
情報システム担当者が学ぶマルウェア対策の基本と優先順位
目次[非表示]
マルウェア対策は、ウイルス対策ソフトを入れれば終わるものではありません。
情報システム担当者の実務では、メール経由の侵入、脆弱性の悪用、認証情報の窃取、不正なリモート接続、委託先経由の感染など、複数の入口を前提に考える必要があります。
Source: IPA 情報セキュリティ10大脅威 2026
IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の上位にランサム攻撃やサプライチェーンを狙った攻撃、脆弱性悪用が挙げられています。
これは、マルウェア対策を製品単体で見るのではなく、認証、公開設定、資産管理、復旧体制まで含めて考えるべきだという示唆です。
この記事では、情報システム担当者向けに、マルウェア対策の基本を「何から先に着手すべきか」という順序で整理します。
IPA、CISA、NISTの一次情報をもとに、実務で外しにくい基本対策に絞って解説します。
優先度 | 先に見る対象 | 具体策 | ねらい |
|---|---|---|---|
最優先 | 公開中のサービス、VPN、RDP、メール、ID基盤 | 更新、不要ポート閉鎖、MFA、ログ確認 | 侵入口を減らす |
高 | 業務端末、サーバー、共有領域 | EDR/AV、権限最小化、マクロや実行制御 | 実行と横展開を止める |
中 | バックアップ、復旧手順、連絡体制 | オフライン保管、復旧訓練、初動手順 | 暗号化後でも業務継続する |
低 | 委託先、クラウド設定、利用ルール | 契約確認、設定見直し、教育 | 見落とし経路を減らす |
この表で重要なのは、順位の高い脅威をそのまま対策の順番に置き換えないことです。IPAは2026年版で、脅威ランキングは「各組織において実施すべき対策の優先度とは必ずしも一致しない」と明記しています。つまり、まずは自社で被害が起きやすい入口を押さえ、そのうえで共通対策を継続できる形にすることが重要です。
「10大脅威」のランキングは、各組織において実施すべき対策の優先度とは必ずしも一致はしない
この引用が示す通り、情シスの仕事は「流行の脅威名に反応すること」ではなく、「自社にとっての侵入口と停止リスクを先に閉じること」です。
マルウェア対策は「製品選び」だけではない
マルウェア対策を整理すると、実務上は次の3段階に分けると判断しやすくなります。
侵入させない
公開資産の脆弱性を減らし、認証を強化し、危険な設定を残さない段階です。実行させない
端末やサーバー上で未知のプログラムや不正スクリプトが動きにくい状態を作る段階です。戻せる状態を作る
暗号化や破壊が起きても、バックアップと復旧手順で業務を再開できるようにする段階です。
NISTはアプリケーション許可リストを、承認済みのプログラムだけを実行させる仕組みとして説明し、適切に構成すればマルウェアや未承認ソフトの実行を止める助けになるとしています。すべての企業で厳格な許可リストをすぐ導入できるわけではありませんが、少なくとも管理対象端末では「何でも実行できる状態」を減らす方向が基本です。
Source: NIST SP 800-167
最優先は公開資産と認証の見直し
多くの組織で、最初に取り組むべきなのは公開中のサービスと認証です。
CISAは、RDPのようなサービスを安易にインターネットへ公開しないこと、公開が必要な場合は補完策を講じること、インターネット向け機器の脆弱性を優先して修正することを勧めています。
また、VPNやメール、重要システムに対して、フィッシング耐性のある多要素認証を実装することも強く推奨しています。
Source: CISA #StopRansomware Guide
ここでいう公開資産には、たとえば次のようなものがあります。
- VPN装置、リモートデスクトップ、Webメール、リバースプロキシ
- 外部公開Webサーバーと管理画面
- SaaSの管理者アカウント
- 委託先や保守ベンダー向けの接続経路
特に、使っていない公開ポート、例外的に開けたままのRDP、長く更新していないネットワーク機器は、侵入の入口になりやすい箇所です。
IPAの2026年版でも、ランサム攻撃の対策として、不要なポートの遮断、認証強化、PC・サーバー・ネットワーク機器への適切なセキュリティ対策が挙げられています。
情シスがまず着手しやすい作業は次の通りです。
- 外部公開中の資産一覧を作る
- 管理用画面やRDPが直接公開されていないか確認する
- 重要アカウントへMFAを必須化する
- 更新できていない機器とソフトを洗い出す
- 委託先接続のIDと経路を棚卸しする
次にやるべきは「端末上で動かさない」設計
侵入を100%防ぐことはできないため、次の防波堤は端末・サーバー上での実行制御です。
ここで重要なのは、ウイルス対策ソフトの有無よりも、未承認ソフトや不審なスクリプトをどこまで抑えられるかです。
