セキュリティ対策の基本のき - 定期健康診断モデル -

Transcript

1. © SilverworX Japan 2025 2025年10月10日 原子 拓（はらこ たく） ©︎ harako.org

   2023 セキュリティ対策の基本のき - 定期健康診断モデル -

2. © SilverworX Japan 2025 はじめに 30年間ほどセキュリティと向き合ってきましたが、日々セキュリティインシ デントのニュースは増えるばかり。それに対し、CSIRTを推進することで、イン シデント対応を上手にやることに取り組んできましたが、セキュリティ部門、人 にお任せになっている、多くの企業はCSIRTなんて作れない現状があります。 また、サプライチェーンでの抜本的なセキュリティ対策が進まない中、経済安全

   保障やガイドラインの引き締めなど、現実的なセキュリティ対策が急務になって おります。今回は、サイバーなお話はおいておいて、情報セキュリティマネジメ ントの基本に立ち返えることが重要で、そこにはやれることがまだあるとお伝え するものです。みなさまの日々の取り組みのヒントになればと思います。 なお、本セミナーの対象は中小企業から大企業までです。さらに小さな企業はまた違う取り組み が必要です。こちらは大阪商工会議所モデルが参考になります。こちらについては、また次回機 会がありましたらご紹介させていただきます。 2025年10月10日 原子 拓 万が一サイバー犯罪被害に遭った際は速やかに最寄りの警察署または静岡県警察サイ バー対策本部（054-271-0110）に相談しましょう！

3. © SilverworX Japan 2025 はじめに 本セミナー資料に登場する挿絵は、より身近にセキュリティを感じてもらうために、はらたくお じさんのセキュリティ日記シリーズ「セキュリティ対策の基本のき」（ISBN-13:979-8264087981） のキャラクター達に登場いただいております。中小企業を舞台にしたセキュリティのお話です。 Copyright by

   HaratakuOjisan Project 2025

4. © SilverworX Japan 2025 Agenda 自己紹介 Part1 セキュリティの現状認識 - 世の中の動向と中小の現実

   Part2 セキュリティ対策の基本のき - IPA 10大脅威を読み解く Part3 現実的な解決策 - 定期健康診断モデル Part4 事例 まとめ

5. © SilverworX Japan 2025 Agenda 自己紹介 Part1 セキュリティの現状認識 - 世の中の動向と中小の現実

   Part2 セキュリティ対策の基本のき - IPA 10大脅威を読み解く Part3 現実的な解決策 - 定期健康診断モデル Part4 事例 まとめ

6. © SilverworX Japan 2025 ▪自己紹介 6 原子 拓 ＝ 情シス系のセキュリティ兼業農家

   はらこ たく 職務概要：ネットワークの研究員から、いわゆる情シス部員を経て、 今は情報セキュリティ分野におります。最近は物書き。 略歴：静岡県浜松市生まれ、浜松育ち、関東ハイブリッド ・日立製作所システム開発研究所でネットワークの研究員 ・ヤマハ発動機にてIT・DX戦略 26年 ・元日本シーサート協議会運営委員 ・ラックにてエバンジェリスト、IoT技術研究所長、 東京五輪対応（NCAの法人化、交通ISAC立ち上げ） ・西友にて情報セキュリティ責任者、起業 ・楽天グループにてセキュリティアドバイザー その他活動： ・農家、浜松市消防団、浜松市環境学習指導員 ・日本シーサート協議会、Kyusec実行委員 ・IPAセキュリティ10大脅威選考委員など ・JAWS-UG磐田、kintone café 浜松設立など 資格： SIM3 auditor 著書： セキュリティ対策の「基本のき」、はらたくおじさんのAI日記、 スタートレックから学ぶシリーズなど 原子拓 Topics 2016年からセキュリティ専業 本筋は情シスです。 2024年から本書いています。

7. © SilverworX Japan 2025 ▪自己紹介：啓発活動 九州サイバーセキュリティシンポジュウム（Kyusec） 実行委員とか ※５大温泉シンポジュウム ・越後湯沢 ・道後

   ・白浜 ・熱海 ・九州 セッションの様子 出典：Kyusec 2026年3月18日～19日開催！

8. © SilverworX Japan 2025 ▪自己紹介：啓発活動 日本シーサート協議会の会員です。一応、SIM3の監査をすることができます。 ※約500社・組織が加盟 出典：NCA

9. © SilverworX Japan 2025 ▪自己紹介：啓発活動 IPAの「情報セキュリティ10大脅威」の選考委員 出典：IPA

10. © SilverworX Japan 2025 ▪自己紹介：啓発活動 講演活動 １. ITmediaエグゼクティブ主催セミナーイベント名：「2024年を勝ち抜く企業IT戦略」 開催日：2025年1月29日 セッションタイトル：「情報セキュリティ白書や10大脅威から見えてくる基本の大切さ」

    ２. Security Management Conference Winter 2023（ビジネス＋IT主催） 開催日：2024年11月25日 基調講演タイトル：「生成AI時代の情報セキュリティマネジメントと人材育成」 ３. セキュリティマネジメントSummit 2023（日経BP主催） 開催日：2023年8月18日 登壇テーマ：「生成AI時代の情報セキュリティマネジメントと人材育成」 など。

11. © SilverworX Japan 2025 ▪自己紹介：啓発活動 著書 １. ビジネス書：「スタートレックから学ぶ」シリーズ ・スタートレックからリーダーシップ、リスクマネジメント、コミュニケーションなどを学ぶ本 ２.

