各国の中小企業向けセキュリティガイダンス: まるちゃんの情報セキュリティ気まぐれ日記

January 2026
Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

2025.07.23

各国の中小企業向けセキュリティガイダンス

こんにちは、丸山満彦です。

中小企業のサイバーセキュリティ対策はどの国も政策的な重要性がありますよね...

ガイダンスだけでなく、政策自体の比較が本当は重要なのでしょうが、とりあえず、ガイダンス的なものの紹介...

ということで、

米国
日本
英国
欧州
ドイツ
フランス
オーストラリア
カナダ

を少し紹介...

米国

● CISA

・Small and Medium Businesses

・・2024.04 Cyber Guidance for Small Businesses

Cyber Guidance for Small Businesses	中小企業向けサイバーガイダンス
A Different Kind of Cybersecurity Advice	これまでとは違ったサイバーセキュリティのアドバイス
Small businesses often do not have the resources to defend against devastating cyber threats like ransomware. As a small business owner, you have likely come across security advice that is out of date or that does not help prevent the most common compromises. For example, odds are that you have heard advice to never shop online using a coffee shop’s wi-fi connection. While there was some truth to this fear a decade ago, that’s not how people and organizations are compromised today. The security landscape has changed, and our advice needs to evolve with it.	中小企業は、ランサムウェアのような壊滅的なサイバー脅威から身を守るためのリソースを十分に持っていない場合が多い。中小企業の経営者の方は、時代遅れのセキュリティアドバイスや、最も一般的な侵害の防止に役立たないアドバイスを耳にしたことがあるだろう。例えば、カフェのWi-Fi接続を使用してオンラインショッピングを絶対にしないようにというアドバイスを聞いたことがあるかもしれない。10年前は、この懸念には一定の真実があったが、現在では、個人や組織が侵害される方法は変わっている。セキュリティ環境は変化しており、アドバイスもそれに合わせて進化させる必要がある。
This advice is different.	このアドバイスは異なる。
Below, we offer an action plan informed by the way cyberattacks actually happen. We break the tasks down by role, starting with the Chief Executive Officer (CEO). We then detail tasks for a Security Program Manager and the Information Technology (IT) team. While following this advice is not a guarantee you will never have a security incident, it does lay the groundwork for building an effective security program.	以下では、サイバー攻撃が実際にどのように発生するかを踏まえた行動計画を紹介する。まず、最高経営責任者（CEO）から始めて、役割ごとにタスクを分類する。次に、セキュリティプログラムマネージャーおよび情報技術（IT）チームのタスクについて詳しく説明する。このアドバイスに従えば、セキュリティインシデントが絶対に発生しないという保証はないが、効果的なセキュリティプログラムを構築するための基礎を築くことができる。
Role of the CEO	CEO の役割
Cybersecurity is about culture as much as it is about technology. Most organizations fall into the trap of thinking the IT team alone is responsible for security. As a result, they make common mistakes that increase the odds of a compromise. Culture cannot be delegated. CEOs play a critical role by performing the following tasks:	サイバーセキュリティは、テクノロジーと同じくらい文化も重要だ。ほとんどの組織は、セキュリティは IT チームだけの責任だと考えるという罠に陥っている。その結果、セキュリティ侵害の可能性を高めるよくあるミスを犯してしまう。文化は委任できない。CEO は、以下のタスクを実行することで重要な役割を果たす。
1.Establish a culture of security. Make it a point to talk about cybersecurity to direct reports and to the entire organization. If you have regular email communications to staff, include updates on security program initiatives. When you set quarterly goals with your leadership team, include meaningful security objectives that are aligned with business goals. Security must be an “everyday” activity, not an occasional one. For example, set goals to improve the security of your data and accounts through the adoption of multifactor authentication (MFA) (more on that below), the percentage of systems you have fully patched, and the percentage of systems that you back up.	1. セキュリティの文化を確立する。直属の部下や組織全体に対して、サイバーセキュリティについて必ず話すようにする。スタッフと定期的に E メールでコミュニケーションを取っている場合は、セキュリティプログラムの取り組みに関する最新情報を記載する。経営陣と四半期目標を設定する際には、事業目標に沿った有意義なセキュリティ目標も盛り込む。セキュリティは、時折行うものではなく、「日常的な」活動でなければならない。たとえば、多要素認証（MFA）（詳細は後述）の導入、完全にパッチを適用したシステムの割合、バックアップを取っているシステムの割合など、データとアカウントのセキュリティを向上させるための目標を設定する。
