中小企業のエンドポイントセキュリティ対策｜情シス1人でもできるWindows端末の設定チェックリストと管理ツール選び

社員50名規模の中小企業でシステム担当を一人で任されている場合、「セキュリティ対策は何から手をつければいいのか」という悩みを抱えている方は多いのではないでしょうか。ランサムウェアの被害ニュースが毎月のように出る中、「うちは大丈夫か」という不安は当然です。

セキュリティの世界では、侵入経路の7割以上がエンドポイント（社員が日常的に使うPCやスマートフォン）経由だというデータがあります。つまり、エンドポイントのセキュリティを固めることが、企業全体のセキュリティ向上に直結します。

この記事では、中小企業の情シス担当者が一人体制でも実践できるエンドポイントセキュリティ対策を、Windows端末を中心に具体的な設定手順とチェックリスト形式でまとめます。予算をかけすぎずに、今日から始められる対策から順番に解説します。

エンドポイントセキュリティとは？なぜ中小企業が狙われるのか

エンドポイント（Endpoint）とは、ネットワークの末端に位置するデバイスのことです。社員のWindows PC、MacBook、スマートフォン、タブレットなどがこれに該当します。

「エンドポイントセキュリティ」は、これらのデバイスをマルウェア感染・情報漏洩・不正アクセスから守るための対策全体を指します。

中小企業が特に狙われやすい理由は、主に以下の3点です。

・セキュリティ体制の薄さ: 大企業のような専任のSOCや24時間監視体制がなく、攻撃者にとって侵入後に発覚しにくい環境です
・サプライチェーンの入口: 大企業との取引関係があると、中小企業を踏み台にして大企業ネットワークに侵入する「サプライチェーン攻撃」の標的になります
・パッチ適用の遅れ: 担当者が少ないため、脆弱性が発表されても対応が後回しになりやすい実態があります

パロアルトネットワークスの調査（2026年）では、国内中小企業のランサムウェア被害時の平均停滞日数は54日に上り、その間の事業継続困難による損害が平均6.4億円に達するという衝撃的なデータが示されています。「うちは規模が小さいから大丈夫」という考え方は、残念ながら現実と一致しません。

攻撃者がエンドポイントを狙う手口（敵を知る）

防御策を考える前に、攻撃者がどのようにエンドポイントに侵入するのかを把握することが大切です。攻撃手法を理解することで、対策の優先度が明確になります。

1. マルウェア・ランサムウェアの侵入経路

最も多い侵入経路はメールの添付ファイルです。Excelファイルに仕込まれたマクロ、PDFに偽装した実行ファイル、正規のソフトウェアに見せかけたインストーラーなど、手口は年々巧妙になっています。

また、Webブラウザの脆弱性を突いた「ドライブバイダウンロード」も依然として多く、悪意のあるサイトを閲覧しただけでマルウェアがインストールされるケースもあります。社員へのセキュリティ教育と、ブラウザの最新化が重要な理由の一つです。

2. 正規ソフトを悪用する「Living off the Land」攻撃

近年増加しているのが、WindowsのPowerShellやWMI（Windows Management Instrumentation）、certutil.exeなど、OSに標準で含まれるツールを悪用する手法です。これを「Living off the Land（LotL）攻撃」と呼びます。

従来のアンチウイルスソフトは「既知のマルウェア」を検知するシグネチャベースの方式が主流でしたが、LotL攻撃では正規のWindowsコマンドしか使わないため検知が困難です。これが、昨今EDR（Endpoint Detection and Response：エンドポイントの脅威を検知・対応するソフト）への移行が進む背景の一つです。

3. 未パッチの脆弱性を突く攻撃

Windowsの脆弱性が公表された後、パッチが公開されるまでの「ゼロデイ期間」はもちろん、パッチが公開された後も適用が遅れている端末は格好の標的です。攻撃者は公表された脆弱性情報をスキャンツールと組み合わせて素早く活用します。対応が1週間遅れるだけで、被害を受けるリスクが大幅に上昇します。

具体的な防御手順：Windowsセキュリティ設定チェックリスト

ここからは、情シス担当者が実施すべき具体的な設定手順を解説します。まずは無料でできることから始め、段階的にレベルを上げていくのが現実的なアプローチです。

1. Windows Defenderの設定を最大化する

Windows 10/11に標準搭載されているMicrosoft Defender（旧称Windows Defender）は、正しく設定すれば有料のアンチウイルスと遜色ない防御力を発揮します。追加費用ゼロで今日から強化できる最初の一手です。

確認・有効化すべき設定項目は以下のとおりです。

# PowerShellで現在の設定状態を確認（管理者権限で実行）
Get-MpPreference | Select-Object -Property DisableRealtimeMonitoring, CloudBlockLevel, EnableNetworkProtection

# クラウドによる保護を有効化（最新の脅威情報をリアルタイム参照）
Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples

# ネットワーク保護を有効化（悪意あるURLへの接続をブロック）
Set-MpPreference -EnableNetworkProtection Enabled

# フォルダーアクセスの制御を有効化（ランサムウェアによるファイル暗号化を防止）
Set-MpPreference -EnableControlledFolderAccess Enabled

グループポリシーで複数台を一括管理する場合は、「コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → Microsoft Defender ウイルス対策」から各設定を一元管理できます。Active Directory環境があれば、GPOで全社展開も可能です。

2. Windows Updateを確実に適用する

Windows Updateの手動管理は、端末台数が増えると現実的ではありません。以下の方法で自動適用を徹底させることが基本です。

・WSUS（Windows Server Update Services）の活用: 社内にWindows Serverがある場合、WSUSで一元管理するのが確実です。承認フローを設けて、動作確認後に全社展開できます
・Microsoft Intuneの活用: クラウドベースのデバイス管理サービスで、Microsoft 365 Business Premiumに含まれます。端末管理・ポリシー配布・セキュリティ状態の可視化がひとつのポータルで完結します
・グループポリシーで強制適用: Active Directory環境がある場合、GPOで「自動更新の構成」を設定し、業務時間外に自動インストール・再起動するよう設定します