    ビジネス書：「はらたくおじさんのAI日記」シリーズ ・AIの活用方法をシーンごとに優しくレクチャーした本 ３. ビジネス書：「はらたくおじさんのセキュリティ日記」シリーズ ・セキュリティ対策の基本のきについて優しくレクチャーした本 など。

12. © SilverworX Japan 2025 ▪自己紹介：啓発活動 コミュニティ JAWS-UG磐田、kintone Café 浜松 設立

    本来は、IT屋さん、ITで楽したいですよね。

13. © SilverworX Japan 2025 ▪自己紹介：余談 日立研究所時代は、同じ部には若き頃の、佐々木良一先生。 最終的にはみなさんセキュリティやってます。 経歴: 日立製作所での研究開発を 経て、2001年より東京電機大学工

    学部教授に就任。現在は同大学名 誉教授

14. © SilverworX Japan 2025 Agenda 自己紹介 Part1 セキュリティの現状認識 - 世の中の動向と中小の現実

    Part2 セキュリティ対策の基本のき - IPA 10大脅威を読み解く Part3 現実的な解決策 - 定期健康診断モデル Part4 事例 まとめ

15. © SilverworX Japan 2025 3. ニュースに毎日出るセキュリティ事故 事故は日常的に起きており、他人事ではない。 国内でもランサム被害が急増。IPA「10大脅威 2025」では組織編1位にランサム攻撃。被害は大企 業だけでなく中小企業にも広がっています。

    2024年上半期で国内でランサムウェア被害が 114件 確認。被 害企業・団体が確認された件数として公開中。 （警視庁） 2024年6月、BlackSuit ランサムウェア攻撃により角川グループ・ ニコニコ動画が被害。約25万人以上のユーザーデータが漏洩の可 能性が報じられました。サービス停止など影響も大きかった。（角川 グループ） 中小企業のランサムウェア被害、被害の入り口としてVPN／リモート デスクトップ経由のものが8割以上。 （日本プライバシー） 出典：情報処理推進機構、警察庁「サイバー空間をめぐる脅威の情勢等について（2024年）」、日本プライバシー認証機構の報告、角川グループ

16. © SilverworX Japan 2025 4.取引先からの要求 セキュリティは取引継続の“条件”。 「サプライチェーン強化に向けたセキュリティ対 策評価制度」（経産省） 発注企業が取引先にセキュリティ対策を提示し 実施状況を確認する制度が検討中。取引条

    件としてセキュリティが問われる流れ。 出典：経済産業省

17. © SilverworX Japan 2025 5.いざという時のCSIRT 大企業型のCSIRTを中小にそのまま当て込むのは非現実的。 規模の大きな企業ではCSIRT体制を持つところが多 いが、中小企業では“人手・予算不足”が調査で繰り 返し指摘されており、実際にはCSIRT設置が難しいと いう声が多数。

    例えば IPA の中小企業調査で「対応困難」とする回 答多数。（IPA） 実際には一人情シスな現状では、既に一人CSIRTな わけでインシデント対応をしていないこととは違う。チー ムを作る”人手・予算不足”なだけ。 出典：情報処理推進機構

18. © SilverworX Japan 2025 6.中小企業の本音 現実的な方法が求められている。 IPA「2024年度中小企業等実態調査」： 中小企業でサイバーインシデントを経験した企業の 被害平均は約 73万円、

    復旧まで平均 5.8日。 期間や被害が大きくなるケースもあり、多くの中小企 業は「人も予算も足りない」「一人情シスで限界」と の声を挙げており、「できる範囲で最大の効果を出 す」現実的な方法が強く求められています。 出典：情報処理推進機構

19. © SilverworX Japan 2025 Agenda 自己紹介 Part1 セキュリティの現状認識 - 世の中の動向と中小の現実

    Part2 セキュリティ対策の基本のき - IPA 10大脅威を読み解く Part3 現実的な解決策 - 定期健康診断モデル Part4 事例 まとめ

20. © SilverworX Japan 2025 Part2 課題の本質 IPA 10大脅威を読み解く 出典：情報処理推進機構 2025年

    組織編：10大脅威 順位 脅威名称 1 ランサム攻撃による被害 2 サプライチェーンや委託先を狙った攻撃 3 システムの脆弱性を突いた攻撃 4 内部不正による情報漏えい等 5 機密情報等を狙った標的型攻撃 6 リモートワーク等の環境や仕組みを狙った攻撃 7 地政学的リスクに起因するサイバー攻撃 8 分散型サービス妨害攻撃（DDoS攻撃） 9 ビジネスメール詐欺 10 不注意による情報漏えい等

21. © SilverworX Japan 2025 7.なぜ事故は無くならないのか 完璧は無理でも、優先順位をつければ守れる。 IPA「情報セキュリティ10大脅威2025」では「システ ムの脆弱性を突いた攻撃」「サプライチェーンを狙った 攻撃」が上位に挙げられています。新しい脆弱性は 毎日公開され、古い機器や退職者アカウントはしば

