Money Salon
サイバー保険
サイバー保険ランサムウェア対策中小企業セキュリティ

中小企業が今すぐやるべきランサムウェア対策5選

この記事のポイント

中小企業のランサムウェア対策は、セキュリティソフトと従業員教育の「機械面と人の面」の両立が基本です。2段階認証、OS更新、バックアップ、サイバー保険まで、今すぐ始められる5つの対策を解説します

ランサムウェアの脅威が増す中、中小企業が「何から手をつければいいのかわからない」という声をよく聞きます。対策は難しいことではありません。今すぐ始められることがあります。

ランサムウェア対策の基本は「機械面」と「人の面」の両方を整えること。セキュリティソフトの導入に加えて、従業員教育を徹底することが最も重要です

この記事では、サイバー保険の専門家への取材をもとに、中小企業がすぐに実行できるランサムウェア対策を5つに絞って解説します。

中小企業が今すぐやるべきランサムウェア対策を解説するイメージ

本記事は一般的な情報提供を目的としており、特定の保険商品の推奨・勧誘を目的とするものではありません。保険商品の詳細は各保険会社の約款や重要事項説明書をご確認ください。補償内容や保険料は保険会社・プラン・条件により異なります。

セキュリティ対策と保険は「どちらか」ではなく「どちらも」

ランサムウェア対策として「セキュリティソフトを入れるのか、保険に入るのか」と二者択一で考える方がいますが、この考え方は間違いです。

平

一番大事なのはセキュリティ対策を強くすることです。それでもサイバー攻撃は完全に防げるものではないので、万が一事故が起こった時のために、金銭面でサポートを受けられるように保険に入っておくということになります。

セキュリティ対策は「事故を起こさないための予防」、保険は「事故が起きたときの備え」です。車の運転に例えれば、安全運転が予防で、自動車保険が備えにあたります。どちらか一方では不十分で、両方が必要です。

実際に、セキュリティ対策をしっかりしていた中小企業でもランサムウェアの被害に遭っています。IT部門があり、セキュリティソフトも導入済みだった企業が、土日の間にシステムを感染させられたという事例があります。この事例の詳細は中小企業を狙うランサムウェア攻撃の最新傾向で解説しています。

対策1 セキュリティソフトの導入と従業員教育

ランサムウェア対策で最も基本となるのが、「機械面」と「人の面」の両方を整えることです。

平

セキュリティ対策には、こういうメールは開いちゃダメだという社員教育と、セキュリティソフトなどの機械面の2つがあります。まずこの両面でセキュリティを整えていただくということが、一番やっていただくべきことです。

機械面の対策

  • ウイルス対策ソフト・セキュリティソフトの導入
  • ファイアウォールの設定
  • 不正アクセス検知システムの導入
  • メールフィルタリングの設定

人の面の対策

  • 不審なメールを開かない・添付ファイルを開かないことの周知
  • 定期的なセキュリティ研修の実施
  • 怪しいメールを受け取った際の報告ルールの策定
  • パスワード管理のルール化
マネサロくん
マネサロくん

従業員教育って、具体的にはどんなことをすればいいんですか?

セキュリティ教育で最も重要なのは、不審なメールへの対処法の周知です。ランサムウェアの感染経路として多いのがメール経由と言われています。「怪しいメールのリンクをクリックしない」「添付ファイルを安易に開かない」という基本的なルールを全従業員に徹底することが大切です。「うちは小さいから大丈夫」という思い込みの危険性については「うちは小さいから狙われない」が危険な思い込みである理由をご覧ください。

対策2 2段階認証(多要素認証)の導入

パスワードだけでは十分なセキュリティとは言えません。2段階認証を導入することで、不正アクセスのリスクを大幅に下げることができます。

平

2段階認証をつけるというのは非常に効果的な対策の1つです。パスワードが漏洩しても、もう1つの認証がなければログインできないので、不正アクセスを防ぐことができます。

2段階認証の主な方式は以下の通りです。

方式具体例
SMSコード携帯電話に届くワンタイムコード
認証アプリGoogle Authenticatorなどのアプリ
ハードウェアキーUSBタイプのセキュリティキー

まずは社内システムやクラウドサービスのログインに2段階認証を設定しましょう。特に以下のサービスは優先的に対応すべきです。

  • メールサービス(Microsoft 365、Google Workspaceなど)
  • クラウドストレージ(Google Drive、Dropboxなど)
  • 業務システムやデータベース
  • VPN接続

対策3 OSとソフトウェアの定期更新

最も簡易的でありながら効果的な対策の1つが、OSやソフトウェアを常に最新の状態に保つことです。

平

まずできることとして、OSとかをしっかり更新する状態にしておくことが一番簡易的な対策です。ソフトウェアの更新には、発見されたセキュリティの脆弱性を修正するパッチが含まれているので、更新を怠ると攻撃者に付け入る隙を与えてしまいます。

OSやソフトウェアの更新を怠ることのリスクは大きいです。サイバー攻撃の多くは、既知の脆弱性を利用して行われます。つまり、更新を適用していれば防げた攻撃が、更新を怠ったために成功してしまうというケースが多いのです。

Windows Updateを「あとで」にし続けていませんか。業務が忙しいからと更新を後回しにすることが、サイバー攻撃の入り口を開けたままにしていることになります。

社内ルールとして「毎月〇日はソフトウェア更新の日」などを決めて、確実に更新を行う仕組みを作ることをおすすめします。

対策4 データのバックアップ

ランサムウェアはデータを暗号化(ロック)して使えなくしてしまいます。バックアップがあれば、データを復元して業務を再開することが可能です。

マネサロくん
マネサロくん

バックアップがあれば、ランサムウェアに感染しても大丈夫ですか?

