【チェックリスト】個人・中小企業のためのセキュリティ自己点検 20項目

「セキュリティ対策、何から手をつければいいか分からない」——そんなときは、まず今の自分（自社）が、どこまでできているかを点検するのが近道です。本記事は、個人・中小企業がそのまま使えるセキュリティ自己点検チェックリスト20項目。専門家でなくても○×で答えられる形にしました。できていない項目こそ、これから取り組むべき優先課題です。

なぜ「自己点検」から始めるのか

セキュリティは範囲が広く、やみくもに製品を入れても穴は塞がりません。まず現状を可視化し、抜けている基本を見つけることが先決です。とくに中小企業や個人は「うちは狙われない」と考えがちですが、攻撃の多くは無差別かつ自動化されており、守りの甘い相手が標的になります（連載第1回参照）。規模に関係なく、基本の徹底が最大の防御です。

使い方

各項目に「できている＝○」で答えてください。○の数があなたの現在地です。×が付いた項目は、上から順に手をつけるほど効果が高くなるよう並べています。

① アカウント・認証（最優先）

• 重要なアカウント（メール・銀行・SNS等）でパスワードを使い回していない
• 多要素認証（MFA）を主要サービスで有効にしている
• パスワードマネージャー等で安全に管理している（紙やブラウザ平文保存ではない）
• 不要になった古いアカウントを放置していない（退職者・使っていないサービス）

② 端末・更新

• PC・スマホのOSを最新に保っている（自動更新オン）
• 業務で使うソフト・アプリも更新している
• PC・スマホに画面ロック（生体認証等）を設定している
• スマホの紛失時の遠隔ロック／消去を有効にしている

③ データ・バックアップ

• 重要データのバックアップを取っている
• バックアップの1つはオフライン／離れた場所にある（ランサムウェア対策の要）
• バックアップから実際に戻せるか試したことがある

④ メール・Web

• 不審なメールのリンク・添付を開かない習慣がある（フィッシング対策）
• 振込先変更・送金はメール以外で裏取りするルールがある（BEC対策）
• 偽の警告画面（サポート詐欺）の手口を知っている

⑤ ネットワーク

• 重要な操作は公衆Wi-Fiを避けている（テザリング等）
• ルーター・VPN機器の初期パスワードを変更し、更新している

⑥ 組織・人（中小企業向け）

• どんな端末・サービス・データがあるか把握している（資産の一覧）
• 従業員に最低限のセキュリティ教育をしている
• 事故が起きたとき「誰に連絡するか」が決まっている
• ミスや事故を責めずに報告できる雰囲気がある

点数の見方

• 16〜20個：基本はしっかり。継続と、より進んだ対策（EDR・ログ監視等）へ。
• 10〜15個：及第点だが穴あり。×の項目を、上のグループから順に潰そう。
• 9個以下：まず①アカウント・認証と③バックアップから着手を。ここが被害の分かれ目になります。

守りは、足りない基本を1つ埋めることから始まる。

Omamori AI の結論

1. 事実：攻撃は無差別・自動化されており、規模に関係なく「守りの甘い相手」が標的になる。被害の多くは高度な攻撃ではなく、基本の抜けを突かれて起きる。
2. 判断軸：製品の導入より先に現状を可視化し、抜けている基本から埋める。優先度はアカウント・認証＞バックアップ＞更新の順。
3. 打ち手：このリストで自己点検し、×の項目を上から順に解消する。組織は「連絡体制」と「報告できる文化」を早期に整える。

関連記事・次の一歩

👉 連載「はじめてのセキュリティ」（全7回）
👉 セキュリティ用語集 ― まず押さえたい20語

このチェックでAI時代特有のリスク（シャドーAI・生成AIへの情報入力）も気になった方は、無料の90秒セルフ診断で、業務領域別にリスクを可視化してみてください。