「IT担当って自分だけど、セキュリティってこれで本当に大丈夫なの…?」
中小企業の総務・管理部門でこんな不安を抱えている方は少なくないはずです。社員10名〜100名規模の会社では、専任の情報システム部門を置けるケースの方が稀で、「PCに詳しそう」「最初に設定した人」という理由でIT担当を任されているケースがほとんどです。
私自身も総務担当5年間、情シスなし・IT予算なしの環境でIT業務を兼任していました。ウイルス対策ソフトの更新、社員のパスワード設定、退職者アカウントの処理…。「これって私がやらないといけないの?」と思いながら、何とか回してきた経験があります。
この記事ではその経験をもとに、IT兼任担当者が直面するセキュリティリスクを5つ整理し、今日から始められる対策を優先順位つきで解説します。
読み終えたとき、「何から始めればいいかわからない」状態から「5つの対策を優先順位つきで把握できる」状態に変わるはずです。
IT兼任担当者がセキュリティ事故を起こしやすい構造的な理由
「うちは今まで何もなかったから大丈夫」と思っていませんか?
ただ、それは「事故が起きなかった」のではなく「まだ起きていないだけ」の可能性があります。IT兼任体制でセキュリティ事故が起きやすい理由は、専任との構造的な違いにあるのです。
専任との決定的な違いは「気づく仕組みがあるかどうか」
専任情シスがいる会社では、定期的なセキュリティ監査・アカウント棚卸し・ログ確認が仕組みとして回っています。一方、兼任担当者の場合、問題が起きて初めて気づくことが多い。
私が兼任していたとき、退職した社員のGoogleアカウントが半年間そのまま残っていたことに気づいたのは、たまたま別の作業をしていたときでした。誰かが気づかなければ、そのまま1年、2年と放置されていた可能性があります。
実際に起きやすい事故パターン3つ
IT兼任体制の中小企業で実際に起きやすい事故には、以下のパターンがあります。
- パターン1:ランサムウェア感染 — フィッシングメールのリンクを社員(または社長)が踏んでしまい、社内PCのファイルが暗号化される。専任がいないため初動対応が遅れ、被害が拡大する
- パターン2:退職者アカウントによる情報漏洩 — 退職した元社員のアカウントが残ったまま。本人が転職後も業務ファイルにアクセスできる状態になっているケースも
- パターン3:クラウドストレージの意図しない公開 — GoogleドライブやOneDriveの共有設定を「リンクを知っている全員」に設定したまま外部に共有。社内の見積書・個人情報が外部から閲覧可能な状態に
どれも「うちの会社ではないこと」ではないですよね。むしろ、兼任体制だからこそ起きやすいのです。
IT兼任担当が直面する5つのセキュリティリスク
リスクを把握してから対策を考えた方が、優先順位がつけやすくなります。IT兼任体制の中小企業が特に気をつけるべきリスクは5つです。
リスク1:パスワード管理の穴(危険度:★★★)
「全員が同じパスワードを使っている」「パスワードをメモ帳に貼っている」—— 中小企業でよく見られる光景です。
パスワードの使い回しは、1つのサービスから情報が漏れると他のサービスにも不正アクセスされる「クレデンシャルスタッフィング攻撃(複数サービスへのパスワード使い回しを狙った自動攻撃)」の温床になります。「うちは小さい会社だから狙われない」は通用しない時代で、むしろ防御が手薄な中小企業が狙われやすいのです。
リスク2:退職者アカウントの放置(危険度:★★★)
退職の手続きに追われているとき、メールアカウントやクラウドサービスのアクセス権限の削除を後回しにしてしまうことはないでしょうか。
残念ながら、退職後にアクセスを続けていた元社員が問題になるケースは実際にあります。悪意がなくても「引継ぎのつもりでアクセスした」が後々問題になることも。人事部門との連携が取れていない兼任体制では特に見落としやすいリスクです。
リスク3:フィッシングメール・標的型攻撃(危険度:★★★)
「宅配業者を装ったSMS」や「取引先を装ったメール」は年々精巧になっています。中小企業を狙ったランサムウェアの被害は2025〜2026年にかけて増加しており、「専門知識がないと防げない攻撃」から「気づかないと普通に踏んでしまう攻撃」に変化しています。
「経営者を装った緊急送金依頼メール」によるビジネスメール詐欺(BEC)の被害が国内でも多数報告されています(IPA「情報セキュリティ10大脅威」参照)。社員教育がなければ、誰でも踏んでしまう可能性があります。
リスク4:クラウドストレージの野良利用(危険度:★★)
会社が用意したストレージとは別に、個人のDropboxやGoogleドライブで業務ファイルを共有している社員は多いのではないでしょうか。管理が会社の目の届かない場所で行われると、退職後もファイルにアクセスできる状態が続きます。
リスク5:OSアップデート・パッチ適用の漏れ(危険度:★★)
「後でやろう」と思ってウインドウを閉じたWindowsのアップデート通知。それが積み重なると、既知のセキュリティ脆弱性を抱えたまま業務をしていることになります。兼任担当者が全員分のPCを管理するのは現実的に難しいからこそ、自動化が必要なのです。
優先順位つき:今日から始める対策5選
完璧なセキュリティ対策は不要です。目標は「最低限のリスク低減」です。以下の5つを順番通りに進めてください。費用は基本的に無料〜月数百円で収まります。
対策1:パスワードマネージャーの導入(費用:無料〜月500円・所要時間:2時間)
