情シスが辞めた翌月から、誰がパスワードを管理するのかすら曖昧になった——そんな話は珍しくありません。専任担当がいなければセキュリティは崩壊するのかというと、答えはNOです。
この記事では、情シス不在の中小企業でも月次の定型作業としてセキュリティを維持するための運用表と、各作業の具体的なやり方を解説します。「最低限をコストほぼゼロで守る」ことを目標に、ITリテラシーが高くない担当者でも実行できる内容に絞りました。
情シス不在が引き起こすセキュリティ事故の典型パターン
実際に起きた事例を挙げると、次のような流れが典型です。IT担当者が退職→引き継ぎなし→パスワード台帳が個人PCに残存→次の担当者が推測でログイン試行→結局管理画面にアクセス不能→外注業者に依頼→余計なコストが発生。この連鎖の根本原因は「担当者の頭の中にしか情報がない」という属人化です。情シス不在の環境では、この属人化が複数箇所に同時発生します。
独立行政法人情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威2024」によると、中小企業が被害を受けたインシデントの上位は「ランサムウェア」「フィッシング詐欺」「サポート詐欺」です。いずれも「誰かが月次で気づいて止める」という運用があれば防げたケースが多数含まれています。
情シスがいなくなったからといって、攻撃者は手加減しません。むしろ「セキュリティが甘くなっている時期」を狙われる可能性があります。実際、サイバー攻撃の被害報告は担当者の交代直後や空白期間に集中する傾向があります。外部からは「あの会社は今、体制が手薄だ」という情報は見えませんが、フィッシングメールの試行数増加・VPNへのブルートフォース攻撃などは自動化されており、体制の空白を人間が意図して狙わなくても被害が発生します。
Before:情シス退職後に何も手を打たなかった製造業A社は、半年後にランサムウェア被害を受け、復旧費用として約150万円を支出しました。工場の生産管理システムが3日間停止し、得意先への納期遅延も発生しました。
After:月次チェックリストを導入したB社では、同期間にパスワード流出の予兆(ダークウェブへの掲載情報)を有料サービスで早期発見し、ゼロ被害で対処できました。対処にかかった工数は半日以下でした。
逆に言えば、属人化を解消して「月次で必ず実行されるルーチン」を確立すれば、担当者が変わっても最低限のセキュリティは維持できます。それが本記事で提示する「月次セキュリティ運用表」の目的です。
月次運用表を設計する3つの優先軸
「最低限のセキュリティ」を維持するために月次でやることを決める際、優先軸が重要です。以下の3軸で考えます。これ以上やろうとすると担当者の負担が増えすぎて継続できなくなります。最初は「この3軸だけ」と割り切ることが成功の鍵です。
優先軸1:攻撃の入口を管理する
不正アクセスの入口となるのは、パスワード・VPN・リモートデスクトップ・メールの4か所です。この4か所の状態を毎月確認するだけで、よくある侵入経路の大半をカバーできます。特にパスワードの使い回しと退職者アカウントの放置は、コストゼロで解決できるにもかかわらず放置されているケースが非常に多いです。
優先軸2:ソフトウェアの更新を止めない
脆弱性を突いた攻撃の多くは、既知の問題を修正したパッチが存在しているにもかかわらずアップデートされていない機器を標的にします。Windows Update・ルーターのファームウェア・業務アプリの更新状況を月次で確認する習慣を持つだけで、既知脆弱性への対応はほぼ完了します。IPAの公表データによると、被害を受けた企業の多くが「パッチを当てていれば防げた攻撃」を受けています。
優先軸3:バックアップを確認する
バックアップがあってもリストア(復元)ができなければ意味がありません。ランサムウェアに感染した場合、バックアップが生きていれば身代金を払わずに復旧できます。月1回、実際にファイルを1つ復元して「バックアップが機能しているか」を確認する手順を運用表に組み込みます。復元テストは慣れれば30分以内で完了します。また、バックアップをPCやサーバーに常時接続したままにしておくと、ランサムウェアがバックアップまで暗号化してしまうため、オフライン保管(外付けHDDを接続後に取り外す等)が重要です。
月次セキュリティチェックリスト(全12項目)
以下は、情シス不在の環境でも担当者が1人で実施できるチェックリストです。実施後は日付・担当者名・結果(OK/NG)を記録してください。NGの場合は対処内容も必ず記録します。
【入口管理】
・全管理画面の管理者パスワードを確認する:共有パスワード・付箋に書いたパスワード・「admin/admin123」のような単純なパスワードが存在しないか確認し、発見次第変更する
・VPN・リモートデスクトップへの接続ログを目視確認する:深夜や休日・海外IPからの不審アクセスがないか確認し、異常があれば即座に接続制限をかける
・メールの迷惑メールフォルダを確認する:フィッシングメールが増えていないか傾向を確認し、増加している場合は全社に注意喚起を行う
・退職者・異動者のアカウントが無効化されているか確認する:クラウドサービス・社内システム全てで退職日以降もアクティブなアカウントが残っていないか確認する
【更新管理】
・全社PCのWindows Updateの適用状況を確認する:1台でも未適用があればその場で実行し、再起動を要する場合は業務終了後に実施予約を入れる
