在しない。KGA IT が支援する企業では、この 4本柱を「90日プログラム」として段階導入することで、導入期間中のユーザー混乱を最小化している。
第1柱: MFA の全社展開
多要素認証(MFA)は単体で攻撃の 9割以上を遮断できる最強の対策だ。Microsoft の内部分析によれば、MFA を有効にしたアカウントでは認証情報窃取型攻撃の成功率が 99.9% 低下する。展開手順は 4段階。①対象システムの棚卸し(メール、クラウドストレージ、会計、基幹、VPN、SaaS 全般)、②認証手段の選定(Microsoft Authenticator、Google Authenticator、FIDO2 キー)、③パイロット展開(IT 部門+経営層 10名程度)、④全社展開と強制化。
実務上の注意点は 3つ。第一に SMS による OTP は SIM スワップ攻撃に対して脆弱なため、可能な限りアプリ認証または FIDO2 に切り替える。第二に「緊急時用アカウント(Break-Glass)」を必ず 2つ用意し、MFA 除外+極めて強固なパスワード+金庫保管で運用する。第三に退職者のデバイスからの認証削除を退職日当日に実施する運用を SOP 化する。
第2柱: 3-2-1 バックアップの実装
バックアップはランサムウェア対策の最後の砦だ。3-2-1 ルールは「データは 3つのコピー、2つの異なるメディア、1つはオフサイト」で覚える。中小企業での具体実装は、①本番データ、②オンプレ NAS への日次バックアップ、③クラウドストレージへの日次バックアップ、の 3コピーが現実的な構成だ。さらに重要なのが「immutable(変更不可)」オプションの有効化で、Wasabi・Backblaze・AWS S3 Object Lock などで実装できる。これにより攻撃者が管理者権限を奪ってもバックアップ自体を破壊できない。
月次リハーサルが絶対条件だ。バックアップは取れていても復元できなければ意味がない。年 1回はフルリストア訓練、月 1回は主要ファイルのサンプル復元を実施し、RPO(復旧時点目標)と RTO(復旧時間目標)の実績値を記録する。設計上の RTO 4時間が、実測で 36時間かかるケースは珍しくない。
第3柱: メール認証(DMARC/DKIM/SPF)
自社ドメインのなりすましメール対策には、DNS レコードに SPF・DKIM・DMARC を設定する。SPF は「どのサーバーからの送信を許可するか」、DKIM は「送信メールへの電子署名」、DMARC は「SPF/DKIM が失敗した場合の扱い」を定義する。DMARC ポリシーは段階展開が鉄則で、p=none(レポート収集のみ)→ p=quarantine(迷惑メール扱い)→ p=reject(拒否)の順で移行する。
中小企業の 6割以上が DMARC 未設定、または p=none のまま放置している状態だ。p=reject まで進めない主因は「正規の送信元を把握しきれていない」ことだが、DMARC レポート分析サービス(Postmark、dmarcian、URIports など、無料枠あり)を使えば 2〜3週間で全送信元を可視化できる。2024年以降、Gmail と Yahoo! が DMARC 未設定ドメインからの大量送信を拒否する方針を強化しており、マーケティングメールの到達率にも直結する重要設定だ。
第4柱: EDR(Endpoint Detection and Response)
従来型アンチウイルスはシグネチャベースの既知マルウェア検出が中心で、ファイルレス攻撃や Living-off-the-Land 型攻撃には無力だ。EDR はプロセス挙動・ネットワーク通信・ファイル操作を常時記録し、異常パターンを機械学習で検出する。中小企業向け選択肢は、Microsoft Defender for Business(Business Premium に含まれる)、CrowdStrike Falcon Go、SentinelOne Singularity Core などで、1エンドポイント月額 600〜1,500円が相場だ。
運用で重要なのは「アラートを誰が見るか」だ。EDR はアラートが日次数件発生し、うち多くは誤検知または低優先度だ。社内で対応できない場合は MDR(Managed Detection and Response)サービスを月額 10〜30万円で契約する選択肢もある。KGA IT の事例では、50名規模で MDR 契約した企業は、未契約企業に比べて平均応答時間が 48時間から 30分へと短縮された。
90日ロードマップと運用チェックリスト
- 〜30日:MFA パイロット展開、EDR 調達・検証、DMARC レポート収集開始、バックアップ設計レビュー。31〜60日:MFA 全社強制、EDR 全台展開、DMARC quarantine 移行、immutable バックアップ導入。61〜90日:DMARC reject 移行、月次リストア訓練、インシデント対応手順書の整備。四半期ごとに IPA の「10大脅威」を参照し、脅威地図の変化に応じて対策を見直す運用を定着させる。