端末の標準構成（セキュアベースライン）とは：中小企業が最低限そろえる設定項目

中小企業の情報セキュリティ対策において、よく課題となるのが「どこまで対策すればいいのか」という点です。 すべての対策を実施することは現実的ではありませんが、「最低限これは必要」という基準が必要です。 その基準こそが「セキュアベースライン」（セキュリティ基盤）です。 本記事では、中小企業が実装すべき端末の標準構成について解説します。

⇒【ロリポップ！固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料！

セキュアベースラインとは何か

セキュアベースラインの定義

セキュアベースラインは、IT部門が推奨する「セキュリティ設定の標準」のことです。 全社の端末（パソコンやサーバー）に共通して適用すべき、セキュリティに関連するOS設定や機能設定をまとめたものです。

Microsoftは、Windows OSに対する公式のセキュリティベースラインを公開しており、企業はこれを参考にしながら、自社の要件に合わせてカスタマイズします。 セキュアベースラインを設定することで、属人的な端末管理から、統一された「標準的なセキュリティ水準」へと移行できるのです。

なぜセキュアベースラインが必要なのか

組織全体のセキュリティレベルが向上する

全社統一の設定基準がないと、部門ごと、担当者ごとに設定がばらばらになります。 結果として、セキュリティが弱い端末が存在し、その弱い端末が攻撃のターゲットになる可能性が高まります。

セキュアベースラインを導入することで、全社の最低限のセキュリティレベルを底上げできるのです。

管理負荷の軽減と標準化

「どの設定を有効にすべきか」について、担当者ごとに判断する必要がなくなります。 標準化により、新入社員のオンボーディングも簡単になり、IT部門の管理負荷が軽減されます。

コンプライアンス対応

情報セキュリティに関する法令（個人情報保護方針など）では、適切なセキュリティ対策の実施が求められています。 セキュアベースラインは、これらのコンプライアンス要件を満たすためのエビデンスにもなるのです。

中小企業が実装すべき10の設定項目

1. ファイアウォールの有効化

Windows FirewallやmacOS Firewallなど、OS標準のファイアウォールを有効化します。 外部からの不正な通信をブロックすることは、セキュリティの最初の防線です。

設定のポイント：

• ドメイン、プライベート、パブリック全てのネットワークで有効化
• インバウンド通信はデフォルトで「ブロック」に設定
• 業務に必要な通信のみ明示的に許可

2. Windows Defender（またはアンチウイルスソフト）の有効化

Windows Defender（Windows 11/10のOS標準セキュリティ）やサードパーティーのアンチウイルスソフトを必ず有効にします。 既知のマルウェアを検出・駆除することは、基本的な防御です。

設定のポイント：

• リアルタイムスキャンを有効化
• 定義ファイルは毎日自動更新する設定に
• 定期的な完全スキャン（週1回程度）をスケジューリング

3. 自動アップデートの有効化

Windows UpdateやmacOSのアップデートを自動化します。 セキュリティパッチが公開されたら、できるだけ早期に適用することが重要です。

設定のポイント：

• セキュリティアップデートは「自動」に設定
• 大規模なOS更新は「通知のみ」として、計画的に対応
• オフィスアワー外での自動再起動を設定

4. ユーザーアカウント制御（UAC）の有効化

ユーザーアカウント制御（UAC）は、管理者権限が必要な操作を実行する際に、許可を求めるWindowsの機能です。 マルウェアが勝手に重要な設定変更を行うことを防ぎます。

設定のポイント：

• UACを「常に通知」に設定（「通知しない」は避ける）
• 重要な設定変更時には確認画面が表示されるようにする

5. ローカルセキュリティポリシーの強化

パスワードの最小文字数、ログイン試行の制限、非使用時のロック時間など、複数のセキュリティ設定を一括管理します。

推奨される設定内容：

• パスワード最小文字数：8文字以上
• ログイン失敗時のロック：5回失敗後15分間ロック
• 非活動時のロック：15分以内
• パスワード有効期限：90日（または年1回の変更を強制）

6. リモートデスクトップの制限

テレワーク環境では、リモートデスクトップが便利ですが、セキュリティリスクも高まります。 アクセス可能なユーザーを限定し、強力な認証を設定する必要があります。

設定のポイント：

• リモートデスクトップへのアクセスを特定ユーザーのみに制限
• デフォルトのポート（3389）は変更を検討
• VPNやネットワークアクセス制御経由でのみ接続を許可

7. 不要なサービスの無効化

Windows では、インストール時にデフォルトで複数のサービスが有効になっています。 業務に必要でないサービスを無効化することで、攻撃面（Attack Surface）を減らします。