    しば放置されます。完璧な対応は不可能であり、「ど こから優先して守るか」を決めることこそが事故を防ぐ 第一歩であると警鐘を鳴らしています。 出典：情報処理推進機構

22. © SilverworX Japan 2025 8. 10大脅威を整理すると 毎年共通原因は脆弱性対応不足。 IPAの10大脅威2025では、「システ ムの脆弱性を突いた攻撃」「サプライ チェーンを狙った攻撃」が上位。脆弱

    性未対応が被害の原因となっている。 2025年 組織編：10大脅威 順位 脅威名称 コメント／脆弱性との関係 1 ランサム攻撃による被害 暗号化などの手口で被害を引き起こす。脆弱性（ソフトや構 成不備）が足がかりになるケースが多い。 2 サプライチェーンや委託先を狙った 攻撃 下請け・委託先を経由して脆弱性を突くケース。間接的な脆 弱性が使われうる。 3 システムの脆弱性を突いた攻撃 まさに脆弱性そのものを狙った攻撃。根本原因そのもの。 4 内部不正による情報漏えい等 内部者の悪用。必ずしも脆弱性起因とは言えないが、アクセス 制御などの “設定上の弱さ” とリンク。 5 機密情報等を狙った標的型攻撃 特定組織を狙う。標的先の脆弱性を調査・悪用して侵入す るケースが多い。 6 リモートワーク等の環境や仕組み を狙った攻撃 在宅環境、VPN／リモート接続の設定ミス・脆弱性を狙う。 7 地政学的リスクに起因するサイバー 攻撃 国家レベル・政治的背景の攻撃。必ずしも脆弱性が原因とは 限らない。 8 分散型サービス妨害攻撃（DDoS 攻撃） サービス停止を狙う攻撃。脆弱性ではなく帯域やキャパシティを 消費させる手法。 9 ビジネスメール詐欺 詐欺やなりすまし。脆弱性寄与は限定的だが、電子メールシ ステムの設定弱点や認証漏れと関係することも。 10 不注意による情報漏えい等 ヒューマンエラー中心。脆弱性というより運用・教育の問題が大 きい。 出典：情報処理推進機構

23. © SilverworX Japan 2025 9.資産管理の理想と現実 今の状態を見える化するのが一番現実的。 理想は「資産台帳で全てを管理し、常に最新化」で すが、現実は違います。IPAの調査では「退職者アカ ウントが残っている」「机の下に古いPCがつながってい る」「古いVPN装置が放置されている」事例が多数

    報告されています。資産を常に正確に把握するのは 難しく、だからこそ“健康診断”のように定期的に現状 を見える化するのが現実的なのです。 出典：情報処理推進機構

24. © SilverworX Japan 2025 10.一人情シスの現実 全部は無理、病んでるところを優先に。 IPA調査では、中小企業のセキュリティ担当は“1人 だけ”というケースが多数。業務の合間にセキュリティ まで背負いきれず、時間も権限も不足している現実 が浮き彫りになっています。だからこそ「全部やる」ので

    はなく、効率的に守る仕組みが必要なのです。 出典：情報処理推進機構

25. © SilverworX Japan 2025 Agenda 自己紹介 Part1 セキュリティの現状認識 - 世の中の動向と中小の現実

    Part2 セキュリティ対策の基本のき - IPA 10大脅威を読み解く Part3 現実的な解決策 - 定期健康診断モデル Part4 事例 まとめ

26. © SilverworX Japan 2025 11.セキュリティは事業そのものの責任 セキュリティは事業責任。 IPA「サイバーセキュリティ経営ガイドライン」では、経 営者自らがリーダーシップを発揮し、現場・情シスと 協力して対策を進めることが求められています。セ キュリティは情シスに丸投げするものではなく、事業そ

    のものの責任と位置づけられています。 実際、経営者の理解無くしてセキュリティ対策はすす みません。 出典：情報処理推進機構

27. © SilverworX Japan 2025 12.定期健康診断モデルとは まず診断で見える化。これが基本のき。 IPA「10大脅威2025」では、フィッシングや脆弱性 未対応といった“見えないリスク”が上位に挙げられて います。これを放置すれば深刻な被害に直結しま す。定期健康診断と同じように「まず診断で見える

    化」し、そして「定期的に繰り返す」ことが、現実的で 効果的なセキュリティ対策の出発点となります。 出典：情報処理推進機構、はらたくおじさんのセキュリティ日記

28. © SilverworX Japan 2025 12.定期健康診断モデルとは まず診断で見える化。これが基本のき。 定期健康診断と同じように「まず診断で見える化」し、 そして治療は、捨てる、移す、残したら見守るです。 出典：はらたくおじさんのセキュリティ日記

29. © SilverworX Japan 2025 13.ステップ1：不要な資産を廃止 いらないものは即削除。 国内外の不正アクセス事例では、放置された古い VPN装置や退職者アカウントが攻撃の入口になった ケースが数多く報告されています。不要な資産を残 すこと自体がリスクであり、まず「使っていないものを捨

    てる」ことが最も効果的な対策のひとつとされていま す。 出典：はらたくおじさんのセキュリティ日記

30. © SilverworX Japan 2025 14.ステップ2 クラウドに預ける 守れないものは預けて守る。 経産省やIPAは、クラウドサービスを活用したセキュリ ティ強化を推奨しています。自社で守り切れないシス テムを無理に維持するよりも、信頼できるクラウドに

