上海物来喜電子商務有限公司

【中国F79】 Windows 10サポート終了。AIとWebの守りを固める決断2025.08.17

 

 

 1. 専門家不在でも今日から始める「匠のセキュリティ」

①中国拠点の皆様、「自社のセキュリティ
対策、万全だと胸を張って言えますか？」

この問いに即座に「はい」と答えられる日系企業
の担当者は、残念ながら多くないのが現実である。

 

 

②公安庁の発表でも、 日本企業の海外拠点、
特にセキュリティ体制が手薄になりがちな拠点
を狙ったサイバー攻撃が相次いで発覚している。

 

衝撃的なのは、 ある信頼できるセキュリティ
ベンダーの報告によれば、2024年だけで中国
国内で発生したランサムウェア被害は 15万件
を超えるという驚愕の数字。
　　　↓
これはもはや「もしも」の話ではなく、
「いつ自社が被害に遭うか」の時代である。
（参照：Trend Micro 2024年脅威レポート）

 

 

③「でも、セキュリティ専門の担当
　者を中国拠点に置く余裕なんて…」

　そのお気持ち、理解できます。
　　　　　↓
　しかし、その認識こそがスタート地点。

 

 

④専門家がいないからこそ、「何を守るべきか」
の本質を見極め「今すぐできること」から 確実
に着手することが、中国におけるビジネス継続
の生命線と言える。

 

 

⑤今回は、完璧を目指して動けなくなるより、
現実的な一歩を踏み出す 「匠の姿勢」につい
てお話する。

 

 

 

 2. 専門家がいなくても実行できる「匠のアクション」

理論はわかっても、具体的に 何をすべきか迷う
担当者のために、即効性が高く、専門知識がな
くても着手可能な５つのアクションは、以下。

　・MFA導入プロジェクト発動
　・バックアップ戦略の見直し
　・緊急連絡先リストの更新と徹底周知
　・標的型メール訓練の実施
　・アクセス権限の棚卸し

 

 

 

 3.【アクション①】MFA導入プロジェクト発動
（パスワード依存からの脱却 ( 最重要！)

【Step ❶】優先順位付けと計画

最も重要なシステム（例：Office 365 / Microsoft 365、
やVPN、主要クラウドサービス管理コンソール）から、
「多要素認証 (MFA) 」を有効化する計画を立てる。
　　　↓
多くのクラウドサービスは管理者画
面から比較的簡単に設定可能である。

 

まずは管理者アカウントから。

 

 

【Step ❷】社員への周知・サポート体制構築

「なぜ必要なのか」「自社を守るため」を伝え、
簡易なマニュアル (認証アプリのインストール
方法、認証の流れ) を作成・配布する。

 

導入初期こそサポートが命。
　　　↓
ヘルプデスクや IT担当者への問い合わせ
窓口を明確にし、 混乱を最小限に抑える。

 

 

【Step ❸】段階的拡大

「明日から全員」が理想だが、現実的には管理
　職や重要データアクセス権限者から開始する。
　　　　↓
　小さな成功体験を積み重ね、
　適用範囲を確実に広げていく。

 

 

多要素認証（MFA: Multi-Factor Authenticationの略）とは、 本人
確認のため、「認証の三要素（知識情報・所有情報・生体情報）の
うち、２つ以上の複数の要素を使って認証を行う」ことを指す。

多要素認証を利用することで、仮に一つの要素を不正入手されても、
もう一つまたは二つの要素を手に入れない限り認証は突破できない。
　　↓
不正ログインや、なりすまし防止に効果がある。

多要素認証は二段階認証より安全性が高く、
多くの企業や組織で活用が進められている。

 

 

 

 4.【アクション②】バックアップ戦略の見直し
（復旧できる証拠を持つ）

【Step ❶】現状の棚卸し

現在のバックアップ対象、方法（フル/差分/増分）、
頻度、保管場所（オンライン？オフライン？物理
媒体の保管場所は？）、 保持期間をリストアップ
する。
　↓
以下を厳しくチェックする。

・重要なサーバー・データは全てカバーされているか
・バックアップ媒体はネットワークから隔離されているか

 

 

【Step ❷】復元テストの実施

バックアップからの復元テスト
を直近で行った日時を確認する。
　　↓
半年以上前ならば、次回のテスト日
を、今すぐスケジュールに組み込む。

理想は重要システムごとに年１回以上。

 

　テストこそが、
「バックアップが生きている証」である。

 

 

【Step ❸】クラウドデータの二重化

Office 365などの クラウドサービスデータは、
ベンダー提供のバックアップ機能だけに依存
せず、 サードパーティのクラウドバックアッ
プソリューションの導入を真剣に検討する。

 

多くの攻撃は管理者アカウントを狙うため、
ベンダー提供のバックアップも削除される
リスクがあるため。

 

 

 

 5.【アクション③】緊急連絡先リストの更新と徹底周知
（有事に迷わないために）

【Step ❶】リストの明確化

サイバー攻撃発生時の緊急連絡先を明確にする。
　↓
具体的には、以下のの連絡先。

・日本本社セキュリティ担当窓口
・契約している外部の専門的なインシデントレスポンス会社
・管轄の公安機関（公安局ネットセキュリティ保衛部門）

 

最新の連絡先情報を記載したリストを作成すること。

 

 

【Step ❷】即時アクセス可能な保管・共有

このリストを拠点責任者、IT担当者、総務担当者
など、確実に必要なメンバー全員が、メール以外
の方法（例：社内ポータルの固定ページや印刷版）
で即座にアクセスできる場所に保管すること。

 

 