バックアップがあればデータの復元は可能ですが、それだけでは対策として不十分です。フォレンジック調査費用や情報漏洩の確認作業は、バックアップの有無にかかわらず必要になります。あくまでも対策の1つとして位置づけてください。バックアップがあっても発生する費用についてはランサムウェア被害額の実態で詳しく解説しています。

バックアップの基本ルールは以下の通りです。

  • 定期的にバックアップを取る(毎日または毎週)
  • バックアップデータはネットワークから切り離して保管する
  • 外付けハードディスクやクラウドストレージなど複数の場所に保管する
  • 定期的にバックアップからの復元テストを行う

バックアップデータがネットワークに接続されていると、ランサムウェアがバックアップデータまで暗号化してしまう可能性があります。ネットワークから切り離して保管することが推奨されます。

特に重要なのは「ネットワークから切り離して保管する」という点です。ランサムウェアはネットワーク上の広範なデータを暗号化しようとするため、バックアップがオンラインにあると一緒にロックされてしまいます。

対策5 サイバー保険への加入

セキュリティ対策をどんなに強化しても、サイバー攻撃を完全に防ぐことは難しいとされています。そこで重要になるのが、万が一の備えとしてのサイバー保険です。

平

セキュリティ対策をしっかりやった上で、それでも万が一のために保険に入っておくということが大切です。サイバー保険は年間数万円から加入できます。パソコン1台の調査費用が100万円かかることを考えれば、費用対効果の高い選択肢です。

サイバー保険で補償される主な内容は以下の通りです。

  • フォレンジック調査費用
  • システム復旧費用
  • 情報漏洩時の賠償金・お詫び費用
  • 業務停止による逸失利益
  • 弁護士費用

サイバー保険には事故発生時のサポートサービスが付帯しているものがあります。どこに何を連絡すればいいのかわからないという中小企業にとって、専門家の紹介や事故対応のサポートは非常に心強い存在です。

保険に加入することで得られるメリットは、金銭的な補償だけではありません。

  • 事故発生時に専門業者を紹介してもらえる
  • 事故対応の手順をサポートしてもらえる
  • 平常時のサイバーリスクモニタリングサービスを受けられる
平

平常時のサイバーリスクモニタリングサービスもあって、今リスクが高いのかどうか、ホームページのセキュリティが強いのかとか、社内のセキュリティがどうなのかを調べてもらうこともできます。いろんな付帯サービスを活用することで、セキュリティ対策そのものにもなります。

ランサムウェア対策を専門家に相談する

予算が限られている中小企業はまず何をすべきか

「対策の重要性はわかったけれど、全部はすぐにできない」という中小企業も多いでしょう。予算が限られている場合は、以下の優先順位で取り組むことをおすすめします。

  • まずはOSとソフトウェアの更新を確実に行う(費用ゼロ)
  • 2段階認証を主要なサービスに設定する(費用ゼロ)
  • 従業員に不審なメールへの対処法を周知する(費用ゼロ)
  • データのバックアップ体制を整える(外付けHDD代程度)
  • サイバー保険に加入する(年間数万円から)

上の3つはコストをかけずに今日から実行できます。まずはここから始めて、徐々にセキュリティレベルを上げていくのが現実的なアプローチです。予算の優先順位については限られた予算で優先すべきセキュリティ対策4選も参考にしてください。また、サイバー攻撃への備えとしてBCPにサイバー攻撃を入れていますか?も合わせてご確認ください。

ランサムウェア対策を専門家に相談する

この記事のまとめ

  • ランサムウェア対策は「機械面」(セキュリティソフト)と「人の面」(従業員教育)の両方を整えることが基本
  • 2段階認証、OS更新、バックアップは費用をかけずに今すぐ始められる対策
  • セキュリティ対策をしていても被害は完全には防げないため、サイバー保険で万が一に備えることが重要
  • サイバー保険は年間数万円から加入でき、事故対応のサポートサービスも受けられる

サイバー保険の無料相談はこちら

マネサロくん

ランサムウェア対策で最初にやるべきことは何ですか?

まずセキュリティソフトの導入とOSの更新を確実に行うことです。その上で従業員への教育を徹底し、不審なメールを開かないことを周知することが重要です。

2段階認証はなぜ必要ですか?

パスワードが漏洩しても、もう1つの認証要素(スマートフォンの認証アプリなど)がなければログインできないため、不正アクセスを防ぐ効果が高いです。

サイバー保険はセキュリティ対策の代わりになりますか?

いいえ、サイバー保険はセキュリティ対策の代わりにはなりません。まずセキュリティ対策をしっかり行い、それでも防ぎきれない万が一の事故に備えるのが保険の役割です。

サイバー保険の保険料はいくらですか?

一番簡易的なプランで年間数万円から加入できます。売上規模や業種、補償内容によって保険料は変わります。

関連記事

保険おすすめガイドへ戻る