    移行する方が現実的で効果的です。政府の ISMAP（セキュリティ評価制度）に登録されたサー ビスを選ぶことで、安心して運用できます。 出典：はらたくおじさんのセキュリティ日記

31. © SilverworX Japan 2025 15.ステップ3 残す資産はモニタリング強化 残す＝責任を持って見守る。 IPA実態調査によれば、中小企業の被害原因の多 くは「パッチ未適用」「ログ監視不足」など基本的な見 守りの欠如です。残す資産に関しては更新や監視を

    徹底し、「監視して守る」という姿勢が求められます。 モニタリングこそが残す資産を守る唯一の道です。 出典：情報処理推進機構

32. © SilverworX Japan 2025 16.重病を放置しない 経営・現場が一体で取り組む必要がある。 PA「10大脅威2025」では「ランサム攻撃による被 害」が最重要リスクとされています。放置すれば工場 停止やサービス停止など致命的な被害に直結します。 健康診断と同じように、致命的なリスクだけは必ず最

    優先で治療することが求められます。 出典：情報処理推進機構

33. © SilverworX Japan 2025 17.診断は高い？ 診断は現実的な投資。 かつて脆弱性診断は高額で「中小には無理」と思わ れていました。しかし近年はサービスが多様化し価格 が下がり、定期健康診断並みのコストで受けられる サービスも増えています。IPAの調査では、被害を受

    けた中小企業の平均損失は73万円、復旧に5.8 日。診断はむしろ“安上がりな投資”です。 実際には、最近のいわゆる診断サービスは10万円 台からのものも。 出典：情報処理推進機構

34. © SilverworX Japan 2025 Agenda 自己紹介 Part1 セキュリティの現状認識 - 世の中の動向と中小の現実

    Part2 セキュリティ対策の基本のき - IPA 10大脅威を読み解く Part3 現実的な解決策 - 定期健康診断モデル Part4 事例 まとめ

35. © SilverworX Japan 2025 18.工場編（古いVPN装置を廃止） 診断→即対応で大事故回避。 診断で見つかった古いVPN装置を廃止するだけで、 工場ライン停止という大事故を防げる事例がありま す。VPN装置の脆弱性を突いた攻撃は国内外で繰 り返し観測されており、放置すれば侵入口に。早期

    発見と廃止が最大の防御策になります。 詳細は、「セキュリティ対策の基本のき、工場編」をご 覧ください。 出典：はらたくおじさんのセキュリティ日記

36. © SilverworX Japan 2025 19.スーパー編（POS更新・証明書管理） 日常の更新が信頼を守る。 小売業のPOS端末や電子証明書の更新漏れは、 取引停止や顧客情報流出につながるリスクがありま す。実際、証明書期限切れによるシステム障害や、 更新漏れが起因の情報漏洩事例が報告されていま

    す。日常的な更新・管理こそ信頼を守る鍵です。 詳細は、「セキュリティ対策の基本のき、スーパー編」 をご覧ください。 出典：はらたくおじさんのセキュリティ日記

37. © SilverworX Japan 2025 20.共通の学び 診断は現実的な投資。 IPAの実態調査では、被害を受けた中小企業の復 旧に平均5.8日。診断でリスクを見える化し、必要 な部分だけ治療することで「起こる前に防げた」との 事例が続出。予防こそが最も効果的なセキュリティ

    対策であることが数字で示されています。 出典：情報処理推進機構、はらたくおじさんのセキュリティ日記

38. © SilverworX Japan 2025 Agenda 自己紹介 Part1 セキュリティの現状認識 - 世の中の動向と中小の現実

    Part2 セキュリティ対策の基本のき - IPA 10大脅威を読み解く Part3 現実的な解決策 - 定期健康診断モデル Part4 事例 まとめ

39. © SilverworX Japan 2025 21.まとめ（セキュリティ対策の基本のき） 定期健康診断こそがセキュリティ対策の基本のき セキュリティの基本は「診断→可視化→治療→継 続」。IPAのガイドラインでも、リスク特定・対応・継続 改善が推奨されています。健康診断と同じで、定期 的なサイクルを回すだけで会社は守れるのです。

    出典：情報処理推進機構、NIST CSF ver1.0

40. © SilverworX Japan 2025 22.みなさまへ まず診断で見える化→重症だけ治療→定期的に続ける。 最新の資産状況とそのリスク（脆弱性）が可視化されます。 これこそが、セキュリティ対策の基本のきです。 出典：はらたくおじさんのセキュリティ日記 万が一サイバー犯罪被害に遭った際は速やかに最寄りの警察署または静岡県警察サイ

    バー対策本部（054-271-0110）に相談しましょう！

41. © SilverworX Japan 2025 定期健康診断モデル：覚えておいてくださいね まず診断で見える化。これが基本のき。 定期健康診断と同じように「まず診断で見える化」し、 そして治療は、捨てる、移す、残したら見守るです。 出典：はらたくおじさんのセキュリティ日記

42. © SilverworX Japan 2025 万が一のインシデント発生！ インシデントはどんな会社でも突然起こり得る。 ある日突然、パソコンが動かなくなり「ランサムウェア に感染しました」という赤い警告が表示される。これ は大企業だけでなく、零細企業や中小企業でも十 分に起こり得る現実です。しかも被害は「情報漏