2. Select and support a “Security Program Manager.” This person doesn’t need to be a security expert or even an IT professional. The Security Program Manager ensures your organization implements all the key elements of a strong cybersecurity program. The manager should report on progress and roadblocks to you and other senior executives at least monthly, or more often in the beginning.	2. 「セキュリティプログラムマネージャー」を選定し、サポートする。この人物は、セキュリティの専門家である必要はなく、IT 専門家である必要もない。セキュリティプログラムマネージャーは、組織が強力なサイバーセキュリティプログラムのすべての重要な要素を確実に実施するようにする。マネージャーは、少なくとも毎月 1 回、初期はそれ以上の頻度で、あなたや他の上級幹部に進捗状況や障害について報告する。
3. Review and approve the Incident Response Plan (IRP). The Security Program Manager will create a written IRP for the leadership team to review. The IRP is your action plan before, during and after a security incident. Give it the attention it deserves in “peace time,” and involve leaders from across the organization, not just the security and IT functions. There will be no time to digest and refine it during an incident.	3. インシデント対応計画 (IRP) を確認し、承認する。セキュリティプログラムマネージャーは、経営陣がレビューするための IRP を文書で作成する。IRP は、セキュリティインシデント発生前、発生中、発生後の行動計画だ。平時は、セキュリティ部門や IT 部門だけでなく、組織全体のリーダーも参加して、この計画に十分な注意を払うこと。インシデント発生時には、この計画を理解して改良する時間はない。
PRO TIP: Invoke the IRP even when you suspect a false alarm. “Near misses” drive continuous improvements in the aviation industry, and the same can be true for your security program. Never let a near miss go to waste!	プロのヒント：誤報の疑いがある場合でも、IRP を発動すること。航空業界では「ニアミス」が継続的な改善の原動力となっているが、セキュリティプログラムも同様だ。ニアミスを無駄にしないようにしよう。
4. Participate in tabletop exercise drills (TTXs). The Security Program Manager will host regular attack simulation exercises called tabletop exercises. These exercises will help you and your team build reflexes that you’ll need during an incident. Make sure your senior leaders attend and participate.	4. 机上演習（TTX）に参加する。セキュリティプログラムマネージャーは、机上演習と呼ばれる定期的な攻撃シミュレーション演習を開催する。この演習は、インシデント発生時に必要な反射神経を、あなたとあなたのチームに身につけさせる。上級幹部が必ず出席し、参加するようにしよう。
5. Support the IT leaders. There are places where the support of the CEO is critical, especially where the security program needs the help of every staff member. Take ownership of certain efforts instead of asking IT to do so. For example, do not rely on the IT team to persuade busy staff that they must enable MFA. Instead, make the MFA announcement to the staff yourself and keep track of the progress. Personally follow up with people who have not enabled MFA. Doing so creates a culture of security from the top.	5. IT リーダーをサポートする。CEOの支援が不可欠な場面がある。特に、セキュリティプログラムが全従業員の協力が必要な場合だ。ITチームに頼るのではなく、特定の取り組みを自ら主導しよう。例えば、多忙な従業員にMFAを有効化するように説得するのをITチームに任せないで、自ら従業員にMFAの有効化をアナウンスし、進捗状況を追跡しよう。MFAを有効化していない従業員には、個人でフォローアップを行う。これにより、トップダウンのセキュリティ文化が育まれる。
