これは、多くの中小企業にとって日常的な現実だ。特に従業員が50〜100名以下の企業では、IT部門すら存在しないケースも珍しくない。だが、“人がいない”ことが“守れない”を意味するわけではない。今、中小企業に必要なのは“技術”でも“人材”でもない。「流れを見える化し、判断できる仕組み」である。本稿では、専任者を雇わずに自社の情報を守るための“現実的な仕組み”を提示し、経営者が意思決定すべき“判断軸”について論理的に解説する。
100名以下の企業に「専任セキュリティ担当」は不要な理由
専任担当を置かずとも、セキュリティは守れる。必要なのは“IT人材”ではなく、“流れ”を見て“判断”するための視点である。
判断軸を「技術」から「人と業務」に変える
セキュリティ事故の約8割は、技術的な脆弱性ではなく人為的なミス、すなわち「確認漏れ」「設定ミス」「削除忘れ」が原因となっている。たとえば、退職者のアカウントが有効のまま残っていたり、誤って社外に添付ファイルを送ってしまったり…。
これらは全て“人と業務の流れ”の中で起きるものであり、高度なIT知識では防げない。
経営者が重視すべきは、「セキュリティツールの有無」ではなく、「誰が、いつ、何をしているか」を把握する視点だ。以下のような問いを投げかけるだけでも、事故の多くは未然に防げる。
- 誰がどのファイルにアクセスできるのか?
- 退職者アカウントはすぐに無効化されているか?
- 社外とのファイル共有に承認プロセスはあるか?
専門家でなくても、こうした問いかけさえできれば、組織は十分に自衛できる体制を築けるのだ。
バイタルで見る「セキュリティの健康診断」
健康診断で使われる“バイタル”――体温・血圧・脈拍などは、病気の兆候を見つけるための「変化の指標」だ。これは企業にも応用できる。
日々の業務で自然に発生する情報の流れ、端末の動き、アカウントの増減。それらを数値で“モニタリング”することができれば、異常の早期発見が可能になる。
つまり、セキュリティ対策とは「守ること」よりも「測ること」… この視点の転換が中小企業の対策の現実解となるのではないか。
| カテゴリ | 項目名 | 測定方法/データ源 | 意味するもの(正常値の目安) |
|---|---|---|---|
| ① 通信・情報の流れ | ①-1 メール送受信件数 | Microsoft 365/Google Workspaceのレポート機能 | 日次平均±30%以上の変動は注意。突然減少=停止、増加=情報拡散の兆候。 |
| ①-2 添付ファイル送信数 | 同上。添付ありメールの割合を抽出。 | 社外宛て添付率が20%超なら、共有方法の見直し要。 | |
| ①-3 ファイル共有回数 | OneDrive/Dropbox/共有サーバーのアクセスログ | 「誰が誰に共有したか」が可視化できているか。急増は外部共有リスク。 | |
| ② システム稼働・更新リズム | ②-1 OS/ソフト更新実施率 | WSUS・MDM/自動更新レポート | 95%以上が最新であれば良好。未更新端末の放置があれば注意。 |
| ②-2 端末稼働時間/夜間稼働率 | PCログオン・ログオフログ(Windowsイベントログなど) | 夜間(20〜翌6時)稼働率が10%超なら、不正利用や設定ミスの可能性。 | |
| ②-3 バックアップ成功率 | NAS/クラウドバックアップレポート | 成功率99%以上が目標。前回成功から7日以上空くと要注意。 | |
| ③ アカウント管理 | ③-1 有効アカウント数/在籍者数比率 | Active Directory/Google Workspaceなどの管理画面 | 比率が1.0を超えていれば“退職者アカウント放置”。即対応対象。 |
| ③-2 権限変更・新規付与件数 | 月次ログ | 権限変更がゼロの月は逆に危険。変化がなさすぎ=放置。 | |
| ④ データ運用 | ④-1 ファイル容量の増加率 | サーバー容量/クラウドストレージ統計 | 月間10%以上の増加が続くと、整理不足・無駄データ蓄積リスク。 |
| ④-2 外部送信データ容量 | メール+クラウド共有の送信総容量 | 通常平均の1.5倍を超えると大量送信や情報漏えいリスクを疑う。 | |
| ⑤ 人・意識・運用 | ⑤-1 パスワード再設定率 | 管理者がリマインド→実施率をカウント | 年1回以上の再設定実施率80%以上が目安。 |
| ⑤-2 セキュリティ研修参加率 | 簡易eラーニング・社内アンケート | 70%未満は啓発不足のサイン。 | |
| ⑤-3 インシデント報告件数 | 報告フォーム/口頭報告集計 | 「ゼロ件」は必ずしも良くない。小さな報告がある方が健全。 |
経営者のための「セキュリティ・ダッシュボード」
経営者がセキュリティ状態を把握するために、専門用語や難解なレポートは不要である。
必要なのは「赤・黄・緑」で示された直感的なダッシュボードと、15分で全体把握できる設計だ。
経営者ダッシュボード(例)
| カテゴリ | 現状 | 判断 | コメント |
|---|---|---|---|
| 情報の流れ | 🟢 安定(メール添付率15%以下) | 正常 | 共有ルールが定着。 |
| 更新リズム | 🟡 未更新端末5台 | 要改善 | 次回点検で更新予定。 |
| アカウント管理 | 🔴 有効アカウント数 > 在籍者数 | 要対応 | 退職者IDを削除。 |
| データ運用 | 🟢 容量増加3%/月 | 正常 | 定期削除ルール有効。 |
| 人の意識 | 🟡 パスワード再設定率60% | 改善中 | 再周知を計画。 |
ダッシュボード運用のポイント
- 更新は月1回、15分で十分。
- 信号色🟢🟡🔴で直感判断。
- 目的は改善ではなく“気づき”。
「完璧に守る」のではなく、「異常に気づく」ことがセキュリティの目的である。
日々の運用に取り込める形で、経営者自らがセキュリティの“責任者”になる構造が望ましい。
まとめ|“雇わず守る”という中小企業の現実解
中小企業にとって、セキュリティとは“人材確保”の問題ではない。実際に守るべきは、難解なシステムや専門技術ではなく、「情報の流れ」と「変化の兆候」である。
経営者が見るべきはファイアウォールではなく、ファイル共有やアカウントの変動といった“日々の動き”であり、それを測るための仕組みこそが必要だ。
この視点を持てば、専任担当者を雇わなくても、十分なリスク管理は可能になる。加えて、IT顧問やSOCサービスといった外部パートナーの活用も、現実的かつ効果的な選択肢となる。『IT顧問のススメ』でも言及しているが、「導入するツール」よりも「なぜ導入するのか」が、最も重要な判断軸となる。
“雇わず守る”を実現するための3つの鉄則を改めて提示したい。
- 技術よりも、業務と人の流れを可視化せよ。
- 専門知識より、数値とダッシュボードで判断せよ。
- 人材よりも、外部パートナーやIT顧問を活用せよ。
“雇うより測る”という発想こそ、これからの中小企業におけるサイバーリスク対策の基本となる。
本稿が、現実的かつ持続可能なセキュリティ運用の第一歩となれば幸いである。
最後までお付き合いいただきありがとうございます。
また、お会いしましょ。