    洩」だけにとどまりません。販売システムや生産ライン が止まり、取引先からの信頼を一瞬で失うこともあ ります。「うちは小さい会社だから大丈夫」「まだ被 害にあったことはない」と思っていると、対応が遅れ、 被害が広がってしまうのです。だからこそ、平時から 「自分たちの会社でも起きる」という前提で備えてお く必要があります。 出典：情報処理推進機構、

43. © SilverworX Japan 2025 インシデント対応の鉄則（3ステップ） 初動でやるべきことは「止血」「救急車」「現場そのまま」 インシデントが発生した際に一番大事なのは、パ ニックにならず初動を間違えないことです。鉄則は3 ステップ。まず「止血」。感染が疑われるPCはLAN ケーブルを抜き、Wi-Fiを切って被害の拡大を止め

    ます。次に「救急車を呼ぶ」。自社で勝手に直そう とせず、すぐにかかりつけのIT専門家（ホームドク ター）や、警察のサイバー犯罪相談窓口に連絡し ます。そして「現場をそのままに」。電源を切ったり再 起動したりせず、余計なスキャンもかけません。証拠 を残すことが調査と解決の第一歩になるからです。 この3つを守れば、最悪の事態を避けられる可能性 が高まります。 出典：情報処理推進機構、

44. © SilverworX Japan 2025 やはり、健診って大事だよね 健診で「ことが起こる前に」気づくことが、最大の予防策になる。 インシデントの初動対応を知ることは大切ですが、 本当に重要なのは「そもそも起こらないようにする」こ とです。人間の健康と同じで、定期健診を受けてい れば重大な病気を未然に防げるのと同じです。会

    社でも、システムやネットワークの健診を行うことで、 古いサーバーや放置アカウント、期限切れの証明 書といった“潜んでいるリスク”を見える化できます。そ の結果、インシデントを未然に防ぎ、「ことが起こる 前で良かった！」を繰り返す仕組みを作れるので す。健診はコストではなく、未来への投資。予防が できていれば、救急対応に追われるリスクを最小限 にできます。 出典：はらたくおじさんのセキュリティ日記

45. © SilverworX Japan 2025 ところでクライアントPCは？ 古いPCは捨てる。 残すPCは 365に寄せて Defenderで守る。 場合によっては

    Chromeも現実的な選択肢。 ・健診で「まずいPC」を発見 → 早めにリプレース or 廃棄。 ・日常的に使うPCは「クラウドに寄せる」 M365＋Intune＋EntraIDで統合管理。 ・セキュリティ対策は Defenderが精一杯で十分 （EDR対応できればベスト）。 ・追加の現実解：安全で安い Chrome OS も、 有効な選択肢。 出典：はらたくおじさんのセキュリティ日記

46. © SilverworX Japan 2025 まずは1回、セキュリティ健診を受けましょう！ セキュリティ対策の第一歩は「健診」で現状を見える化です。 セキュリティは「全部やる」のが理想ですが、現実には人 も予算も限られており、完璧を目指すのは不可能です。 だからこそ、健康診断と同じく「まずは一度受けてみる」 ことが最も現実的で効果的な出発点となります。診断

    を受けることで、自社にどんな脆弱性やリスクが潜んでい るのかが可視化され、優先的に手を打つべきポイントが 明確になります。費用も近年は10万円台からと手が届 く範囲であり、被害平均73万円・復旧5.8日というデー タと比べれば安い投資です。初めての健診で現状を把 握できれば、その後は経営層・情シス・社員が協力して、 継続的な改善に取り組む土台が整います。セキュリティ 対策の「基本のき」は、まずは一度健診を受けることか ら始まります。 出典：情報処理推進機構、はらたくおじさんのセキュリティ日記 ※なお、ホームドクターやセキュリティベンダーの相談などありましたらお気軽にどうぞ。

47. © SilverworX Japan 2025 小さな会社さん向け（おまけ） 持たない、ホームドクター、自主点検 ①持たない（借りる） 現在、いろいろなシステムがサービスとして提供されてお ります。殆どが強固なセキュリティ対策が実装されてお り、認証もスマフォ経由のパスキーを利用するなどなりす

    ましもできないです。 ②ホームドクター（気軽にお知恵拝借） 商工会議所や民間のベンダーに気軽に相談 ③自主点検 PC、スマフォ、ルーターなどは定期的に自主点検。 お助け隊を活用する： IPAなどが推進する「サイバーセキュ リティお助け隊」のような公的支援サービスを積極的に利用 し、「こんなことを聞いてもいいのかな？」と思うような些細なこ とでも相談できます。 出典：情報処理推進機構、はらたくおじさんのセキュリティ日記 万が一サイバー犯罪被害に遭った際は速やかに最寄りの警察署または静岡県警察サイ バー対策本部（054-271-0110）に相談しましょう！

48. © SilverworX Japan 2025 ご参考） 後から読める、まとめページはこちらです。 ▪中小企業の皆様向け ▪小さな会社様向け

49. © SilverworX Japan 2025 ご参考） 本セミナーは、私が数年前から提唱している、IPAの10大脅威、情 報白書を読み解いて、セキュリティ対策の基本のきが大事であるこ と、そして、まずはそこから実践することを推進しています。 本セミナーの内容をじっくり学ぶための書籍を紹介します。 復習のためにご利用ください。

