ランサムウェアによる業務停止、取引先経由の侵入、クラウドサービスの設定ミス、生成AIへの機密情報入力など、企業の情報漏えいリスクは年々複雑になっています。特に中小企業では、専任のセキュリティ担当者が少なく、情シス担当者がヘルプデスク、端末管理、SaaS運用、ネットワーク管理、社内教育まで兼務しているケースも多いでしょう。そのような状況で、すべての対策を一度に完璧に進めるのは現実的ではありません。
だからこそ重要なのは、被害が発生したときの影響が大きく、かつ比較的着手しやすい基本施策から優先的に固めることです。具体的には、重要データのバックアップ、多要素認証、端末管理、外部共有の見直し、生成AI利用ルール、初動対応手順の整備が中心になります。本記事では、中小企業の情シス部門が限られた人数でも進めやすいように、ランサムウェアとAI時代の情報漏えい対策を実務の優先順位に沿って整理します。
最近の情報漏えいリスクを情シス目線で整理する
最近の情報漏えいリスクは、単にウイルス感染やメール誤送信だけでは説明できなくなっています。ランサムウェア攻撃では、社内サーバーや端末のデータを暗号化するだけでなく、事前に盗み出した情報を公開すると脅す「二重脅迫」の手口が見られます。攻撃を受けると、ファイルサーバー、基幹システム、受発注システム、会計システムが使えなくなり、業務停止や取引先対応に追われる可能性があります。中小企業であっても、取引先のサプライチェーンの一部として攻撃対象になることがあるため、「うちは狙われない」と考えるのは危険です。
また、クラウドサービスやSaaSの利用拡大により、情報漏えいの入口も増えています。Microsoft 365、Google Workspace、Box、Dropbox、Slack、Notion、Salesforceなどは便利ですが、共有リンクの公開範囲、外部ゲストの権限、退職者アカウント、管理者権限の放置があると、意図しない閲覧や持ち出しにつながります。たとえば、過去に取引先へ共有したフォルダが期限なしで残っていたり、退職者が個人端末からクラウドストレージにアクセスできたりする状態は、ランサムウェアとは別の経路で情報漏えいを引き起こします。
さらに、生成AIの業務利用が広がったことで、新しいリスクも加わりました。社員が議事録、問い合わせ履歴、顧客情報、契約書、ソースコード、障害ログなどを外部AIサービスに入力すると、利用規約や設定によっては会社が管理できない場所に情報が保存される可能性があります。AIの回答をそのまま社外に出すことで、誤情報や著作権上の問題が発生することもあります。つまり、現在の情報漏えい対策では、マルウェア対策だけでなく、ID管理、クラウド共有、外部委託、AI利用まで一体で見る必要があります。
ポイント:情報漏えい対策は、攻撃を防ぐ対策だけでは不十分です。侵入されても被害を広げない、暗号化されても復旧できる、誤共有やAI入力を早く見つける、という考え方が重要です。
バックアップ・多要素認証・端末管理で先に固めたい基本対策
中小企業の情シスが最初に固めたい基本対策は、バックアップです。ランサムウェアに感染すると、業務データや共有フォルダが暗号化され、通常業務を継続できなくなる可能性があります。そのため、重要なファイルサーバー、クラウドストレージ、会計データ、顧客管理データ、業務システムのデータについて、どこにバックアップがあり、どの時点まで戻せるのかを確認します。単にバックアップを取得しているだけでなく、復旧手順を実際に試すことが重要です。バックアップ先が常時接続された共有フォルダだけの場合、攻撃時にバックアップまで暗号化されるおそれがあるため、オフライン保管や別環境への保管も検討します。
次に優先したいのが、多要素認証です。攻撃者は、フィッシングメール、パスワード使い回し、漏えい済み認証情報を使って、VPN、メール、SaaS、リモートデスクトップに侵入しようとします。IDとパスワードだけで重要システムに入れる状態は、現在の脅威に対して弱いと言えます。まずは、管理者アカウント、VPN、Microsoft 365やGoogle Workspace、クラウドストレージ、会計・人事システムなど、社外からアクセスできるサービスに多要素認証を必ず適用します。全社員への一斉展開が難しい場合でも、管理者、経理、人事、役職者、外部公開システムの利用者から優先的に始めると効果が出やすくなります。