よく無効化される対象：

• Bluetooth（不要な場合）
• リモートアシスタンス
• Bluetooth音声デバイス
• オートプレイ機能

各サービスの無効化前には、影響を検証するようにしましょう。

8. 暗号化の有効化（BitLocker / FileVault）

ハードディスク全体を暗号化することで、盗難時や廃棄時のデータ漏えいを防ぎます。

設定のポイント：

• Windows Pro以上では BitLocker を有効化
• macOSでは FileVault を有効化
• 回復キーはバックアップ保管

9. USB接続デバイスの制限

USB経由でマルウェアが持ち込まれたり、重要なデータが外部に持ち出されたりするリスクがあります。 個人所有のUSBメモリの使用を禁止し、必要な場合は部門管理のものに限定します。

設定のポイント：

• デフォルトでは外付けストレージの書き込みを禁止
• 業務必要な場合のみ、特定のデバイスをホワイトリストに登録
• 接続時のログを記録

10. ロギングと監視の設定

セキュリティインシデントが発生した際に、「何が起きたのか」を調査するためには、ログが不可欠です。 イベントビューアーで、セキュリティに関連するログを記録する設定を有効化します。

推奨されるログ種別：

• ログイン失敗（ブルートフォース攻撃の検出）
• 管理者権限の使用（不正な権限昇格がないか監視）
• プログラムのインストール（マルウェアの侵入がないか確認）
• グループポリシー変更（設定の不正な改ざん検出）

これらのログを定期的に確認することで、早期の脅威検出が可能になります。

実装方法：グループポリシーとMDM

グループポリシーによる一括適用（Windows環境）

Active Directory環境であれば、グループポリシーを使用して、全社の端末に統一的にセキュアベースラインを適用できます。

メリット：

• 手作業が不要で、大規模組織に対応可能
• 設定を一元管理でき、ポリシー変更は全端末に自動反映
• 監視と自動修復が可能

ただし、小規模組織やドメイン参加していない環境では、このアプローチは使えません。

MDM（モバイルデバイス管理）による管理

Microsoft IntuneなどのクラウドベースのMDMソリューションを使用すれば、社外のテレワーク端末にもセキュアベースラインを適用できます。

メリット：

• クラウドベースのため、初期設備投資が少ない
• リモート勤務の端末にも対応
• スマートフォンやタブレット、Macにも同じポリシーが適用可能

中小企業でも導入しやすいツールが増えており、月額数百円～数千円の低コストで始められます。

手作業による個別設定（小規模組織向け）

従業員数が極めて少ない、または既存のシステムに統合できない場合は、個別の端末に設定を行うことになります。 この場合、チェックリストを作成して、同じ手順で全端末に適用することが重要です。

セキュアベースラインのメンテナンス

定期的な見直し（年1回以上）

セキュリティ脅威は常に進化しています。 検出されたマルウェアの新種、脆弱性情報、業界の推奨事項などに基づいて、セキュアベースラインを定期的に見直す必要があります。

見直しの際に確認すべき点：

• 新しい脆弱性が報告されていないか
• Microsoft や Apple の推奨設定が変更されていないか
• 業界特有のセキュリティガイドライン（金融、医療など）に変更がないか

ベースラインの段階的な強化

最初は、本記事で説明した基本的な10項目を実装し、その後、組織の成熟度に応じて、より高度な設定を追加していくアプローチが推奨されます。

段階的強化の例：

• Phase 1：基本設定（本記事の10項目）
• Phase 2：EDR ツール導入、DLP 設定の追加
• Phase 3：Zero Trust セキュリティモデルの導入

まとめ：中小企業のセキュアベースライン実装ロードマップ

セキュアベースラインは、「すべての企業に共通して必要な最低限のセキュリティ設定」です。 中小企業だからこそ、限られたリソースを効率的に使うために、セキュアベースラインの導入は重要なのです。

実装ステップは以下の通りです。

• 現状診断： 現在の端末設定がどの程度脆弱なのかを把握
• 標準策定： 自社に必要な設定項目を選定
• テスト環境で検証： 実装による業務への影響を事前確認
• 段階的な展開： 部門ごと、または全社一括で実装
• 継続的な改善： 定期的にセキュアベースラインを見直し

セキュアベースラインが実装されれば、その後のセキュリティ運用は格段に楽になり、インシデント発生時の対応も迅速になります。

固定IPで安全なアクセス環境を実現するなら「ロリポップ！固定IPアクセス」

ロリポップ！固定IPアクセスは、今お使いのインターネット回線をそのまま活かして固定IPアドレスを利用できるVPNサービスです。 月額539円（税込）から、初期費用0円・最大2ヵ月無料で始められます。 WireGuardによる高速接続で、VPN特有の速度低下も気になりません。 セキュアベースラインを実装した端末から、IP制限をかけたシステムへのアクセスが必要な場合、固定IPアドレスがあると便利です。 固定IPアドレスと適切なセキュリティ設定を組み合わせることで、より堅牢なアクセス制御が実現できます。 プロバイダの乗り換えも不要で、申し込んだその日から利用できます。

→ ロリポップ！固定IPアクセスの詳細はこちら