重要なのは、「適用できているか確認する仕組み」を作ることです。Intuneなどの管理ツールを使えば、未適用端末をダッシュボードで一目で把握できます。

3. BitLockerでディスク暗号化

PCの盗難・紛失時に情報漏洩を防ぐ最も確実な手段が、ディスク全体の暗号化です。Windows Pro以上に搭載されているBitLockerを使えば、追加費用なしで実装できます。

# BitLockerの状態確認（管理者権限のPowerShellで実行）
manage-bde -status

# Cドライブを暗号化（TPMが有効な端末での例）
manage-bde -on C: -recoverypassword -skiphardwaretest

# 回復キーをActive DirectoryまたはAzure ADにバックアップ
manage-bde -protectors -adbackup C: -id {回復キーID}

回復キーは必ずActive DirectoryまたはMicrosoft Entra ID（旧Azure AD）にバックアップしてください。担当者が退職した際や端末の修理時にデータにアクセスできなくなるリスクを防げます。個人のMicrosoftアカウントへの保存も可能ですが、法人端末は組織の管理下に置くことを強くおすすめします。

4. 標準ユーザーアカウントで日常業務

多くの中小企業で見落とされているのが、社員が管理者権限のアカウントで日常業務を行っている問題です。管理者権限を持つアカウントがマルウェアに感染すると、そのマルウェアも同等の権限を取得し、PCを自由に操作されてしまいます。

対策は明快です。

・日常業務用: 標準ユーザーアカウントを使う
・管理作業用: 別の管理者アカウントを用意し、ソフトウェアのインストール等が必要なときだけ使う

Active Directory環境では、「管理者アカウントは通常の端末にはログインさせない」という設計が理想です。特権アクセスワークステーション（PAW）の概念ですが、小規模でも「管理作業は専用のPCから行う」という運用ルールを設けるだけで大きな効果があります。

5. ファイアウォールとネットワーク接続の制御

Windowsファイアウォールは有効になっていることが前提ですが、ルールの内容まで確認している組織は多くありません。

# ファイアウォールのプロファイル設定を確認
Get-NetFirewallProfile | Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundAction

# リモートデスクトップ（RDP）への接続を社内ネットワークのみ許可
New-NetFirewallRule -DisplayName "RDP from LAN only" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.0/24 -Action Allow

リモートデスクトップ（RDP）をインターネットに直接公開している場合は、ブルートフォース攻撃（パスワード総当たり）の標的になります。VPN経由でのみRDPを許可する設定に変更することを強くおすすめします。

情シス1人でも使える管理ツール比較

端末台数が増えてくると、手動でのチェックには限界があります。以下に、中小企業に現実的な管理ツールをまとめます。

予算が限られる場合、Microsoft 365 Business Premiumは「Intune + Microsoft Defender for Business + Exchange Online + Teams」がセットになっており、エンドポイント管理の出発点として最もコストパフォーマンスが高い選択肢です。既にMicrosoft 365を利用しているなら、ライセンスのグレードを確認してみてください。

中小企業でも今日からできること（優先順位付き）

すべてを一度に実施するのは現実的ではありません。以下の優先順位で段階的に取り組むことをおすすめします。

よくある誤解と注意点

【誤解1】「アンチウイルスソフトを入れているから安全」

従来のアンチウイルスは、シグネチャ（既知のマルウェアのパターン）ベースの検知が中心です。前述のLotL攻撃や新種のマルウェアには対応できない場合があります。アンチウイルスは「最低限の防衛線」であり、それだけで十分と考えないことが重要です。

【誤解2】「中小企業はランサムウェアに狙われない」

ランサムウェアの攻撃グループは、あらゆる規模の企業を狙います。むしろセキュリティ体制が薄い中小企業の方が、侵入しやすく発見が遅れる分、攻撃者にとって効率的な標的です。「うちは小さいから大丈夫」という考え方は、残念ながら根拠のない楽観論です。

【注意】EDRを導入しても運用しなければ意味がない

EDRはアラートを出すツールですが、そのアラートに対応する人員と手順がなければ宝の持ち腐れです。中小企業でEDRを導入する場合は、「誰がアラートを確認し、どう対応するか」というインシデント対応手順書とセットで整備することが必要です。インシデント対応手順書の作り方については、姉妹記事「中小企業のインシデント対応手順書の作り方」も参照してください。

【注意】BitLockerの回復キー管理は忘れがち

BitLockerを有効化した後、回復キーを適切に保管しておかないとPC故障時にデータにアクセスできなくなります。Microsoft Entra IDやActive DirectoryへのEscrowing（キーの安全な預け置き）を必ず設定してください。担当者が退職した後でも、組織としてキーにアクセスできる状態を維持することが運用の鍵です。

本記事のまとめ

中小企業のエンドポイントセキュリティ対策は、高額なツールを導入しなくても、Windowsの標準機能を正しく活用するだけで大きく向上します。

セキュリティは「完璧」を目指すとキリがありません。まずは「攻撃者が面倒くさいと感じる状態」を作ることが現実的な目標です。今日からできる設定を一つずつ積み重ねることが、情シス1人体制でも確実に前進できる方法です。

Linuxサーバーの管理も兼務している方は、姉妹サイトLinuxMaster.JPでLinuxのセキュリティ設定（firewalld・SELinux・権限管理）を詳しく解説していますので、あわせてご参照ください。