    出典：情報処理推進機構

50. © SilverworX Japan 2025 ご参考） 今回のテーマ「セキュリティ対策の基本のき」をわかりやすく解説した、 はらたくおじさんのセキュリティ日記シリーズ、リリース中です。 もっと深く知りたい方はこちらを 基礎概念編のVol.1、実践編のVol.2、Vol.3があります。 出典：はらたくおじさんのセキュリティ日記

    by Amazon Kinde Store

51. © SilverworX Japan 2025 ご参考） Vol.1 セキュリティ対策の基本の「き」基本概念編 出典：はらたくおじさんのセキュリティ日記 by Amazon

    Kinde Store

52. © SilverworX Japan 2025 ご参考） Vol.2 ケース１：工場編 出典：はらたくおじさんのセキュリティ日記 by Amazon

    Kinde Store

53. © SilverworX Japan 2025 ご参考） Vol.3 ケース２：スーパー編 出典：はらたくおじさんのセキュリティ日記 by Amazon

    Kinde Store

54. © SilverworX Japan 2025 ご参考） 基本のきをサービスしている会社 診断からホームドクターまで - 株式会社ラック（LAC）： セキュリティ大手、所謂脆弱性診断サービス、ちょっとお高いです。

    なんと、静岡県西部地方で相談に乗ってくださる会社様も！ - F.C.C. SecureQUEST： 地元大手製造業ですが、セキュリティ伴走サービス「SecureQUEST」も 出典：株式会社ラック、F.C.C. SecureQUEST

55. © SilverworX Japan 2025 ご参考）脆弱性診断サービスの種類とお値段 脆弱性診断サービスの種類とお値段感。実際にはクラウド型、Webサイ トからというお手頃な物から、様々です。まずは公開サーバからもあり です。 出典：原子調べ サービスの種類

    特徴 料金帯の目安 こんな企業におすすめ 自動スキャン型 ツールが自動で脆弱性 を診断。手軽で安価。 10万円台～ まず手軽に現状を把握 したい企業 手動診断型 専門家が手作業で詳細 な診断を行う。網羅性 が高い。 数十万円～ 重要なシステムを抱え ている企業 簡易診断サービス 特定の項目（Webサイ トなど）に絞って診断。 数万円～ 予算を抑えつつ、部分 的にチェックしたい企 業

56. © SilverworX Japan 2025 あなたも「定期健康診断」しませんか？ おしまい

57. © SilverworX Japan 2025 Agenda 自己紹介 Part1 セキュリティの現状認識 - 世の中の動向と中小の現実

    Part2 セキュリティ対策の基本のき - IPA 10大脅威を読み解く Part3 現実的な解決策 - 定期健康診断モデル Part4 事例 まとめ Appendix

58. © SilverworX Japan 2025 未来を見据えて（2030年への投資） セキュリティは「未来への投資」 ・コストではなく 競争力を確保する投資 ・定期健診モデルは AIとクラウド時代を生き抜く戦略的基盤

    出典：原子調べ 行動指針 投資の意味 2030年に向けた効果 Shift（移す／委ねる） 守りきれない資産をクラウ ドやサービスに移し、俊敏 性と強固な防御を確保 IT基盤を刷新し、競争力を 維持 Cut（断ち切る／捨てる） 古い装置や放置アカウント など、過去の負債を廃止 脆弱性という「過去の重 荷」から解放され、未来に 進む余力を生む 処方箋メソッドのコア理論：Shift & Cut SHIFT & CUT で未来を！

59. © SilverworX Japan 2025 ご参考）脆弱性診断サービス・ツール一覧 脆弱性診断サービス・ツールの一覧です。情シス担当者がいる場合は オープンソースツールの利用もありです。 出典：原子調べ 診断の種類 料金帯

    主なサービス例 どんな企業におすすめ？ 手作業簡易診断 数万円〜 地元のITコンサルタント、個人事 業主 現場の状況を直接見て、アナ ログな課題（USBの利用 ルールなど）も含めて相談し たい企業。 オープンソースツール 無料〜 Nmap, OpenVAS, Vuls 自社にIT担当者がおり、自 力で脆弱性スキャンを行いた い企業。 脆弱性診断サービス 10万円〜 セキュアスカイ・テクノロジー, VEX, LAC 外部からのWebサイト攻撃や、 ネットワーク機器の脆弱性を 見つけたい企業。 セキュリティプラットフォーム 月額数千円〜 トレンドマイクロ, サイバーリーズン 診断だけでなく、マルウェア対 策やログ監視まで一元管理 したい企業。

60. © SilverworX Japan 2025 ▪IPAセキュリティ10大脅威からよみとれること 出典 : IPA独立行政法人情報処理推進機構情報セキュリティ10大脅威 2024 より引用

    出典 : IPA独立行政法人情報処理推進機構情報セキュリティ10大脅威 2024 [組織] より引用

61. © SilverworX Japan 2025 ▪IPAセキュリティ10大脅威からよみとれること 情報資産を把握していますか？そしてその脆弱性を把握していますか？ 脅威の傾向と課題 脅威は多様化しているが、、 の多くの脅威は、 ”放置された脆弱性”（設定の不備を含む）