A note on MFA: MFA is a layered approach to securing your online accounts and the data they contain. Any form of MFA is better than no MFA. Any form of MFA (like SMS text messages, or authenticator codes) will raise the cost of attack and will reduce your risk. Having said that, phishing is consistently the most cost-effective way for attackers to compromise systems, and the only widely available phishing resistant authentication is called “FIDO authentication.” When an attacker eventually tricks you into trying to log into their imposter site to compromise your account, the FIDO protocol will block the attempt. FIDO is built into the browsers and smartphones you already use. We urge you to learn how FIDO resists phishing attacks.	MFA に関する注意：MFA は、オンラインアカウントとそのアカウントに含まれるデータを保護するための多層的なアプローチだ。MFA は、どのような形式でも、MFA を導入しないよりも優れている。MFA（SMS テキストメッセージや認証コードなど）は、攻撃のコストを高め、リスクを軽減する。とはいえ、フィッシングは、攻撃者がシステムを侵害するための最も費用対効果の高い手法であり、広く利用可能な唯一のフィッシング対策認証は「FIDO 認証」だ。攻撃者が最終的に、アカウントを侵害するために偽のサイトにログインするようユーザーを騙した場合、FIDO プロトコルがその試みをブロックする。FIDO は、ユーザーがすでに使用しているブラウザやスマートフォンに組み込まれている。FIDO がフィッシング攻撃にどのように抵抗するかを確認することをお勧めする。
The combination of a cloud-hosted email service, Secure by Design devices, and FIDO authentication will dramatically raise the cost for attackers and will dramatically reduce your risk. It’s worth considering.	クラウドホスト型のメールサービス、Secure by Design デバイス、および FIDO 認証を組み合わせることで、攻撃者のコストが大幅に上昇し、リスクが大幅に軽減される。検討する価値がある。
Role of the Security Program Manager	セキュリティプログラムマネージャーの役割
The Security Program Manager will need to drive the elements of the security program, inform the CEO of progress and roadblocks, and make recommendations. These are the Security Program Manager’s most important tasks:	セキュリティプログラムマネージャーは、セキュリティプログラムの要素を推進し、進捗状況や障害について CEO に報告し、推奨事項を提案する必要がある。セキュリティプログラムマネージャーの最も重要な業務は、次のとおりだ。
1. Training. All staff must be formally trained to understand the organization’s commitment to security, what tasks they need to perform (like enabling MFA, updating their software, and avoiding clicking on suspicious links that could be phishing attacks), and how to escalate suspicious activity	1. トレーニング。すべてのスタッフは、セキュリティに対する組織の取り組み、実行すべき業務（MFA の有効化、ソフトウェアの更新、フィッシング攻撃の可能性のある不審なリンクのクリックの回避など）、不審な活動のエスカレーション方法について、正式なトレーニングを受ける必要がある。
2. Write and maintain the IRP. The IRP will spell out what the organization needs to do before, during, and after an actual or potential security incident. It will include roles and responsibilities for all major activities and an address book for use should the network be down during an incident. Get the CEO and other leaders to formally approve it. Review it quarterly and after every security incident or “near miss”. Need to know where to start? Look to our IRP Basicstwo-pager with advice on what to do before, during and after an incident. To request assistance or to share information about an incident that can help protect other potential victims, you can contact CISA at [web] .	2. IRP の作成と維持。IRP には、実際のセキュリティインシデントまたはその可能性が発生した際、その発生前、発生中、発生後に組織が実行すべき事項が明記される。これには、すべての主要な活動における役割と責任、およびインシデント発生時にネットワークがダウンした場合に使用するアドレス帳も含まれる。CEO およびその他の経営幹部に正式に承認してもらう。四半期ごとに、およびセキュリティインシデントまたは「ニアミス」が発生したたびに、IRP を確認する。どこから始めればよいか分からない場合は、インシデント発生前、発生中、発生後にすべきことをまとめた 2 ページの IRP 基本情報をご覧ください。支援を要請したり、他の潜在的な被害者を保護するのに役立つインシデントに関する情報を共有したりするには、CISA（web）まで。