端末管理では、OSやアプリの更新、ウイルス対策ソフトの状態、ディスク暗号化、ローカル管理者権限、紛失時の対応を確認します。たとえば、退職者のPCが初期化されずに放置されている、古いWindows端末が業務ネットワークに接続されている、従業員がローカル管理者権限で自由にソフトをインストールできる、といった状態はリスクになります。Microsoft Intune、Jamf、MDM、EDRなどの専用ツールをすぐに導入できない場合でも、端末台帳を整備し、未更新端末や持ち出し端末を把握するだけで対策の第一歩になります。
| 基本対策 | 先に確認すること | 実務での進め方 |
|---|---|---|
| バックアップ | 取得対象、保存場所、世代数、復旧時間 | 重要データから復旧テストを実施する |
| 多要素認証 | 管理者、VPN、メール、主要SaaSの適用状況 | 管理者と社外アクセスから優先導入する |
| 端末管理 | OS更新、暗号化、管理者権限、紛失時対応 | 端末台帳を整備し、未更新端末を減らす |
生成AI利用と外部共有で起きやすい漏えいパターン
生成AI利用で起きやすい漏えいパターンは、社員が悪意なく業務情報を入力してしまうケースです。たとえば、顧客からの問い合わせメールをそのままAIに要約させる、会議の文字起こしを外部AIサービスに貼り付ける、契約書全文を入力してリスクを確認する、障害ログを貼って原因を聞く、といった使い方です。これらには、氏名、メールアドレス、会社名、契約条件、システム構成、IPアドレス、エラー内容などが含まれることがあります。入力した情報がどのように保存されるか、学習に使われるか、管理者が削除できるかを確認せずに使うと、会社として情報の所在を説明できなくなります。
外部共有では、クラウドストレージやチャットツールの設定ミスが原因になりやすくなります。よくある例は、「リンクを知っている全員が閲覧可」になった資料、期限なしの共有リンク、退職者や委託先のゲストアカウント、不要になったプロジェクトフォルダ、外部アプリとの連携許可です。特に、営業資料、人事資料、見積書、顧客一覧、障害報告書などは、共有範囲の設定を誤ると影響が大きくなります。情シス部門は、外部共有そのものを禁止するのではなく、共有してよいデータ、承認が必要なデータ、期限を設定すべきデータを区分することが重要です。
生成AIと外部共有の共通点は、便利さが先に立ち、管理が後回しになりやすいことです。そのため、利用ルールは「入力禁止」「外部共有禁止」だけでは現場に定着しません。たとえば、公開情報や一般的な文章の要約は利用可、個人情報や未公開情報は入力禁止、社内限定資料は会社が承認したAIツールのみ可、社外共有は期限付きリンクと承認者確認を必須にする、といった具体的な判断基準が必要です。加えて、判断に迷う場合の相談先を明記しておくと、現場は無理に自己判断しなくなります。
注意:生成AIに入力する情報や外部共有するファイルは、送信後に完全に取り戻せない場合があります。迷う情報は入力しない、共有しない、事前に確認するというルールを徹底しましょう。
限られた人数でも進めやすい優先順位の付け方
中小企業の情シスでは、限られた人数で多くの業務を抱えるため、セキュリティ対策の優先順位付けが欠かせません。最初に見るべきは、事業停止につながるデータやシステムです。たとえば、受発注、請求、会計、給与、顧客管理、製造管理、予約管理などが止まると、売上や信用に直結します。これらに対して、バックアップがあるか、復旧できるか、管理者アカウントに多要素認証があるか、退職者アカウントが残っていないかを確認します。全社一律に進めるよりも、重要業務から順に固めるほうが現実的です。
