社内PCのセキュリティ設定を標準化する方法（Windows/Macの最低限）

なぜ「社内PCのセキュリティ設定の標準化」が効くのか

社内PCのトラブルは「高度な攻撃」よりも、「設定のばらつき」から始まることが多いです。たとえば、ある社員のPCは自動更新が有効、別のPCは手動更新のまま。ある部署はディスク暗号化済み、別部署は未実施。こうした差があると、攻撃者（あるいは偶発的な紛失・持ち出し）にとって狙いどころが明確になります。つまり、守りを固めたいなら、最初にやるべきは例外を減らし、最低限の設定を全員に揃えることです。

標準化のメリットは、セキュリティ強化だけではありません。情シスの負担も減ります。問い合わせが来たとき「そのPCは何が入っていて、どんな設定か」を個別に確認するのは時間がかかりますが、標準設定があれば原因切り分けも復旧も速くなります。加えて、監査や取引先からのセキュリティチェック（質問票）でも「当社はこの基準で統一しています」と説明でき、対応が一気に楽になります。

本記事では、Windows/Macの双方を想定し、専門知識がなくても実務で回せる「最低限のセキュリティ設定」を、導入手順と運用のコツまで含めて整理します。高価な製品を入れる前に、まずはOS標準機能と運用ルールで「事故の確率」を大きく下げましょう。

標準化の進め方：ポリシー→テンプレ→配布→運用の順で固める

いきなり設定を配り始めると、現場から「業務が止まる」「例外が多い」と反発が出て頓挫しがちです。おすすめは、先に“方針（ポリシー）”を文章で確定し、その後に設定テンプレートへ落とす流れです。文章があると、例外判断や変更理由の記録がしやすく、担当者が変わっても運用が崩れません。

最低限そろえたいポリシーは、次の7つです。

• OS/アプリの更新方針（自動更新を原則、猶予期間、再起動の扱い）
• アカウントと権限（管理者権限の付与基準、共用アカウント禁止）
• 認証（パスワード要件、可能なら多要素認証）
• 端末の暗号化（紛失時に情報が読めない状態にする）
• ロックと画面保護（離席時の自動ロック時間）
• マルウェア対策（標準の防御機能、許可アプリの考え方）
• データの扱い（クラウド保存、USB/外部媒体、バックアップ）

次に、設定テンプレートを作ります。大企業ならMDM（Microsoft Intune、Jamf等）で一斉配布が理想ですが、中小規模でも「チェックリスト + 初期設定済みPCの配布」で十分効果があります。重要なのは、完璧を目指さずまず“最低限の合格ライン”を決め、全台をそこまで引き上げることです。

最後に運用です。標準化は「入れたら終わり」ではありません。OSアップデートで項目名が変わったり、業務アプリが追加されたりします。四半期に一度でよいので、基準（文章）と設定テンプレを棚卸しし、例外が増えないように管理します。例外が必要な場合も、理由・期限・代替策（追加監視、VPN必須など）をセットで記録すると、セキュリティの質が落ちにくくなります。

最低限の標準セキュリティ設定チェックリスト（Windows/Mac共通）

ここからは「これだけは揃える」項目を、Windows/Mac共通の考え方としてまとめます。細かなUIはOSバージョンで変わりますが、狙いは同じです。情シスが最初に整えるべきは、“端末が盗まれても漏れない・勝手に侵入されにくい・怪しい挙動が止まる”状態です。

OSと主要アプリの自動更新を有効化する

脆弱性を突かれる事故の多くは「更新していれば防げた」類です。Windows Update / macOS Software Updateは原則自動にし、再起動のタイミングだけ業務に配慮したルールを作ります。たとえば「毎週水曜の昼休みに再起動推奨」「緊急更新は48時間以内に反映」など、現実的に回る基準が重要です。ブラウザ（Chrome/Edge/Safari）とOffice系も、更新停止が起きないよう管理します。

管理者権限を最小化し、日常は標準ユーザーで使う

「インストールできないと困る」という声は多いですが、管理者権限はマルウェアにとっても“やりたい放題の鍵”です。基本は標準ユーザー運用にし、必要時だけ情シスが承認・代行する流れにします。どうしても現場で導入が必要なら、申請フォーム（目的・ベンダー・費用・利用者）を用意し、許可アプリを増やすほどリスクも運用負担も増えることを前提にコントロールします。

画面ロックを短めに、復帰にパスコード（または生体認証）を必須化する

情報漏えいは「外部からの侵入」だけでなく、社内や訪問者が偶然見てしまうケースでも起きます。離席5〜10分で自動ロック、復帰にはパスコード必須を標準にすると事故が激減します。会議室移動が多い職種ほど効果が出ます。合わせて「席を立つときはWin+L / Control+Command+Q」といった行動ルールを短い一文で教育すると定着します。