    が狙われる 出典 : IPA独立行政法人情報処理推進機構情報セキュリティ10大脅威 より引用 『特に管理漏れ機器のパッチ適用が されていない。』 中小企業では、、 『情シスの人員不足、予算制限から パッチ運用がされていないケースも』

62. © SilverworX Japan 2025 ▪放置された脆弱性にフォーカス 情報資産を把握していますか？そしてその脆弱性を把握していますか？ サプライチェーンの多くは、資産管理とその脆弱性管理にコストがかけられず、セキュリティ対策の 基本である、リスクマネジメントが不十分。 セキュリティ対策の基本のきは、「脆弱性を放置しないこと」なんです。 「脆弱性」を放置しないために、、

    NIST CSFでいう、最初の入り口部分が重要。 ・資産管理 すべての情報資産を把握できてますか？ ・そしてその資産の脆弱性を把握していますか？ 本来は、①資産台帳を作成し、②資産とその脆弱性をか んりすることが必要。 →管理する人、お金がかかる どおしたらいいのか？

63. © SilverworX Japan 2025 ▪日本シーサート協議会について 設立の背景 サイバー攻撃の高度化・巧妙化により、個社対応の限界が顕在化し、各組織に おけるCSIRT（シーサート）の整備が進む中、横のつながりが不可欠に 設立の目的 ・CSIRT間の連携と信頼の構築

    ・インシデント対応力の底上げ ・実務的なナレッジ・ベストプラクティスの共有 ・国内外の連携窓口としての機能強化 加盟組織数 ・約500組織

64. © SilverworX Japan 2025 ▪日本シーサート協議会について 協議会の沿革 年月 出来事 2005年頃 有志による「CSIRT連絡会」活動開始

    2007年3月28日 任意団体「日本CSIRT協議会」発足（6チーム参加） 2019年11月7日 一般社団法人として登記 2020年4月1日 一般社団法人としての活動開始 2024年4月1日 正式名称を「一般社団法人日本シーサート協議会」に統一

65. © SilverworX Japan 2025 ▪日本シーサート協議会について 静岡県内の加盟組織 静岡県内の主要加盟組織 組織名 CSIRT 名称

    設立日 加盟年月 組織区分 静岡銀行株式会社 SHIZUGIN-CSIRT 2014-12-18 2016-03 地方銀行 静岡ガス株式会社 SG-CSIRT — — エネルギー企業 株式会社TOKAIホールディ ングス TOKAI-CSIRT 2020-07-01 2022-05 多角化公益産業 スルガ銀行株式会社 SURUGA-CSIRT — 加盟済（※） 地方銀行 ヤマハ発動機株式会社 YMC-CSIRT 2013-11-01 2014-05 製造業（オートバイ 等） ヤマハ株式会社 YAMAHA-CSIRT 2024-01-01 2024-04 製造業（楽器等） 浜松ホトニクス株式会社 HPK-SIRT 2020-06-01 2020-07 製造業（光センサ 等） スズキ株式会社 SUZUKI-CSIRT — 加盟済（※） 製造業（自動車等） 遠州鉄道株式会社 Entetsu-SIRT 2016-09-27 2017-04 鉄道・交通インフラ

66. © SilverworX Japan 2025 ▪日本シーサート協議会について 地区活動委員会とは？ 目的と活動内容 全国のCSIRTを“地域単位”でつなぐ取り組み 多様な地域ニーズに対応し、CSIRT同士の「顔が見える」交流と協働を促進。 地区活動委員会が各地区で主導し、ワークショップや勉強会、地域連携のプ

    ラットフォームを提供。 2017年（平成29年）に初設立。以来、北海道、関東・中部・関西・九州 など全国展開。

67. © SilverworX Japan 2025 ▪日本シーサート協議会について 中部地区の活動実績 ワークショップ開催 2022年1月26日（オンライン開催） テーマ：「隣の芝生は何色だ！？もっと知ろう地域連携！」 参加者：88名（加盟61、オブザーバー15ほか）

    地域CSIRTの活動紹介＆グループディスカッション実施。 2024年1月31日（名古屋会場） テーマ：「サプライのチェーンは続くよどこまでも」 参加者69名（加盟49、オブザーバー12ほか） 演講・ディスカッション後、情報交換会にも54名参加。 2025年1月17日（名古屋会場） テーマ：「インシデントへの備え」 参加者51名＋情報交換会37名、活発な意見交換。 公的機関や大学・企業の講演、WG紹介、新規CSIRT紹介など充実の内容 （講演者：経産省、中部大学、静岡大学、WG主査 DeNA CERT等） 本年度は、トヨタさんがリーダーでワークショップや勉強会を運営

68. © SilverworX Japan 2025 ▪セキュリティ対策の基本まとめ スライド番号 結論 補強ニュース・ファクト スライド3（ニュースに毎日出る事故） 事故はもう他人事ではない

