中小企業では、専任の情報システム担当者やセキュリティ担当者がいないことも珍しくありません。
総務担当者がパソコン管理も見る。
経理担当者がクラウド会計と請求書メールの確認もする。
代表者がMicrosoft 365やGoogle Workspaceの管理者を兼ねる。
パソコンに詳しい社員が、なんとなく社内のIT相談を受けている。
このような会社では、セキュリティ対策が**「詳しい人」「気づいた人」「前から担当している人」**に集中しがちです。
しかし、情報セキュリティは一人で背負い切れるものではありません。
経済産業省の「サイバーセキュリティ経営ガイドライン Ver 3.0」では、経営者がサイバーセキュリティを組織のリスクマネジメントとして捉え、実施方針、予算、人材の割当、実施状況の確認、問題把握と対応を通じてリーダーシップを発揮することが求められています。また、自組織だけでの対応が困難な取り組みについては、外部委託による実施も検討するとされています。
つまり、セキュリティ対策は「担当者に任せる仕事」ではなく、経営者が方針を決め、社内で役割を分け、必要に応じて外部支援を使いながら継続する仕事です。
この記事では、専任担当者がいない中小企業でも実践しやすい、セキュリティの役割分担と月次確認の進め方を整理します。
「詳しい人に任せる」だけでは続かない
中小企業でよくあるのが、次のような状態です。
- パソコンに詳しい社員だけが社内ITを見ている
- その人が休むと、パスワード変更やアカウント追加ができない
- セキュリティ対策の優先順位を担当者だけで決めている
- 経営者がリスクや費用対効果を把握していない
- ITベンダーに任せているが、自社として何を管理すべきか分からない
- 退職者アカウント、バックアップ、クラウド設定の確認が属人的になっている
- インシデント発生時に、誰が判断し、誰に連絡するか決まっていない
この状態では、担当者に悪意や怠慢がなくても、対応が止まります。
たとえば、担当者が不在のときに不審メールが届く。
退職者アカウントの削除が漏れる。
クラウドの共有設定が変更されたままになる。
バックアップエラーに誰も気づかない。
取引先からセキュリティチェックシートが届いても回答できない。
このような問題は、技術力だけでは解決できません。
必要なのは、役割分担と確認の仕組みです。
IPAの「中小企業の情報セキュリティ対策ガイドライン」は、経営者が認識し実施すべき指針と、社内で対策を実践する際の手順・手法をまとめたもので、個人事業主や小規模事業者を含む中小企業の利用を想定しています。第4.0版では、人材確保・育成を支援する付録も追加されています。
1. 経営者の役割:技術作業ではなく、判断と優先順位を担う
経営者が、ルーター設定やウイルス対策ソフトの細かい設定まで行う必要はありません。
しかし、次の判断は経営者の役割です。
- どの情報を優先して守るか
- どの業務を止めてはいけないか
- どのリスクを先に減らすか
- どこまで費用をかけるか
- 誰を責任者・担当者にするか
- 外部支援を使うか
- インシデント発生時に、顧客・取引先へどう説明するか
セキュリティ担当者ができるのは、情報を集め、選択肢を整理し、改善案を出すことです。
最終的に、費用、業務影響、取引先対応、信用低下のリスクを踏まえて判断するのは経営者です。
経済産業省のガイドラインでも、経営者はCISO等への指示を通じて重要項目を実施させるだけでなく、自らの役割として方針、資源配分、実施状況の確認などを行うことが求められています。
中小企業では、CISOという役職を置くのが難しい場合もあります。
その場合でも、経営者が次の3つを明確にするだけで、現場は動きやすくなります。
誰が担当するか。
どこまで権限を持たせるか。
判断が必要なときは誰に上げるか。
2. 兼任セキュリティ担当者の役割:全部を背負わず、確認と橋渡しを担う
兼任担当者は、セキュリティのすべてを一人で解決する必要はありません。
むしろ、役割を広げすぎると続きません。
兼任担当者の役割は、次のように整理すると現実的です。
- セキュリティに関する社内の相談窓口になる
- 月次確認の進行役になる
- アカウント、端末、クラウド、バックアップの確認状況を記録する
- 従業員からの不審メールや紛失報告を受ける
- ITベンダーや外部専門家へ確認事項を伝える
- 経営者へ判断が必要な事項を報告する
- 社内ルールやチェックリストを更新する
ここで重要なのは、兼任担当者を「最終責任者」にしないことです。
たとえば、クラウドストレージの共有ルールを決めるには、営業、総務、経理、現場の業務を理解する必要があります。バックアップの保存期間を決めるには、会計、契約、顧客対応、業務継続の観点が必要です。
兼任担当者は、現場と経営者、ITベンダー、外部専門家をつなぐ橋渡し役として位置づけましょう。
3. 総務・経理・営業・現場にも役割を分ける