端末のディスク暗号化を必須にする（紛失・盗難対策）

ノートPCの紛失は現実的に起きます。暗号化していないと、ストレージを抜き取られた時点でデータが読めてしまうことがあります。WindowsはBitLocker、MacはFileVaultが代表的で、どちらもOS標準機能です。暗号化の実施と、復旧キー（回復キー）の保管先を決めることがセットです。復旧キーが個人任せだと、退職や端末故障時に詰むため、会社として回復できる保管方法（MDM、社内の安全な保管庫）を用意します。

標準のマルウェア対策機能を有効にし、無効化を禁止する

WindowsならMicrosoft Defender、MacでもXProtectやGatekeeperなど、標準の防御があります。少なくとも「リアルタイム保護」「不審なアプリのブロック」「ファイアウォール」を有効にし、勝手に無効化できないようにします。追加のEDR製品は予算と成熟度次第で検討すればよく、最初から入れなくても標準機能の“無効化を防ぐ”だけで一段強くなります。

ブラウザとメールの基本防御（危険なダウンロードと拡張機能）

現場の入口はブラウザとメールです。拡張機能は便利ですが、情報を抜く拡張も存在します。標準化としては「拡張は原則許可制」「パスワード管理拡張など業務上必要なものは推奨」のように線引きします。ダウンロードフォルダからの実行、マクロ付きOfficeファイルの扱いもルール化しておくと、現場の判断ミスが減ります。

Windowsで押さえる最低限設定（現場が困らない落としどころ）

Windows端末は台数が多くなりやすく、設定のばらつきが最も事故につながります。ここでは「まずここから」という項目を絞って解説します。情シスが全台を一気に変える場合は、業務影響が出ないように小さくテスト→段階展開が鉄則です。

BitLockerを有効化し、回復キーの保管を会社管理にする

BitLockerは設定が入ると体感はほぼ変わりませんが、紛失時の被害を劇的に減らします。注意点は回復キーです。個人のMicrosoftアカウントに紐づく形で放置されると、退職・端末譲渡時に回収できません。理想はIntune等でAzure ADに回復キーを保管する形ですが、難しい場合でも「回復キーの保管先（社内の安全な保管庫）」「閲覧権限者」「利用手順」を決めておきます。暗号化は“回復できること”まで含めて標準化です。

Windows Updateの適用ルールを明文化する

Windowsは更新で再起動が必要になり、現場が嫌がるポイントになりがちです。だからこそ「いつ再起動するか」を会社のルールにします。例として、通常更新は自動、再起動は就業後または週1回の指定時間、緊急更新は48時間以内、といった基準が現実的です。更新停止を防ぐため、ユーザーが更新を長期間延期できないようにし、どうしても止める必要がある端末は例外申請にします。

Defenderとファイアウォールを“常時ON”にする

サードパーティ製のウイルス対策を入れていない企業でも、Defenderを有効にし、ファイアウォールを切らせないだけで大半の基本リスクは下がります。現場で「重いから切った」「一時的に無効化した」が常態化すると、標準化の意味がなくなります。設定のポイントは、無効化を原則禁止し、必要時は情シスが操作する運用に寄せることです。

ローカル管理者の扱いを整理する

Windowsでは、ローカル管理者アカウントが残っていると横展開（別PCへの侵入）に使われることがあります。可能なら、各PCで同一の管理者パスワードを使わない（端末ごとに変える）ことが重要です。仕組みが難しい場合でも、少なくとも「誰が管理者権限を持つか」「共有しない」「退職時に回収する」を徹底します。運用で守れないルールは意味がないため、例外が増えそうなら最初から“情シス代行”に寄せる判断も有効です。

Macで押さえる最低限設定（“個人端末化”を防ぐ）

Macは開発・デザイン部門で多い一方、「各自が自由にカスタマイズ」しやすく、結果としてセキュリティ設定が個人任せになりがちです。標準化の目的は、創造性を奪うことではなく、会社の資産（データ・アカウント）を守る最低限を全員に揃えることです。

FileVaultを有効化し、復旧キーを回収可能にする

Macのディスク暗号化はFileVaultです。こちらも重要なのは復旧キーの管理です。個人のApple IDや端末内だけに依存すると、退職や故障で詰みます。MDM（Jamf等）があるなら管理画面で回収できる形にし、ない場合でも「復旧キー保管の手順」「保管場所」「閲覧権限」を決めます。暗号化の未実施は“紛失時に漏えいを前提とする”のと同じと捉えると、優先度が上がります。