【Step ❸】定期的な更新確認

四半期に１回など定期的に連絡先情報（特に
外部IR会社や 公安の担当者）が最新かどうか
を確認するプロセスを確立する。

 

 

 

 6.【アクション④】「標的型メール訓練」の実施
（ヒトの盾からヒトの盾へ）

【Step ❶】現実的な訓練の実施

以下のような中国で実際に流行している手口を模し
たフィッシングメールを社員に送る訓練を実施する。

・取引先を装った添付ファイル付きメール
・パスワード更新を促す精巧な偽ログインページリンク

 

 

【Step ❷】即時フィードバックと教育

 クリックしてしまった社員には、
「なぜそのメールが危険だったのか」（差出人アド
 レスの微妙な違い、不自然な日本語、脅迫的な文
 面など）、「どう見分けるべきか」を 具体的に示し
 た 短い教育コンテンツを即座に提供する。

 

 叱責ではなく「次は気をつけよう」 とい
 う学びの機会に変えることが重要である。

 

 

 

 7.【アクション⑤】アクセス権限の棚卸し
（「必要最小限」の原則を徹底）

【Step ❶】権限リストの作成

主要システム（ファイルサーバー、SharePoint / クラ
ウドストレージ（Alibaba Cloud OSS, Tencent Cloud
COS）、基幹業務アプリケーション）について、「誰が」
「何のデータ / システムに」「どのような権限 (参照の
   み？編集可能？管理者？)」を持っているかのリスト
  (アクセス権リスト) を可能な範囲で作成する。

 

 

【Step ❷】管理者権限の徹底洗い出しと削減

管理者権限を持っているアカウントを 洗い出し、
その権限が「業務上、絶対に必要か」を精査する。

 

「念のため」「昔から」という理由の 管理者権限は、
　即座に削除、または必要最小限の権限（編集権限
　など）に降格させる。
　　　　↓
　これが攻撃者の最大の標的である。

 

 

【Step ❸】入退社・異動時のプロセス確立

退職者・異動者のアカウントが確実に
無効化・権限削除されているか確認す
るルールを確立する。
　↓
入社時・異動時のチェックリストに、
「アクセス権付与 / 剥脱」を 必須項目として、
追加し、総務・人事・ITの連携を明確にする。

 

 

 

 8. まとめ（セキュリティは完成しないが、
　（匠の進化は今日から始められる）

①中国でビジネスを続ける以上、
サイバーリスクは避けて通れません。

 

専門チームの不在は確かにハンディキャップです。
　　　　↓
しかし「できない理由」を並べる
思考こそが、 最大のリスクです。

 

 

②「匠の精神」とは、完璧でなくとも現状でで
きる最善を尽くし、 継続的に改善を重ねること。

この姿勢こそが、専門家不在の環境
下で、最大の防御力を生み出します。

 

 

③今日の決断：
MFA導入を最優先事項として、明日では
なく今、計画をスタートさせてください。
これが全ての礎となります。

 

明日の行動：
「王様である重要データ」を守るため、バック
アップの現状と、復元テストの実施記録を確認
し、具体的な改善計画を立ててください。

 

 

④継続的な取り組み：

社員一人ひとりを「意識高いセキュリティ
要員」に 育てるための実践的な教育 (標的
型訓練など) を仕組み化します。

 

中国ならではの複雑な、サプライチェーン
(現地ベンダー、パートナー) のセキュリティ
リスクを把握し契約と確認で改善を促します。
↓
クラウド設定の見直しと権限管理を定期的に実施。

 

 

⑤セキュリティ対策はゴールのないマラソンです。

 

完璧を目指して、スタートラインで足が止ま
るより、 確実な一歩を踏み出し、走りながら
装備を整え、仲間を増やしていきます。
　　↓
その継続こそが中国市場で信頼を勝ち
取る「匠のセキュリティ」 への道 です。

 

 

 

 ■ 想定されるQ&A 

Q1: 中国日系企業で 最も優先すべ
きセキュリティ対策は、何ですか？

 

A1: 多要素認証 (MFA) の徹底導入です。

特に、管理者アカウントや生産管理システム、
基幹業務システムへのアクセスには絶対に必
須です。

パスワード依存からの脱却が最優先です。

 

 

Q2: 専門家がいない中国拠点で、 リソースが
限られる中でも今すぐできる具体的なことは？

 

A2: 以下の５つに集中してください。

1. MFA導入計画立案と最初の一歩
　（管理者アカウントから）

2. バックアップ対象・方法・場所の確認と復元
テストの予定を直近のスケジュールに組み込む

3. 最新の緊急連絡先リスト作成と、ネットワークが使
えなくてもアクセス可能な方法での共有（印刷版など）

4. シンプルな標的型メール訓練の実施
　（外部サービスがなくても可能）

5. 管理者権限を持つアカウントの洗
い出しと、不要な権限の削除・降格

 

 

Q3: 中国で日系企業が特に注力
すべきセキュリティリスクは？

 

A3: 以下のリスクは中国市場の
特性を踏まえ、特に警戒が必要。

・標的型攻撃
（知的財産・技術情報狙い）

・ランサムウェア
（工場・拠点の操業停止による巨額の被害）

・サプライチェーン攻撃
（現地ベンダー・パートナー経由の侵入）

・クラウド設定ミス
（デフォルト設定や誤操作によるデータ公開）

・内部不正・ヒューマンエラー
（権限管理の甘さが招く）

 

 

 

 

 

 

本ホームページの収録内容はすべて当社に著作権があります。
無断転載・複製は、固くお断りいたします。
以下の場合には、お気軽にお問い合わせください。
サービス内容 / 機能の実現性 / お⾒積もり