セキュリティは、IT担当者だけで完結しません。
たとえば、総務、経理、営業、現場には、それぞれ次のような関係があります。
| 部門・役割 | 担当しやすい確認項目 |
|---|---|
| 経営者 | 方針、優先順位、予算、外部支援、顧客説明の判断 |
| 総務 | 入退社、端末台帳、社内ルール、教育、誓約書、連絡先管理 |
| 経理 | 請求書メール、振込承認、オンラインバンキング、会計データ、支払ルール |
| 営業 | 顧客情報、見積書、外出先端末、クラウド共有、名刺・写真管理 |
| 現場担当 | 業務写真、タブレット、共有端末、USB、協力会社との情報共有 |
| 兼任セキュリティ担当 | 月次確認、記録、ITベンダーへの確認、経営者への報告 |
| ITベンダー・保守会社 | 技術設定、機器保守、ログ確認、更新、障害対応 |
| 外部専門家 | リスク整理、優先順位付け、ルール化、教育、机上演習、改善支援 |
このように分けると、担当者一人がすべてを抱え込む必要がなくなります。
特に、経理の振込承認、営業の顧客情報共有、総務の退職者対応、現場の写真保存は、IT設定だけでなく業務ルールの問題です。
それぞれの業務を知っている人が関わらないと、実際に使えるルールになりません。
4. ITベンダーに任せることと、自社で決めることを分ける
中小企業では、ITベンダーや保守会社に多くを任せているケースがあります。
これは悪いことではありません。
ただし、任せる範囲を明確にする必要があります。
ITベンダーに任せやすいことは、次のような技術的な作業です。
- パソコンやサーバーの設定
- ルーター、Wi-Fi、VPNの設定
- Microsoft 365やGoogle Workspaceの管理設定
- バックアップソフトやNASの設定
- ウイルス対策ソフトやEDRの導入
- 障害時の技術調査
- ログ確認やアラート調査
一方で、自社で決めるべきこともあります。
- どの情報を重要情報とするか
- 誰にどのフォルダを見せるか
- 退職者アカウントをいつ止めるか
- 請求書メールの確認手順をどうするか
- 顧客へどのタイミングで説明するか
- どの業務を優先して復旧するか
- 外部委託先へどこまで情報を渡すか
ITベンダーは技術設定を支援できますが、会社の業務上の判断をすべて代わりに決めることはできません。
「任せているから大丈夫」ではなく、
“技術設定はベンダー、業務判断は自社、リスク整理は必要に応じて専門家”
と分けて考えることが大切です。
中小企業庁も、中小企業の情報セキュリティ対策水準を高めるには、意識向上に加えて、身近に相談できる専門家とのつながりや、専門家の指導を通じた具体的対策の実践が必要と説明しています。
5. 外部支援は「丸投げ」ではなく「壁打ち」として使う
外部専門家を使う目的は、すべてを丸投げすることではありません。
中小企業で効果が出やすい外部支援の使い方は、次のようなものです。
- 現状のセキュリティ対策を第三者目線で確認する
- 取引先チェックシートへの回答方針を整理する
- SECURITY ACTIONやSCS評価制度に向けて不足点を確認する
- 社内ルールや情報セキュリティ基本方針を整える
- インシデント発生時の初動対応を机上演習する
- ITベンダーに確認すべき質問を整理する
- 重要リスクと後回しでよい対策を分ける
IPAのセキュリティプレゼンター制度は、IPAのセキュリティ対策資料等を活用して中小企業等に普及啓発を行う人材を登録する制度で、活動例としてセミナー・講演、対策資料に基づく助言、資料配布による普及啓発が示されています。
また、IPAの「サイバーセキュリティお助け隊サービス」は、中小企業に対するサイバー攻撃への対処として不可欠なサービスをワンパッケージにまとめた民間サービスとして説明されています。
自社の規模、業種、扱う情報、予算に応じて、ITベンダー、保守会社、情報処理安全確保支援士、セキュリティプレゼンター、お助け隊サービスなどを組み合わせて使うとよいでしょう。
6. 月30分の「セキュリティ確認会」を作る
セキュリティ対策を続けるには、定例化が有効です。
おすすめは、月1回、30分のセキュリティ確認会です。
大げさな会議にする必要はありません。
経営者または管理者、兼任担当者、総務・経理など関係者が集まり、次の項目を確認します。
| 確認項目 | 内容 |
|---|---|
| 入退社・異動 | 退職者アカウント削除、権限変更、端末返却 |
| アカウント | 管理者権限、共有アカウント、多要素認証 |
| 端末 | 紛失、故障、古いPC、私物端末利用 |
| クラウド | 共有リンク、外部共有、不要なユーザー |
| バックアップ | エラー有無、復元確認、保存先 |
| メール | 不審メール、誤送信、請求書確認 |
| 教育 | 従業員への注意喚起、最近のヒヤリハット |
| 外部委託 | ITベンダー・保守会社への確認事項 |