NISTは、アプリケーション許可リストを導入する際、OSに標準搭載された仕組みの活用、監視モードでの事前検証、段階的な展開を勧めています。
また、単純なファイルパスやファイル名だけで許可するのではなく、電子署名やハッシュなど複数属性の組み合わせを検討すべきだとしています。
Source: NIST SP 800-167
実務上は、次の順で進めると無理が出にくくなります。
- 管理対象端末の標準ソフトを定義する
- ローカル管理者権限を必要最小限にする
- スクリプトやマクロの実行ルールを見直す
- 監視モードでアプリ制御を試す
- 高リスク部門や共有端末から段階展開する
この段階は、未知のマルウェア対策として有効です。既知のシグネチャに依存するだけでなく、「許可されていないものは動かしにくい」状態を作れるからです。
バックアップは保管だけでなく復旧訓練までが対策
ランサムウェアやワイパー系の被害を考えると、バックアップは最重要項目です。
CISAは、重要データのオフラインかつ暗号化されたバックアップを維持し、定期的に利用可能性と完全性を確認することを勧めています。
さらに、クラウド上の自動バックアップだけでは、暗号化されたローカルファイルが同期されて正常データを上書きする可能性があるため、十分でない場合があると注意しています。
Source: CISA #StopRansomware Guide
IPAの「中小企業の情報セキュリティ対策ガイドライン」第4.0版でも、従来の5か条に「バックアップを取ろう!」が追加されました。
これは、被害予防だけでは事業継続を守れないという認識の表れです。
Source: IPA 中小企業の情報セキュリティ対策ガイドライン 第4.0版
バックアップ運用で最低限確認したい点は次の通りです。
- どのデータを何時間ごとに戻す必要があるか定義されているか
- バックアップ先が本番ドメインや同一認証情報に強く依存していないか
- 復元手順書があり、担当者以外でも実施できるか
- 年1回以上ではなく、重要システムは定期的に復旧訓練しているか
- 復元後の動作確認範囲が決まっているか
「取得している」だけでは、実際の障害時に戻せないことが珍しくありません。
情シスにとっては、バックアップ製品の導入より、復元手順と責任分担の確立のほうが優先です。
インシデント対応は「感染後に考える」と遅い
マルウェア対策で見落とされやすいのが、感染後の初動です。
CISAは、ランサムウェア被害時には、影響範囲の特定と隔離、ネットワークから切り離せない場合の停止判断、復旧対象の優先順位付けを順に進めるよう勧めています。
また、攻撃者が組織内の通信を見ている可能性を考え、検知後の連絡には帯域外の手段も使うべきだとしています。
Source: CISA #StopRansomware Guide
重要なのは、被害の大きさより先に「誰が切り離しを判断できるか」が決まっているかです。
情シスだけで判断できない企業では、経営層、法務、広報、委託先との連絡経路も事前に整理しておく必要があります。
IPAのガイドライン第4.0版も、責任者への報告、経営者へのエスカレーション、ネットワーク遮断や機器隔離などの初動を速やかに行う必要があると説明しています。
マルウェア感染時の初動メモとして、最低限次の4点は用意しておくと実務で役立ちます。
- 端末隔離の方法
- 連絡経路
- 優先業務
- 証跡保全
「感染させない」対策だけでなく、被害を最小化する備えまで含めて、マルウェア対策は成り立ちます。
見落としやすいのは委託先とクラウド設定
マルウェア対策を社内端末だけの話として扱うと、委託先やクラウドの設定変更で穴が残ります。
IPAの2026年版では、サプライチェーンや委託先を狙った攻撃が組織向け脅威の上位に挙げられています。
委託先の侵害、正規サイトの改ざん、資産管理ソフト経由の感染といった経路は、情シス部門でも把握し切れていないことがあります。
そのため、次の確認は後回しにしないほうが安全です。
- 委託先がどの情報資産へ触れるか
- 契約上の責任範囲と報告義務が明確か
- クラウド設定変更の通知や監査ログを確認できるか
- ソフトウェア更新元が正規であることをどう検証するか
- 納品物や導入ソフトの構成を把握できているか
IPAのガイドライン第4.0版は、資産管理、攻撃の防御、検知、点検と改善、インシデント対応体制、取引先や外部情報サービスの管理までを段階的に実装する構成になっています。
つまり、情シス担当者にとってのマルウェア対策は、端末保護に閉じたテーマではなく、取引先管理を含む運用設計です。
小規模な情シスでも回しやすい導入順
人手が限られる組織では、理想的な対策を一気に並べても運用できません。
IPAのガイドライン第4.0版がSTEP方式を採っているのはそのためです。