Gatekeeperと自動アップデートを前提にする

Macは「どこから入手したアプリでも入れられる」状態になりやすいですが、未知のアプリ経由で問題が起きます。Gatekeeper（署名されたアプリを優先する仕組み）を基本にし、OSと標準アプリの更新も自動を原則とします。現場が困るポイントは「再起動のタイミング」なので、Windows同様に運用ルールとして定義し、忙しい人でも回せるようにします。

管理者ユーザーの配布を最小限にする

Macも管理者権限での常用は避けたいところです。とはいえ、クリエイティブ系ソフトの導入が頻繁なら、全てを止めると業務が回りません。妥協案として「標準ユーザーを基本」「導入が必要なソフトは情シスが遠隔または手順書で承認」「どうしても必要な部署だけ管理者を付与し、対象を名簿化」といった形が現実的です。重要なのは、管理者を“当たり前”にしないことです。

運用で差がつく：配布方法、例外管理、点検のしかた

最低限のセキュリティ設定は、入れ方より「維持の仕組み」で差がつきます。ここでは、詳しくない組織でも回る運用の形を紹介します。

配布は3パターンから選ぶ（規模と成熟度で最適化）

• 小規模（〜50台目安）：チェックリスト＋手順書＋初期設定済み端末の配布。年2回の棚卸しで十分効果が出ます。
• 中規模（50〜300台目安）：可能ならMDMを導入し、更新・暗号化・ロック・セキュリティ機能を一括で強制。例外は申請制にします。
• 大規模：MDM＋ID基盤＋ログ監視（必要に応じEDR）まで含めて設計。部門ごとの例外を許容しつつ基準線を死守します。

どのパターンでも共通するのは、「最低限の合格ライン」を明文化し、未達端末をゼロに近づけることです。機能を盛りすぎると運用が崩れ、結果的に抜け穴が増えます。

例外管理は「期限・代替策・責任者」をセットにする

例外が増えると標準化が崩れます。とはいえ、業務上どうしても例外は出ます。そこで、例外申請には次の3点を必須にすると、セキュリティ水準を落とさずに回せます。

• 期限：いつまで例外を許すのか（無期限は原則禁止）
• 代替策：VPN必須、社外持ち出し禁止、アクセス権限定など、穴を埋める手当
• 責任者：業務責任者（部門長など）が承認し、情シスと役割分担を明確化

これにより「例外が常態化して誰も把握していない」状態を防げます。結果として、社内のセキュリティ説明（監査・取引先対応）にも耐えやすくなります。

点検は“全項目”より“事故に直結する数項目”を定期確認する

現実的には、すべての設定を毎月確認するのは難しいです。まずは事故に直結するものを絞って、月次・四半期で確認します。例として、(1)暗号化が有効か、(2)OS更新が止まっていないか、(3)ロックが適用されているか、(4)管理者権限の付与が増えていないか、(5)ウイルス対策機能が無効化されていないか。これだけでも、被害規模を大きく左右します。点検項目は少なく、確実に回すのがコツです。

よくある失敗と回避策（“頑張ったのに形骸化”を防ぐ）

社内PCのセキュリティ標準化でよくある失敗は、「理想を詰め込みすぎて現場がついてこない」ことです。たとえば、初日からアプリインストールを全禁止にして業務が止まる、更新で再起動が必要なのにルールがなく不満が噴出する、例外が増えて結局バラバラに戻る、といったパターンです。大事なのは、セキュリティを“禁止”ではなく“業務が止まらない設計”として提示することです。

回避策としては、次が効きます。

• 段階導入：まずは暗号化・更新・ロック・権限の4点に絞る。次にデータ保護やログ管理へ広げる。
• 現場説明：「なぜ必要か」を事故シナリオ（紛失、誤送信、マルウェア）で短く共有する。
• 問い合わせ導線：アプリ導入や例外申請の窓口を用意し、“止めっぱなし”にしない。
• 所有者の明確化：情シスだけで抱えず、部門長承認を入れて運用を組織化する。

また、「クラウド利用が増えているから端末対策は不要」と考えるのも危険です。端末はID・ブラウザ・メールの入口であり、ここが破られるとクラウド上のデータにも連鎖します。端末の標準セキュリティ設定は、ゼロトラスト的な考え方でも土台になります。

まとめ

社内PCのセキュリティ設定を標準化する最短ルートは、OS標準機能を前提に「最低限の合格ライン」を決め、全台をそこまで引き上げて維持することです。特に効果が大きいのは、自動更新、管理者権限の最小化、画面ロック、ディスク暗号化、標準の防御機能の常時ONです。Windows/MacでUIは違っても、守るべきポイントは共通しています。

運用面では、例外を放置しない（期限・代替策・責任者をセット）、点検項目を絞って回す、段階導入で現場の反発を抑えることが重要です。これらができると、事故の確率を下げながら情シスの負担も軽くなり、監査や取引先対応にも強くなります。