| 未対応事項 | 前回から残っている宿題 |
| 経営判断 | 費用、ルール変更、外部支援の要否 |
IPAの「5分でできる!情報セキュリティ自社診断」は、25個の診断項目に答えることで自社の情報セキュリティ対策状況を把握できるツールです。診断項目には、脆弱性対策、パスワード管理、情報収集、電子メール、無線LAN、バックアップ、取引先管理、従業員教育、外部サービス利用、事故への備え、ルール整備などが含まれます。
月次確認では、このような公的チェックリストを参考にしつつ、毎月少しずつ確認すれば十分です。
大切なのは、完璧な会議をすることではありません。
決めたこと、残った課題、次に確認する人を記録することです。
7. 月次確認の記録は「一枚」でよい
月次確認の記録は、複雑な報告書にする必要はありません。
まずは、次のような一枚の表で十分です。
| 日付 | 確認項目 | 問題の有無 | 対応内容 | 担当者 | 期限 | 完了確認 |
|---|---|---|---|---|---|---|
| 6/25 | 退職者アカウント | あり | 旧社員のクラウドIDを停止 | 総務 | 6/28 | 未 |
| 6/25 | バックアップ | なし | エラーなし。復元確認は来月実施 | 兼任担当 | 7/25 | 未 |
| 6/25 | 外部共有リンク | あり | 期限切れリンクを削除 | 営業 | 6/30 | 未 |
| 6/25 | 不審メール | あり | 経理宛の請求書メールを社内周知 | 経理 | 6/26 | 済 |
この表の目的は、監査のための書類作りではありません。
目的は、
「言った・言わない」
「誰がやるか分からない」
「確認したつもり」
を減らすことです。
8. 従業員教育も一人で作らない
セキュリティ教育も、兼任担当者が毎回ゼロから資料を作る必要はありません。
IPAは、中小企業で働く方を対象に、1テーマ5分で情報セキュリティを学べる無料の「5分でできる!情報セキュリティポイント学習」を公開しています。同コンテンツには、経営者・管理者向け、従業員向け、自社診断シート25問に対応した学習コースなどがあります。
たとえば、月次確認会の後に、次のような短い周知を行うだけでも効果があります。
- 今月多かった不審メールの例
- 請求書メールを開く前の確認
- 社用スマホ紛失時の連絡先
- クラウド共有リンクの注意点
- 退職者アカウント削除の確認
- QRコードを読み取る前の注意点
- 業務写真の保存先
教育は、年1回の大きな研修だけではなく、月1回の短い注意喚起でも十分意味があります。
現場で実際に起きたヒヤリハットを共有すると、自分ごととして理解されやすくなります。
9. SECURITY ACTIONは「宣言して終わり」にしない
SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。IPAの説明では、取り組み目標に応じて「一つ星」と「二つ星」があり、一つ星は情報セキュリティ6か条への取り組み、二つ星は自社診断の実施と情報セキュリティ基本方針の策定・外部公開が求められます。
二つ星は、「5分でできる!情報セキュリティ自社診断」を実施したうえで、情報セキュリティ基本方針を策定・外部公開し、対策に取り組むことを宣言するものです。
ただし、SECURITY ACTIONは認定や認証ではありません。IPAも、SECURITY ACTIONについて「認定を受けました」「取得しました」といった表現は誤解を招くため避けるよう案内しています。
そのため、宣言後は、次のような運用につなげることが重要です。
- 自社診断を年1回見直す
- 月次確認会で未対応項目を確認する
- 情報セキュリティ基本方針を社内に周知する
- 社内ルールやハンドブックを整える
- 取引先からの確認に答えられるよう記録を残す
- 従業員教育を継続する
- 外部支援を使いながら改善する
SECURITY ACTIONはゴールではなく、社内でセキュリティ対策を続けるための出発点として使いましょう。
10. 担当者不在時の代替者を決めておく
担当者一人に背負わせないためには、代替者を決めることも重要です。
次のような場面を想定してください。
- 兼任担当者が休暇中に不審メールが届いた
- 管理者アカウントを持つ人が退職した
- 経理担当者が不在の日に支払確認が必要になった
- クラウド管理者のスマホが壊れ、多要素認証ができない
- ITベンダーが休業日に障害が起きた
- 代表者と連絡が取れない日に、顧客への説明判断が必要になった
このような場面で、代替者が決まっていないと対応が止まります。
最低限、次の代替者を決めておきましょう。
- アカウント管理の代替者
- 請求書・振込確認の代替者
- クラウド管理者の代替者
- バックアップ確認の代替者
- ITベンダー連絡の代替者
- インシデント時の経営判断代行者
- 顧客・取引先への連絡担当者
