法人PCのセキュリティ対策基本ポイント7選

近年、デジタル化の進展に伴い企業を取り巻くセキュリティ脅威は増大しています。
独立行政法人情報処理推進機構（IPA）は、2024年に発生した社会的に影響が大きかったと考えられるセキュリティ脅威（組織向け）として下記の10個を挙げています。

出典：独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威 2025［組織］」

本章では、上記の情報セキュリティ脅威に関連する、法人PCのセキュリティ上のリスクについて解説します。

リモートワークに関するサイバー攻撃の中でも「ランサムウェア」による被害が多くなっています。IPA(情報処理推進機構)が発表した情報セキュリティ10大脅威の中でも1位となっているランサムウェアは、感染した端末のデータを暗号化して利用できない状態にしたうえで、解除と引き換えに身代金を要求するマルウェアです。
メールやWebサイト、VPN機器など、利用者の業務に直結する経路やリモートアクセス時の入口から感染するため、特に注意が必要です。また、近年では二重脅迫型ランサムウェアにより、身代金を払わなければ窃取した情報をWebサイト上に暴露すると脅迫される被害も出ています。

以下の記事ではランサムウェアの感染経路について解説しております。あわせてご覧ください。
ランサムウェアの感染経路とは？一覧と攻撃動向、対策や予防まで解説

サプライチェーン攻撃とは、サプライチェーンのうちセキュリティ対策が不十分な企業を起点にして行われるサイバー攻撃です。攻撃を受けた企業だけでなく、サプライチェーンを構成する他の企業（標的となる企業）に被害が及ぶため影響が拡大しやすく、取引先や関連企業からの信頼を失うおそれがあります。

サプライチェーン攻撃には以下の3つの手法があります。

・ビジネスサプライチェーン攻撃：攻撃者がターゲット企業のサプライチェーン内の関連会社や取引先、子会社のシステムに侵入する手法です。

・サービスサプライチェーン攻撃：ウェブサービスを提供する事業者を経由してターゲット企業の情報を狙う手法です。

・ソフトウェアサプライチェーン攻撃：企業が導入したIT機器やソフトウェアの開発元を狙う手法です。

サイバー攻撃の多様化や高度化が進んでいるため、最新のシステムやソフトウェアであってもセキュリティの脆弱性を突かれる可能性があります。昨今では、ゼロデイ攻撃という、セキュリティホールが発見されてから修正プログラムが配布されるまでのわずかな時間に攻撃を仕掛けるケースも多発しています。

また、リモートワークの環境下では社内への注意喚起スピードが出社時よりも遅くなりやすいため、リスクがさらに大きくなってしまいます。

内部不正による情報漏えいは、組織内部の関係者によって引き起こされる脅威です。主に金銭的利益や転職先での悪用、組織に対する恨みといった動機で引き起こされます。
重要情報の持ち出しや第三者への提供、不特定多数が閲覧できる場所への情報公開などの形で情報が漏えいし、顧客への損害の発生や社会的信用の低下、賠償による経済的損失といったリスクが生じます。
漏えいだけでなく、内部の関係者によって重要な情報の削除や改ざんが行われるケースもあります。

特定の組織や企業を狙って機密情報の窃取や業務妨害を目的とする攻撃です。
攻撃手法は「標的型メール」が一般的であり、メールを介して組織のPCにウイルスを感染させ、機密情報の窃取や金銭的利益の要求などを行います。また、ターゲットが頻繁にアクセスするWebサイトに不正なプラグラムを仕込み、ウイルスを感染させる「水飲み場攻撃」もあります。

リモートワーク環境では、メールを介したコミュニケーションが増加したことでフィッシングメールやビジネスメール詐欺が増えているため、細心の注意が必要です。

リモートワーク環境ではフリーWi-Fiを用いて、勤務先のネットワーク環境へアクセスすることもあります。しかし、このようなフリーWi-Fiは通信内容が暗号で保護されていないケースも多く、悪意のある第三者に盗み見されるリスクがあります。また、個人の公衆回線もセキュリティ対策が十分とは言えないため、利用時には注意が必要です。