まず必要最低限の対策を実施し、自社診断で弱みを把握し、その後に組織的な対策へ広げる流れは、少人数でも進めやすい現実的な順序です。
Source: IPA 中小企業の情報セキュリティ対策ガイドライン 第4.0版
少人数の情報システム担当者なら、初回の90日計画は次のように区切ると進めやすくなります。
期間 | 優先作業 | 完了条件 |
|---|---|---|
1〜30日 | 外部公開資産、管理者ID、未更新機器の棚卸し | 一覧表があり、担当と更新可否が見える |
31〜60日 | MFA強制、不要公開停止、バックアップ確認 | 重要IDへMFA適用、危険な公開設定を閉鎖 |
61〜90日 | 初動手順、復旧訓練、委託先確認 | 連絡経路と復元テスト結果が残る |
この進め方の利点は、先に「見える化」と「危険な穴を閉じる」ことに集中できる点です。
高度なSOC運用やゼロトラスト設計は有効ですが、未更新VPNや未設定MFAが残ったままでは効果が薄れます。
よくある誤解
ウイルス対策ソフトを入れていれば十分か
十分ではありません。現在のマルウェア対策では、脆弱性対策、認証強化、実行制御、権限管理、バックアップが組み合わさってはじめて防御層になります。AVやEDRは重要ですが、それ単独では公開設定や認証情報の窃取を防げません。
クラウド利用なら自社の対策負担は小さいか
一部は軽くなりますが、責任が消えるわけではありません。CISAはクラウド設定の不備やIAMの問題にも注意を促していますし、IPAもクラウド利用時には責任範囲の明確化と設定見直しを追加対策として挙げています。SaaSの管理者アカウントにMFAがない、権限が過剰、監査ログを見ていない状態なら、オンプレと別の形でリスクが残ります。
バックアップがクラウド同期だけでも問題ないか
危険です。CISAは、自動クラウドバックアップだけでは、暗号化されたファイルが同期されて正常データを上書きする可能性があると注意しています。少なくとも一部は隔離性の高い保管方式と復旧訓練が必要です。
ランキング上位の脅威だけ追えばよいか
それも不十分です。IPAはランキングを対策優先度そのものとみなすべきではないとしています。自社の公開面、認証、委託先、停止できない業務を前提に、実際の優先順位を決める必要があります。
情報システム担当者向けの優先順位チェックリスト
ここまでの内容を、着手順に落とすと次のチェックリストになります。短期間で全部を終える必要はありませんが、上から順に埋めると事故の入口を減らしやすくなります。
- 外部公開資産を一覧化したか
- VPN、メール、管理者アカウントにMFAを必須化したか
- 未更新の機器、OS、ブラウザ、プラグイン、文書閲覧ソフトを把握したか
- 不要ポート、不要サービス、例外公開設定を整理したか
- EDRまたはウイルス対策ソフトの監視範囲を確認したか
- 共有フォルダと管理者権限の過剰付与を見直したか
- バックアップの隔離性と復旧訓練を確認したか
- 初動時の報告先、隔離手順、業務継続判断を文書化したか
- 委託先接続とクラウド管理者権限を棚卸ししたか
- 添付ファイル、URL、生成AI入力、私物端末利用のルールを周知したか
優先順位を決めるときの判断軸
最後に、どの対策から着手するか迷ったときの判断軸を整理します。情シス実務では「重要そうだから」ではなく、被害の起きやすさと業務停止の大きさで並べると判断しやすくなります。
- 侵入口として使われやすいか
公開資産、メール、認証、委託先接続は優先度が上がります。 - 横展開しやすいか
共有権限の過剰付与、管理者権限の乱用、未分離のネットワークは優先度が上がります。 - 復旧に時間がかかるか
基幹システム、ファイルサーバー、認証基盤は事前準備の優先度が上がります。 - 代替手段がないか
止まると受発注や顧客対応が止まる業務は、バックアップと手順整備を先に進めるべきです。
この4軸で見れば、単に脅威名を追うより、自社にとって意味のある順番が見えやすくなります。マルウェア対策は一度決めて終わりではなく、棚卸し、見直し、訓練を回して優先順位を更新し続ける運用課題です。
その前提で、まずは公開面と認証から手を付けるのが最も失敗しにくい順番です。
まとめ
情報システム担当者が学ぶべきマルウェア対策の基本は、「何の製品を入れるか」より先に、「どこから入られ、何が止まり、どう戻すか」を整理することです。
2026年時点の一次情報を見ても、重要な基本は大きく変わっていません。更新管理、認証強化、設定見直し、実行制御、バックアップ、委託先管理、訓練の継続です。
優先順位をつけるなら、まず公開資産と認証、次に端末上での実行抑止、その次にバックアップと復旧体制、最後に委託先やクラウドの見落としを塞ぐ順が現実的です。
脅威は増え続けますが、攻撃の糸口は意外と共通しています。
情シスの役割は、流行の脅威名に追われることではなく、共通対策を続けられる運用へ落とし込むことです。