    IPA「情報セキュリティ10大脅威2025」：組織編で 1位が「ランサム攻撃による被害」。国内でもランサムウェア被害が増加中。 (情報処理推 進機構) スライド4（取引先からの要求） やるかやらないかではなく、取引のために必須 「サプライチェーン強化に向けたセキュリティ対策評価制度」（経産省）では、発注企業が取引先にセキュリティ対策を提示し実施状況を確認 する制度が検討中。取引条件としてセキュリティが問われる流れ。 (経済産業省) スライド5（CSIRTという言葉を聞いたことは？） 大企業と同じ体制を目指しても意味がない 規模の大きな企業ではCSIRT体制を持つところが多いが、中小企業では“人手・予算不足”が調査で繰り返し指摘されており、実際にはCSIRT 設置が難しいという声が多数。例えば IPA の中小企業調査で「対応困難」とする回答多数。 (情報処理推進機構) スライド6（中小企業の本音） 現実的な方法が求められている IPA「2024年度中小企業等実態調査」：中小企業でサイバーインシデントを経験した企業の被害平均は約 73万円、復旧まで平均 5.8日。 期間や被害が大きくなるケースもあり。 (情報処理推進機構) スライド7（なぜ事故はなくならないのか） 完璧は無理、優先順位が必要 IPAの10大脅威2025では、「システムの脆弱性を突いた攻撃」「サプライチェーンを狙った攻撃」が上位。脆弱性未対応が被害の原因となっている。 (情報処理推進機構) スライド8（10大脅威を整理すると） 共通原因は脆弱性対応不足 上と同じく 10大脅威2025：脆弱性を突かれるリスクが非常に高く、中小企業でも更新やパッチ適用が遅れている事例多数。 (情報処理推進 機構) スライド9（資産管理の理想と現実） 今の状態を見える化するのが一番現実的 IPA調査で「退職者アカウント」「未使用デバイス」「古いソフト」の存在が中小企業側でしばしば報告されており、資産・アカウント管理が追いついて いないという声が大きい。 (情報処理推進機構) スライド10（一人情シスの現実） 全部は無理、だから健診で効率的に守る 中小企業等実態調査で、「人材不足」や「予算制約」がセキュリティ対策で最大の障壁として挙げられている。対応に多くの時間と労力を取られ、 全部やるのは難しいという実態。 (情報処理推進機構) スライド11（セキュリティは事業の責任） セキュリティは事業責任 IPAの「中小企業ガイドライン」でも、経営者責任の明確化が求められている。セキュリティ対策は総務・経営陣も関与すべきという指摘あり。 (情 報処理推進機構) スライド12（健診モデルとは） まず診断で見える化、これが基本のき IPA10大脅威2025では、「フィッシング」「脆弱性未対応」が上位項目として挙げられており、それらを見える化・診断することの重要性が強調され ている。 (情報処理推進機構) スライド13（ステップ1：不要資産を廃止） いらないものは即削除 実際に古いVPNや未使用デバイスが攻撃の足がかりになる事例あり。不正アクセス事例まとめで「委託先経由」「未使用アカウント」が原因とされた ケース。 (ECマーケティング株式会社) スライド14（ステップ2：クラウドに預ける） 守れないものは預けて守る IPA脅威2025で「サプライチェーンや委託先を狙った攻撃」が2位。クラウドの利用やアウトソースによる対策を検討する企業が増えている。 (情報 処理推進機構) スライド15（ステップ3：残す資産はモニタリング強化） 残す＝責任を持って見守る 実態調査で、「脆弱性パッチ未適用」「ログ監視の不足」が中小企業で多く指摘されており、その結果として不正アクセス被害が約 48% にも上る。 (情報処理推進機構) スライド16（重病を放置しない） 重症優先で会社を守る 10大脅威2025で「ランサムウェア攻撃」が最優先項目として、放置すると重大な被害につながるリスク。 (情報処理推進機構) スライド17（診断は高い？） 診断は現実的な投資 IPA中小企業調査で、サイバーインシデントのうち被害平均が 73万円。診断対策を早めに行えば復旧コストや被害を抑えられる事例あり。 (情 報処理推進機構) スライド18（工場編） 診断→即対応で大事故回避 Kadokawa/Niconico のランサム攻撃事件など、早期発見・対応を怠るとサービス停止や信頼低下、被害拡大につながる事例あり。 (ウィキペ ディア) スライド19（スーパー編） 日常の更新が信頼を守る 個人情報漏洩の事故件数は 2024年に 189件（前年比約8%増）で、漏えい人数は 1,586 万人以上。更新漏れ・証明書更新忘れが漏 えいの一因として指摘されている。 (TSRネット) スライド20（共通の学び） 予防的対応が最大の効果 上記ファクトの集積――脆弱性未対応の割合、損害発生後の復旧コストや期間のデータなど。例えば、サイバーインシデントの復旧に要する日数 平均 5.8 日。 (情報処理推進機構) スライド21（まとめ 基本のき） 健診こそセキュリティの基本のき 全体のデータから、“診断・可視化・優先治療”というアプローチが 10大脅威の根本対策として推奨されている。¥nIPA「10大脅威」の指摘事項 に「脆弱性」「サプライチェーン」「不注意漏えい」などが根本原因として繰り返されている。 (情報処理推進機構) スライド22（ラストメッセージ） 病気になっているところが無いか見える化する、それが一番の 基本。 中小企業等実態調査で、サプライチェーンを含む取引先影響ありの企業が約 70%。また、診断を先送りにしたことで被害が拡大した事例多数。 発生頻度・影響ともに「先手必勝」の重要さが報告されている。 (情報処理推進機構)