3. Host quarterly tabletop exercises (TTXs). A TTX is a role-playing game where the organizer (possibly you!) presents a series of scenarios to the team to see how they would respond. A common scenario involves one employee discovering their laptop is blocked by ransomware. Symphonies and sports teams practice regularly, and your organization should, too. CISA has Cybersecurity Tabletop Exercise Tips to get you started .	3. 四半期ごとに机上演習 (TTX) を実施する。TTX は、主催者（おそらくあなた！）がチームに一連のシナリオを提示し、その対応を確認するロールプレイングゲームだ。一般的なシナリオとしては、従業員が自分のノートパソコンがランサムウェアによってブロックされていることに気付く、というものがある。交響楽団やスポーツチームも定期的に練習を行っている。あなたの組織も同様だ。CISA には、TTX を開始するための「サイバーセキュリティ机上演習のヒント」がある。
4. Ensure MFA compliance. Yep--MFA Again! The most important step an organization can make is to ensure that all staff use MFA to log into key systems, especially email. While this task is also listed under the IT section below, multiple people must review the MFA status regularly.	4. MFA のコンプライアンスを確保する。そう、また MFA だ！組織が実行できる最も重要なステップは、すべてのスタッフが重要なシステム、特に E メールにログインする際に MFA を使用することを確実にすることだ。このタスクは、以下の IT のセクションにも記載されているが、複数の担当者が MFA のステータスを定期的に確認する必要がある。
In addition to the advice here, we urge you to look at the information and toolkits available from our Cyber Essentials series to continue to mature your program .	ここでのアドバイスに加えて、当社の Cyber Essentials シリーズで入手できる情報やツールキットも参考にして、プログラムの成熟度を高めていくことをお勧めする。
Role for the IT Lead	IT 責任者の役割
The top tasks for the IT lead and staff include the following:	IT 責任者およびスタッフの最優先課題は、次のとおりだ。
1. Ensure MFA is mandated using technical controls, not faith. Some organizations have instructed their users to enroll in MFA, but not all users complete that task. There are often MFA gaps for recently onboarded staff and for people who have migrated to a new phone. You’ll need to regularly look for non-compliant accounts and remediate them. Verify, verify, verify MFA stats.	1. 信頼ではなく、技術的な制御によって MFA の使用を義務付ける。一部の組織では、ユーザーに MFA への登録を指示しているが、すべてのユーザーが登録を完了しているわけではない。最近入社したスタッフや新しい携帯電話に移行したユーザーには、MFA のギャップがあることが多い。コンプライアンスに違反しているアカウントを定期的に検索し、修正する必要がある。MFA の統計情報を確認、確認、そして確認する。
2. Enable MFA for all system administrator accounts. System administrators are valuable targets for attackers. You might assume that they would reflexively enroll in MFA. Yet Microsoft reports that around half of Azure Active Directory global administrators use MFA. In many compromises, attackers were able to get a foothold on the system administrator’s account, and from there they had complete access to all the company’s assets.	2. すべてのシステム管理者アカウントで MFA を有効にする。システム管理者は、攻撃者にとって貴重なターゲットだ。システム管理者は反射的に MFA に登録するだろうと思うかもしれない。しかし、Microsoft の報告によると、Azure Active Directory のグローバル管理者の約半数が MFA を使用している。多くの侵害事件では、攻撃者はシステム管理者のアカウントに足場を築き、そこから会社のすべての資産に完全にアクセスできた。
3. Patch. Many attacks succeed because the victims were running vulnerable software when a newer, safer version was available. Keeping your systems patched is one of the most cost-effective practices to improve your security posture. Be sure to monitor CISA’s Known Exploited Vulnerabilities (KEV) Catalog, a list of the vulnerabilities we see attackers using in real attacks. Prioritize the vulnerabilities in the KEV. Also, where possible enable auto-update mechanisms.	3. パッチを適用する。多くの攻撃が成功するのは、より新しく安全なバージョンが利用可能になっているにもかかわらず、被害者が脆弱なソフトウェアを実行していたためだ。システムにパッチを適用し続けることは、セキュリティ体制を強化するための最も費用対効果の高い対策のひとつだ。CISA の「既知の悪用される脆弱性 (KEV) カタログ」を必ず監視して。これは、攻撃者が実際の攻撃で使用している脆弱性のリストだ。KEV に記載されている脆弱性の優先順位を付け、可能な場合は自動更新メカニズムを有効にして。