・ルーター・NAS・Wi-Fiアクセスポイントのファームウェアをメーカーサイトで確認する:最新版と現在のバージョンを照合し、差分があれば更新手順に従い適用する
・セキュリティソフトのウイルス定義ファイルが最新か確認する:自動更新が止まっていないかをGUI画面で確認し、最終更新日が7日以上前の場合は手動更新する
・クラウドサービス全アカウントの2段階認証設定を確認する:新規登録アカウントや2段階認証が無効になっているアカウントがないか管理コンソールで確認する
【バックアップ】
・バックアップが設定通り実行されているかログで確認する:前月の実行ログを開き、エラーや中断が発生していないかを確認する
・ランダムにファイルを1個選び、バックアップから実際に復元できるか確認する:業務ファイルを1つ選んでリストアを実行し、ファイルが正常に開けるかまで確認する
・オフラインバックアップ(外付けHDD等)がPCから切り離して保管されているか確認する:常時接続したままになっていないか物理確認し、使用後は必ず取り外す
【報告】
・上記11項目の確認結果を経営者または管理職に月次で1枚レポートとして共有する:NGが発生した項目と対処内容を必ず含める。「全項目OK」の場合もレポートを提出し記録として残す
このリストを実施するのにかかる時間の目安は、慣れれば月2時間以内です。初回は設定の見直しが発生するため半日程度かかることがありますが、2回目以降は大幅に短縮されます。「毎月最終金曜日の午後2時から」のように固定日時を決めてカレンダーに繰り返し登録することが、継続の最大のコツです。
情シス不在の中小企業向け—セキュリティツール比較
適切なツールを選べば、担当者の負担を大幅に減らすことができます。以下の比較表は、情シス不在の環境でよく使われるツールを対象に、主な機能とコストをまとめたものです(2026年5月時点の情報です)。
| カテゴリ | ツール名 | 月額コスト目安 | 主な機能 | 難易度 |
|---|---|---|---|---|
| パスワード管理 | Bitwarden(法人プラン) | 約400円/人 | 共有金庫・監査ログ・2FA連携 | 低 |
| パスワード管理 | 1Password Teams | 約600円/人 | Watchtower(侵害検知)・アクティビティログ | 低 |
| エンドポイント保護 | Microsoft Defender(Windows標準) | 無料(OS付属) | ウイルス検知・クラウド保護・自動修復 | 低 |
| エンドポイント保護 | Sophos Intercept X Essentials | 約700円/台 | AIによる脅威検知・エクスプロイト防止 | 中 |
| バックアップ | Acronis Cyber Protect(クラウド版) | 約1,500円/台 | ランサムウェア防止・クラウド同期・復元テスト機能 | 低 |
| バックアップ | Windowsバックアップ(OS付属) | 無料(OS付属) | ローカル・ネットワーク先へのスケジュールバックアップ | 中 |
| フィッシング対策 | Microsoft 365 Defender | Microsoft 365 E3に同梱 | メールフィルタ・不審リンク遮断・サンドボックス検査 | 低 |
| フィッシング対策 | Google Workspace(標準保護) | 基本プランに同梱 | スパムフィルタ・添付ファイルサンドボックス | 低 |
選定の基準は「担当者が月1回以上ログインして確認できるか」です。高機能でも操作が複雑で使われないツールは、ないのと同じです。ITリテラシーが高くない担当者が実際に使えることを最優先に選んでください。
すでに Microsoft 365 や Google Workspace を契約している場合は、付属のセキュリティ機能を最初に有効化することが最短かつ最低コストの出発点になります。追加ツールはその後の補強です。上記の比較表では「OS付属・クラウドサービス同梱」ツールを積極的に掲載していますが、これらを100%活用するだけで、中小企業の平均的なセキュリティ水準を大きく上回ることができます。
よくある質問
Q1: チェックリストの担当者は誰にすべきですか?
管理部門の事務職員でも問題ありません。専門知識は必要なく、リストに沿って確認して記録するだけです。ただし、結果を経営者または管理職が月次で確認する仕組みを作ることが重要です。担当者任せのまま誰もレビューしない運用は、形骸化のリスクがあります。「確認してレポートを提出する担当者」と「レポートを受け取ってNGに対処する責任者」を分けることで、抜け漏れを組織として防止できます。
Q2: 月2時間も時間が確保できません。どこから始めればよいですか?
最初の1か月は「パスワード管理のクラウドサービス導入」だけに絞ってください。Bitwardenなどを全社導入し、全管理画面のパスワードを集約するだけで、最も多い侵入経路であるパスワード使い回し・推測の被害を大幅に減らすことができます。時間が確保できる翌月からチェックリスト全体を実施します。優先軸1(入口管理)だけを徹底するだけでも、情シス不在の環境でよく発生するインシデントの大半に対応できます。
Q3: クラウドサービスにパスワードを保存するのが怖いのですが?