代替者を決めるときは、パスワードを共有するのではなく、権限、手順、連絡ルートを整えることが重要です。
11. 役割分担表を作る
最後に、社内で使える簡単な役割分担表を作りましょう。
| 業務 | 主担当 | 代替者 | 経営判断が必要な場面 | 外部確認先 |
|---|---|---|---|---|
| 入退社アカウント管理 | 総務 | 兼任担当 | 管理者権限の付与・削除 | ITベンダー |
| クラウド共有設定 | 兼任担当 | 営業責任者 | 外部共有ルール変更 | クラウド事業者 |
| 請求書メール確認 | 経理 | 代表者 | 高額振込・振込先変更 | 税理士・金融機関 |
| バックアップ確認 | 兼任担当 | 総務 | 復旧手順・費用判断 | 保守会社 |
| 社用スマホ管理 | 総務 | 兼任担当 | 紛失時の顧客説明 | 携帯会社・ITベンダー |
| 不審メール対応 | 受信者・兼任担当 | 総務 | 被害可能性がある場合 | 外部専門家 |
| インシデント初動 | 兼任担当 | 代表者 | 公表・顧客説明・業務停止 | 専門家・警察等 |
| 月次確認会 | 兼任担当 | 総務 | 予算・ルール変更 | 外部支援先 |
この表は、最初から完璧でなくて構いません。
まずは、
誰が見るか。
誰が代わりに動くか。
どこから経営判断に上げるか。
外部の誰に聞くか。
を明確にすることが大切です。
12. 小規模事業者でも始められる「月次確認」例
従業員が少ない会社では、会議体を作るのが難しい場合もあります。
その場合は、毎月25日など日付を決めて、次の5項目だけ確認してもよいでしょう。
- 退職者・異動者のアカウントは残っていないか
- バックアップはエラーなく取れているか
- 不審メール・誤送信・紛失などのヒヤリハットはあったか
- クラウド共有や外部共有リンクに不要なものはないか
- ITベンダーや外部専門家に確認すべきことはあるか
これだけでも、属人化を減らす効果があります。
重要なのは、毎月少しずつ確認することです。
年1回まとめて確認しようとすると、担当者の負担が大きくなり、結局続かなくなります。
役割分担チェックリスト
最後に、中小企業向けの確認項目をまとめます。
- セキュリティ対策の経営責任者を決めている
- 兼任セキュリティ担当者を決めている
- 担当者に責任だけを押し付けず、権限と時間を与えている
- 総務、経理、営業、現場の役割を分けている
- ITベンダーに任せることと、自社で決めることを分けている
- 外部専門家に相談する場面を決めている
- 退職者アカウント、クラウド共有、バックアップを月次で確認している
- 不審メールや紛失などのヒヤリハットを記録している
- 月次確認会の結果を一枚の表で残している
- 担当者不在時の代替者を決めている
- 緊急時の連絡先を紙またはオフラインでも確認できる
- SECURITY ACTIONや自社診断を、宣言後の改善に活用している
- 従業員教育を年1回だけでなく、短い注意喚起として継続している
- 経営判断が必要な事項を担当者だけで抱え込ませていない
- 予算、外部支援、ルール変更を経営者が確認している
すべてを一度に整える必要はありません。
まずは、経営者、兼任担当者、総務・経理、ITベンダーの役割を一枚の表にすることから始めてみましょう。
まとめ
中小企業の情報セキュリティ対策は、専任担当者がいなければできないものではありません。
しかし、担当者一人に背負わせる形では続きません。
大切なのは、次の5点です。
- 経営者が方針、優先順位、予算を判断する
- 兼任担当者は、全部を背負わず、確認と橋渡しを担う
- 総務、経理、営業、現場にも役割を分ける
- ITベンダーや外部専門家を、丸投げではなく相談相手として使う
- 月1回、30分の確認で、属人化を防ぐ
セキュリティ対策は、特別な人だけの仕事ではありません。
会社の情報、顧客、取引先、従業員、事業継続を守るために、会社全体で役割を分けて続けるものです。
ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者を対象に、情報セキュリティの現状診断を行っています。診断では、経営・管理体制、情報資産、アカウント管理、クラウド、バックアップ、従業員教育、インシデント対応体制などを確認し、今すぐ対応すべきこと、3か月以内に整えること、将来に向けて検討することを整理します。
自社のセキュリティ対策が担当者一人に集中している場合は、まずは「誰が何を見るか」「誰が代わりに動けるか」「何を月次で確認するか」を整理するところから始めてみてください。
- 投稿タグ
- SCS評価制度, SECURITY ACTION, セキュリティ担当者, ひとり情シス, 中小企業の情報セキュリティ, 兼任情シス, 外部支援, 役割分担, 情報セキュリティ体制, 情報処理安全確保支援士, 月次確認, 現状診断