4. Perform and test backups. Many organizations that have fallen victim to ransomware either had no backups or had incomplete/damaged backups. It’s not enough to schedule all important systems to have a regular backup. It’s critical to regularly test partial and full restores. You’ll have to pick a cadence for the backups (continuous, hourly, weekly, etc.). You’ll also want to write a plan for the restoration. Some organizations experiencing ransomware attacks found that the time to restore their data was significantly longer than expected, impacting their business.	4. バックアップの実行とテスト。ランサムウェアの被害に遭った多くの組織は、バックアップをまったく取っていなかったか、バックアップが不完全または破損していた。重要なシステムすべてに定期的なバックアップをスケジュールするだけでは不十分だ。部分的な復元と完全な復元を定期的にテストすることが重要だ。バックアップの頻度（連続、1 時間ごと、1 週間ごとなど）を決める必要がある。復元計画も作成しておこう。ランサムウェア攻撃を受けた一部の組織では、データの復元時間が予想よりも大幅に長引き、事業に影響が出たケースがある。
5. Remove administrator privileges from user laptops. A common attack vector is to trick users into running malicious software. The attacker’s job is made easy when users have administrator privileges. A user who lacks administrator privileges cannot install software, and this type of attack won’t work.	5. ユーザーノートパソコンから管理者権限を削除する。一般的な攻撃手法は、ユーザーをだまして悪意のあるソフトウェアを実行させることだ。ユーザーが管理者権限を持っていると、攻撃者の作業が容易になる。管理者権限のないユーザーはソフトウェアをインストールできないため、この種の攻撃は機能しない。
6. Enable disk encryption for laptops. Modern smartphones encrypt their local storage, as do Chromebooks. Windows and Mac laptops, however, must be configured to encrypt their drives. Given how many laptops are lost or stolen each year, it’s important to ensure that your laptop fleet is protected.	6. ノートパソコンのディスク暗号化を有効にする。最近のスマートフォンや Chromebook は、ローカルストレージを暗号化している。ただし、Windows および Mac のノートパソコンは、ドライブを暗号化するように設定する必要がある。毎年、多くのノートパソコンが紛失または盗難に遭っていることを考えると、ノートパソコンの群を確実に保護することが重要だ。
All of the above steps may leave you wondering if the products you use are as secure as they could be. Very often, the answer is that the software manufacturers create products using components and practices that inevitably lead to common vulnerabilities. In addition to putting into practice the above steps, we urge you to learn more about how software companies can create software that is “secure by design”. Read more here: [web].	上記のすべての手順を実行しても、使用している製品が本当に安全であるかどうか不安が残るかもしれない。多くの場合、その答えは、ソフトウェア製造事業者が、必然的に一般的な脆弱性につながるコンポーネントや手法を使用して製品を作成しているためだ。上記の対策を実施するとともに、ソフトウェア企業が「設計段階からセキュリティを考慮した」ソフトウェアを作成する方法について、詳しくご検討いただくことをお勧めする。詳細については、[web] をご覧ください。
Achieving the Highest Security Posture	最高のセキュリティ体制の実現
When security experts give cybersecurity advice, they usually assume you are only willing to make small changes to your IT infrastructure. But what would you do if you could reshape your IT infrastructure? Some organizations have made more aggressive changes to their IT systems to reduce their “attack surface.” In some cases, they have been able to all but eliminate (YES, WE SAID ELIMINATE!) the possibility of falling victim to phishing attacks. Sound interesting? Keep reading!	セキュリティの専門家がサイバーセキュリティに関するアドバイスを行う場合、通常、IT インフラストラクチャにはわずかな変更しか加えることができないことを前提としている。しかし、IT インフラストラクチャを再構築できるとしたらどうだろうか？一部の組織では、IT システムに積極的な変更を加えて「攻撃対象領域」を削減している。場合によっては、フィッシング攻撃の被害を受ける可能性をほぼ完全に排除（そう、完全に排除！）することに成功している。興味がある方は、ぜひこのまま読み進めてください。