パスワード管理のクラウドサービスは、社内ファイルサーバーのExcel台帳より格段に安全です。ゼロ知識暗号化(サービス側がパスワードを復号できない仕組み)を採用しているBitwardenや1Passwordは、サービス事業者が不正アクセスされても実データを盗まれません。「社内ファイルサーバーのExcelが最安全」という認識は、むしろリスクの高い状態です。社内PCが1台でもウイルス感染すれば、ネットワーク上のExcel台帳は即座に漏洩します。
Q4: 月次チェックを外注すると費用はどのくらいかかりますか?
IT顧問サービスや中小企業向けマネージドセキュリティサービスを利用する場合、月額2万円~10万円程度が相場です(2026年5月時点)。月次点検に加えてインシデント対応まで含めると上限側に近づきます。まず社内で運用表を回して、どこで詰まるかを把握してから外注を検討する方が費用対効果は高くなります。「全部外注」ではなく「詰まった箇所だけ外注」のモデルが、中小企業にとってコストパフォーマンスが最も高い選択肢です。
Q5: 中小企業がセキュリティ対応で受けられる公的支援はありますか?
IPAが提供する「5分でできる!情報セキュリティ自社診断」は無料で利用できます。また、中小企業庁のIT導入補助金では、セキュリティ対策ツールが補助対象に含まれる場合があります(年度ごとに要件変更あり)。自治体によっては独自の補助制度があるため、地元の商工会議所や中小企業診断士に相談することを推奨します。なお、IPAの情報セキュリティ相談窓口は電話での相談も無料で受け付けています。
月次運用表を「回し続ける」仕組みの作り方
月次運用表は一度作成しただけでは機能しません。「回し続ける」ための仕組みが必要です。以下の4点を最初に整えることで、担当者が変わっても運用が止まらない体制が完成します。
カレンダー登録が最重要
チェックリストの実施日を、毎月の固定日(例:毎月最終金曜日の午後1時)としてGoogleカレンダーやOutlookに繰り返し予定として登録します。「思い出したらやる」では必ず月をまたいで忘れます。繰り返し予定は削除しない限り来月も再来月も通知が届くため、「忘れる」という人的ミスを構造的に排除できます。
副担当者(バックアップ担当)を1名指名する
担当者1名だけに依存すると、その担当者が休暇中や退職した場合に運用が止まります。副担当者を1名指名し、四半期に1回は副担当者が実施する回を設けます。これにより引き継ぎコストも大幅に下がります。副担当者は専任である必要はなく、「チェックリストの手順書を読めば実施できる」状態にしておくことが目標です。
記録はシンプルなスプレッドシートで
複雑なシステムは継続しません。GoogleスプレッドシートやExcelの1シートに「実施日・担当者・各項目の結果(OK/NG/スキップ)・NGの場合の対処内容」を記録するだけで十分です。過去のログが残ることで、異常のトレンド(「毎月同じ項目がNGになっている」等)も把握しやすくなります。このログは、外部の専門家に相談する際の重要な資料にもなります。
NGが出たときのエスカレーション先を決めておく
NGが出た場合に「誰に相談するか」を事前に決めておきます。IT顧問がいる場合はその連絡先を、いない場合はIPAの情報セキュリティ相談窓口をあらかじめチェックリストに記載しておきます。「NGが出てもどうしたらいいかわからない」という状態では、チェックリストを実施する意味が半減します。「このNGはすぐに対処が必要か・来月まで様子を見てよいか」の判断基準も、手順書に一文添えておくと担当者の不安が減ります。
Before:チェックリストを導入したものの記録が残らず、3か月後に「本当に実施しているか」を確認できない状態になった。内部監査で担当者が記憶だけで回答し、エビデンスを示せなかった。
After:スプレッドシートに月次ログを蓄積した結果、半年後の内部監査でも5分以内にエビデンスを提出できた。経営者への信頼性の担保にもなり、IT外注費用の予算申請が通りやすくなった。
まとめ
情シス不在の環境でセキュリティを維持するために必要なことを整理します。
・情シス不在の空白期間は攻撃者にとって「好機」:担当者交代直後のインシデント事例は多く、早急な体制整備が必要
・月次運用表の3優先軸は「入口管理・更新管理・バックアップ」:この3軸に絞ることで担当者の負担を最小化しながら主要な脅威に対応できる
・チェックリスト全12項目は慣れれば月2時間以内で完了する:専門知識は不要で、事務職員でも実施できる内容に設計している
・ツールは「担当者が実際に使えるか」を最優先に選ぶ:Microsoft 365・Google Workspaceの付属機能を100%活用するだけでも大きな効果がある
・続けるにはカレンダー登録・副担当者・スプレッドシート記録・エスカレーション先の4点が必須:一度整えれば担当者が変わっても止まらない体制が完成する
セキュリティは一度整えたら終わりではありません。月次で確認を繰り返すことで初めて「維持」が成立します。今月から始めれば、来月には確実に先月より安全な状態になります。
「チェックリストを導入したいが何から手を付ければいいかわからない」「現状のIT体制を第三者に評価してほしい」という場合は、株式会社イーネットマーキュリーの無料相談をご活用ください。情シス不在の体制づくりからセキュリティ運用の見直しまで、個別に対応します。