さらに、リモートワークにより自宅や外部のデバイスを業務用PCに接続する機会が増えたことで、USBメモリや外付けHDDを経由したマルウェア感染のリスクも高まっています。

セキュリティ面のリスクを最小限に抑えるための基本的な対策を7つご紹介していきます。

パスワードを設定することは基本中の基本ですが、近年ではパスワードの解析技術も発展しており、第三者に推測されにくいパスワードの設定が重要です。具体的には、生年月日など自身に関係のある文字列を避け、無作為に選んだ任意の英数字にすることが挙げられます。パスワードを複数のサービスで使いまわさないことも重要です。

また、IDやパスワードを入力した後、ショートメールやSMS内の認証コードを入力する2段階認証や、知識情報（ID、パスワード等）のほかに所持情報（スマートフォン、ICカード等）、生体情報（指紋、顔等）を組み合わせる多要素認証の設定もおすすめです。近年では、こうした認証に必要な生体認証方式に対応したPCも増えてきています。

テレワークの普及に伴って社外の公衆無線LANを利用する機会が増えています。 誰でも利用できる無料の公衆無線LANは、第三者によって通信内容が傍受される危険性があるため、公衆無線LANを利用する際には信頼できるネットワークか、セキュリティ保護がされているかをよく確認するべきでしょう。

セキュリティの脅威は多様化や高度化しており、対策も日々改善されています。 その一環としてベンダーはOSやソフトウェアを随時更新しているため、新たな脅威に対処するためには常に最新版へのアップデートやバージョンアップを行うことが重要です。

先述したOSやソフトウェアの更新に加え、セキュリティ対策(ウイルス対策)ソフトの導入も必須です。 ポイントとして、ウイルス対策ソフトのインストール後は定義ファイルを常に最新版にしておくことが挙げられます。
セキュリティソフト選定の際には、標準的なウイルス検出・駆除の機能だけではなく、ファイアウォールやフィッシング詐欺対策など、サイバー攻撃からPCを防御する機能が備わっているか確認を行いましょう。
また、テレワークのようなリモートアクセス下では、ファイアウォールを経由しない通信もあるため、EPPやEDRといった、端末自体の情報を保護できるエンドポイントセキュリティも重要です。

エンドポイントセキュリティについては以下の記事で解説しております。
エンドポイントセキュリティとは？重要視される背景やEPP・EDRについて解説

セキュリティソフトの重要性や選び方については以下の記事をご覧ください。

パソコン購入時に必要なウイルス対策とは？
セキュリティソフトの必要性と選び方

多くの個人情報や機密情報を扱う企業にとって、パソコンのウイルス対策は非常に重要です。近年はサイバー攻撃が複雑化・巧妙化していますが、法人パソコン購入時に適切なセキュリティソフトを導入し、対策を行うことでリスクを減らすことができます。 本記事では、パソコン購入時に求められるウイルス対策や、セキュリティソフトの導入メリット、選び方を解説します。

OSにはサポート期限があり、バージョンが古いものだとサポート期限が迫っている可能性が高く、サポートの期限が終了するとセキュリティ更新プログラムの提供がなくなってしまいます。セキュリティの脆弱性が改善できなくなってしまうため、OSのサポート期限を把握しておくことが必要です。
また、OSのサポート期限だけでなく、ソフトウェアのサポート期限も同様に把握しておくことが重要です。

なお、ハードウェアやOS、サーバー、ソフトウェアなどの生産、販売、サポートが終了することを「EOL」（End Of Life）と言います。セキュリティ対策やコンプライアンス順守の観点から、EOLを把握することは不可欠です。

EOLに関する詳細は以下の記事をご覧ください。

EOLとは？放置することのリスクや情シスが行うべき対応について

ITの分野ではよく「EOL」という言葉を見聞きします。EOLとは「End of Life」の略で、製品のライフサイクルが終わることを指し、放置しているとさまざまなリスクが生じます。そのため、EOLを迎える前に適切にリプレイスを行う必要があり、セキュリティの観点やビジネスの継続性を確保するためにもEOLについて知っておくことが大切です。 本記事では、EOLの概要やEOLを放置することのリスク、情シス部門がEOLに備えてやるべきことを解説します。