On premises vs cloud	オンプレミスとクラウド
One major improvement you can make is to eliminate all services that are hosted in your offices. We call these services “on premises” or “on-prem” services. Examples of on-prem services are mail and file storage in your office space. These systems require a great deal of skill to secure. They also require time to patch, to monitor, and to respond to potential security events. Few small businesses have the time and expertise to keep them secure.	大きな改善点の 1 つは、オフィスでホストされているすべてのサービスを排除することだ。これらのサービスは「オンプレミス」または「オンプレミス」サービスと呼ばれる。オンプレミスサービスの例としては、オフィススペースでのメールやファイルの保存がある。これらのシステムは、セキュリティを確保するために高度なスキルが必要だ。また、パッチの適用、監視、潜在的なセキュリティイベントへの対応にも時間がかかる。これらを安全に保つための時間と専門知識を持っている中小企業はほとんどない。
While it’s not possible to categorically state that “the cloud is more secure,” we have seen repeatedly that organizations of all sizes cannot continuously handle the security and time commitments of running on-prem mail and file storage services. The solution is to migrate those services to secure cloud versions, such as Google Workspace or Microsoft 365 for enterprise email. These services are built and maintained using world-class engineering and security talent at an attractive price point. We urge all businesses with on-prem systems to migrate to secure cloud-based alternatives as soon as possible.	「クラウドの方が安全である」と断定することはできないが、あらゆる規模の組織が、オンプレミスのメールやファイルストレージサービスの運用に伴うセキュリティと時間的な負担を継続的に処理することは不可能であることが繰り返し確認されている。解決策は、これらのサービスを、エンタープライズ向けメール用の Google Workspace や Microsoft 365 などの安全なクラウド版に移行することだ。これらのサービスは、世界トップクラスのエンジニアリングとセキュリティの専門知識を用いて構築、維持されており、魅力的な価格帯で提供されている。オンプレミスシステムを使用している企業は、できるだけ早く、安全なクラウドベースの代替サービスに移行することをお勧めする。
Secure endpoints	エンドポイントのセキュリティ
While all operating system vendors work to continuously improve the security of their products, two stand out as being “secure by design,” specifically, Chromebooks and iOS devices like iPads.	すべての OS ベンダーは、自社製品のセキュリティの継続的な改善に取り組んでいるが、その中でも、Chromebook と iPad などの iOS デバイスは、「設計段階からセキュリティが考慮されている」という点で際立っている。
Some organizations have migrated some or all of their staff to use Chromebooks and iPads. As a result, they have removed a great deal of “attack surface,” which in turn makes it much harder for attackers to get a foothold. Even if an attacker were able to find a foothold on those systems as part of a ransomware attack, the data primarily lives in a secure cloud service, reducing the severity of the attack.	一部の組織では、社員の一部または全員を Chromebook および iPad に移行している。その結果、攻撃の「攻撃対象領域」が大幅に削減され、攻撃者が足場を固めることが非常に困難になっている。たとえ攻撃者がランサムウェア攻撃の一環としてこれらのシステムに足場を固めたとしても、データは主に安全なクラウドサービスに保存されているため、攻撃の被害は最小限に抑えられる。
Additional Information*	追加情報*
For more information and resources for Small and Medium-sized businesses, visit Small and Medium Businesses \| Cybersecurity and Infrastructure Security Agency CISA and our Small Business Week page:[web]	中小企業向けの詳しい情報やリソースについては、中小企業 \| サイバーセキュリティ・インフラセキュリティ庁 CISA および、中小企業週間ページ [web] をご覧ください。
*This page was updated in April 2024.	*このページは 2024 年 4 月に更新された。