最優先です。Bitwarden(無料)やLastPass(有料)などのパスワードマネージャーを会社単位で導入し、全員がツールでパスワードを生成・管理するルールにします。
「パスワードが強くなる」だけでなく、「誰がどのサービスにアクセスできるか」の管理もできるようになります。退職時のアカウント停止にも使えるため、一石二鳥です。
対策2:退職者アカウント棚卸し(費用:0円・所要時間:半日)
今すぐ以下を確認してください。
- Google Workspace / Microsoft 365のユーザー一覧 → 在籍者と照合
- 主要業務クラウドサービス(会計ソフト・勤怠管理等)のユーザー一覧 → 在籍者と照合
- 社内Wi-Fiのパスワード → 退職者が知っているまま変更していないか
- Slack・Chatwork等のコミュニケーションツール → 在籍者と照合
半日でできる作業ですが、放置すると取り返しのつかないリスクになります。今日やる価値があります。
対策3:多要素認証(MFA)の有効化(費用:0円・所要時間:1時間)
GoogleアカウントやMicrosoft 365など、主要サービスの多要素認証(MFA)を有効化します。パスワードが漏れても、スマホ認証がなければログインできない状態になります。フィッシングで万一パスワードが盗まれた場合でも、MFAがあれば不正ログインを防ぐことができます。
管理者側で強制有効化できるサービスも多いため、全員分の設定を一括で適用するのが一番確実です。「社員が自分でやる」に任せると、設定しない人が必ず出てきます。
対策4:クラウドストレージの共有設定監査(費用:0円・所要時間:2時間)
GoogleドライブやSharePointの共有設定を一通り確認します。「リンクを知っている全員がアクセスできる」状態になっているファイルがないか、組織外のユーザーと共有されたままのフォルダがないかをチェックします。
Google Workspaceであれば「共有ドライブの監査ログ」から確認できます。見つけたら即アクセス制限をかけます。
対策5:OSアップデートの自動化設定(費用:0円・所要時間:30分)
WindowsのWindows Update設定を「自動(推奨)」に変更し、全社員のPCに適用します。Macの場合はシステム設定→ソフトウェアアップデートで自動設定が可能です。
一台ずつ設定が必要ですが、10〜20台規模であれば半日で完了します。設定後は月1回の確認で十分です。
「これは外注すべき」という判断基準
上記の対策5つは自前でできますが、「自前では無理なレベル」もあります。以下の状況が当てはまる場合、外部のITサポートやマネージドサービス(MSP)の検討が現実的です。
- 社員数が30〜50名を超え、IT業務の兼任工数が月20時間を超えている
- 取引先や顧客の個人情報を扱う業務がある(個人情報保護法の観点)
- すでに1回でもインシデント(ウイルス感染・情報漏洩)が起きている
- セキュリティ対応のための時間確保が本業に影響し始めている
MSPの費用感は社員数10〜30名規模で月3〜10万円程度が目安です(2026年5月時点・各社により異なる)。「これは買えない」という場合でも、まず上記5つの無料対策を終わらせることが先です。
経営者・上司に説明するための材料の作り方
「セキュリティ対策をやりたいが、上司や経営者を動かせない」という状況もあるのではないでしょうか。
私が実際に使った説明フレームは「リスク×コスト×対応難易度」の一覧表です。
| リスク項目 | 事故が起きた場合のコスト感 | 対策コスト | 難易度 |
|---|---|---|---|
| パスワード漏洩による不正ログイン | 被害対応・信用失墜(数十万〜数百万) | 無料〜月500円 | 低 |
| 退職者アカウント悪用 | 情報漏洩・法的リスク | 0円(工数のみ) | 低 |
| ランサムウェア感染 | 業務停止・復旧費用(数百万〜数千万) | MFA設定0円 | 低 |
| クラウドファイル外部公開 | 個人情報漏洩・謝罪対応 | 0円(設定確認のみ) | 低 |
「対策コストが低いわりに、事故が起きた場合のコストが大きい」ということを数字で見せると、経営者も動きやすくなります。「やらない理由がない」状態にするのが、説明のコツです。
まとめ:IT兼任担当者が守るべき最低ライン
IT兼任体制で完璧なセキュリティを実現するのは無理です。ただ、今日からできる対策で「一番壊滅的な事故を防ぐ」ことはできます。
- 今日すぐやる:退職者アカウントの棚卸し、MFAの有効化
- 今週中にやる:パスワードマネージャーの導入検討、クラウド共有設定の確認
- 今月中にやる:OSアップデートの自動化設定、経営者への説明材料作成
「やること」が多く見えるかもしれませんが、一つひとつはどれも半日以内で完了します。一番避けるべきなのは「何もしないまま事故が起きること」です。そのとき、IT担当として責任を問われるのは自分自身です。
「社内のセキュリティルールをゼロから作りたい」「退職者対応チェックリストを整備したい」という方向けに、実務で使えるテンプレート類をNoteで近日公開予定です。公開をお知らせするXアカウント(@igaramu)もあわせてご確認ください。
関連記事
セキュリティの土台を作った後は、IT業務を効率化することが次の一手です。
- → 情シスも予算もない総務が、自力でやった自動化の事例と失敗した話
- → 社内フォームの作り方|IT環境別おすすめツールと権限設定の注意点
- → AIツールを業務利用するときのセキュリティ注意点はこちらも参考にしてください