また、サポート期限を把握するだけでは十分ではなく、サポート終了に備え、ハードウェア、OS、ソフトウェアの更新・維持計画を立て、継続的に実践することで、安全な環境を維持することが求められます。

ウイルス感染によって重要なデータの破損や消失が起こる可能性があります。そのようなときでもスムーズに復元できるように、定期的なバックアップ取得と確認が重要です。

たとえば、近年流行しているランサムウェア「Emotet」などのマルウェアに感染してしまっても、バックアップを取っておくことで感染前の状態に復元が可能となり、データの消失を回避できます。

また、ランサムウェアに対応しうる理想的なバックアップ方法として、「321ルール」があります。これはデータのコピーを3つ保管し、2種類は異なる媒体でバックアップ、1つは異なる場所（オフサイト）で保管する方法です。

セキュリティ対策は、「ヒト」と「モノ」の両面で実行することで、はじめて効果が得られます。
そのため、セキュリティリスクを低減するためには、「ヒト」に対する対策として社員へのセキュリティ教育を徹底することが重要です。
法人PCを使用するうえでのルール整備も重要です。
例えば、不審なメールは開かない、フリーWi-Fiを使用しない、不審なサイトを開かない・個人情報を入力しない、ID・パスワードは共有しないといった基本的なルールを共有し、順守を徹底しましょう。

また、情報システム部門や総務部が認知せず、社員が独自に導入したIT機器やクラウドサービス等を指す「シャドーIT」もセキュリティ上のリスクとなるため、社員にシャドーITのリスクについて周知することも重要です。

シャドーITの詳細は以下の記事をご覧ください。
シャドーITとは？リスクと対策について解説

次章では、このような対策を行う際に情シス担当者が抱えやすい課題についてご紹介していきます。

情シス担当者のセキュリティ対策における主な課題は以下3つが挙げられます。

情シス担当者はセキュリティ対策だけでなく通常業務も抱えているため、人的リソースが足りない企業も多いです。実際に、総務省の「情報通信白書」によると、日本企業の約9割がセキュリティ対策に従事する人材が不足していると言われています。

出典：総務省第1部　5Gが促すデジタル変革と新たな日常の構築　「第4節　5G時代のサイバーセキュリティ」

また、セキュリティ対策は直接企業の売上に繋がらず、投資対効果が評価されにくく、限られたIT予算に対して十分な割り当てを実施できていないことも問題視されています。

日々多様化や高度化しているサイバー攻撃に備えて万全のセキュリティ対策を取るには、新たなスキルや知識を得る必要があります。しかし、情シス一人当たりの業務負担が大きい現状では、時間を確保することが困難です。
また働き方改革が進むことで、従業員の業務負担軽減が求められ、知識やスキル取得のための十分な時間を確保することはますます難しくなっています。

セキュリティ対策に従事する人材不足によって、社内にセキュリティに関する知見を持っている人材が少なく、セキュリティについての相談をできる人がいないという課題もあります。

今後は、経営層がセキュリティ対策の重要性を認識し、専門的な知識を持つ担当者の任命や教育の充実などによって相談できる人材確保が重要と言えます。

次章では、上記のようなセキュリティ対策を取りたくても間に合わない企業に対して、アウトソーシングによって適切なセキュリティ対策を実施する選択肢についてご紹介していきます。

Wave PC Mateは、ハードウェアの提供から運用管理・撤去までのPCライフサイクル全体を通したトータルアウトソーシングサービスです。セキュリティ対策に関してもウイルス対策ソフトの定義ファイルなどを更新するための配布環境を提供しています。

確実なセキュリティ維持の実現に加えて、顧客に最適な法人PCの提供をしながら、PCのセットアップや障害時のリカバリー対応を行うことが可能です。
また、一元窓口を設けているため、利用者様の相談から課題解決までを一貫してサポートします。

このようにPCに関わる運用業務をトータルにアウトソーシングできるため、情シス部門の業務負荷を減らし、課題解決を実現します。

以下では、社内のセキュリティ対策を強化する方法についてご紹介しています。ご興味のある方はあわせてぜひご覧ください。