次に、外部からアクセスできる入口を優先します。VPN、リモートデスクトップ、メール、クラウドストレージ、SaaS管理画面、公開Webサーバー、委託先接続などは、攻撃者に狙われやすい領域です。ここでは、パスワードだけでログインできないか、不要なアカウントがないか、管理者権限が多すぎないか、ログイン通知や監査ログを確認できるかを点検します。特に管理者権限は、数が少ないほど管理しやすく、侵害時の影響も抑えやすくなります。
さらに、社員が日常的に使う業務フローにも優先順位を付けます。メール添付、ファイル共有、AI利用、USBメモリ、個人端末、チャットでの情報送信などは、毎日の業務で発生するため、ルールが曖昧だと事故が起きやすくなります。まずは「顧客情報を含むファイルは期限付きリンクで共有する」「個人情報は承認済みAIツールにも入力しない」「社外送信前に宛先と添付ファイルを確認する」といった、短く守りやすいルールから始めます。細かい規程を作る前に、事故が起きやすい行動を具体的に減らすことが大切です。
| 優先度 | 対象 | 最初に行うこと |
|---|---|---|
| 高 | 基幹システム、顧客情報、会計・給与データ | バックアップ確認、MFA、管理者権限の見直し |
| 中 | クラウドストレージ、SaaS、外部共有 | 共有リンク、ゲスト、退職者アカウントの棚卸し |
| 継続 | メール、生成AI、日常的なファイル送信 | 利用ルール、教育、相談窓口の整備 |
事故を前提にした初動対応と社内ルール整備の進め方
情報漏えい対策では、事故を完全に防ぐことだけを前提にせず、発生したときに早く気づき、被害を広げず、関係者へ適切に報告する準備が必要です。ランサムウェア感染が疑われる場合、最初の対応は端末の電源をむやみに切ることではなく、ネットワークから切り離し、状況を記録し、関係者へ連絡することです。感染端末、表示されたメッセージ、発見時刻、影響を受けた共有フォルダ、直前の操作、外部接続の有無を記録しておくと、後の調査に役立ちます。情シス担当者が一人で抱え込まず、経営層、法務、総務、取引先窓口、外部専門家に連絡できる体制を事前に決めておきます。
社内ルールでは、ランサムウェア、情報漏えい、誤送信、AIへの誤入力、クラウド共有ミスを想定した報告フローを明文化します。たとえば、社員が不審メールを開いた、誤って顧客情報を外部AIに入力した、共有リンクを社外に送ってしまった、紛失したPCに顧客データが入っていた、という場合に、誰へ何分以内に連絡するのかを決めます。早期報告を促すためには、報告した社員を責める雰囲気を作らないことも重要です。隠したり遅れたりするほど被害が広がるため、「迷ったらすぐ報告」を基本ルールにします。
また、初動対応は文書化するだけでなく、定期的に訓練する必要があります。年1回でもよいので、不審メールを開いたケース、ランサムウェア画面が表示されたケース、外部共有ミスが発覚したケースなどを想定し、連絡先、判断者、停止するサービス、バックアップ復旧、社外連絡の流れを確認します。実際に訓練すると、緊急連絡先が古い、管理者パスワードの保管場所が不明、バックアップの復旧手順が担当者依存になっている、といった課題が見つかります。これらを一つずつ直すことが、現実的なセキュリティ強化につながります。
初動対応で決めておきたい項目
- 不審な挙動や誤共有を見つけたときの報告先
- 端末隔離、アカウント停止、パスワード変更の判断者
- バックアップから復旧する対象と優先順位
- 取引先、顧客、委託先、関係機関への連絡基準
- 事故後にログ、設定、社内ルールを見直す手順
今後、ランサムウェア対策とAI利用管理は、別々のテーマではなく、情報をどこで扱い、誰がアクセスし、事故時にどう復旧するかという共通の管理課題になります。中小企業の情シス部門は、まず重要データのバックアップ、多要素認証、端末台帳、クラウド共有の棚卸し、生成AI利用ルール、初動対応手順から着手するとよいでしょう。小さくても実行できる対策を積み重ねることで、攻撃やミスが起きたときの被害を抑え、事業を止めない情報漏えい対策に近づけます。
セキュリティ・管理のまず読むまとめ
このカテゴリを読むなら、まずこのまとめ記事から入るのがおすすめです。
コメント