コンテンツへスキップ
    Cloudvocacy
    トップに戻る

    非営利団体のセキュリティ入門ガイド

    ウイルス対策も多要素認証も、「予算がないから」と後回しにする必要はありません。手元のスイートに標準で入っている無料の機能と、TechSoupの寄贈プログラムで、基本の守りは費用をかけずに整えられます。何から始めるかの順番を解説します。

    最終更新: 2026年7月8日

    現場で起きていること

    「うちは狙われない」が通用しない

    攻撃の多くは、団体を選んで狙うのではなく、ウイルス付きメールやフィッシングを無差別にばらまく型です。「小さい団体だから大丈夫」ではなく、「対策する人がいない団体ほど引っかかりやすい」のが実態です。

    メールの乗っ取りがいちばん怖い

    パスワードだけで守られたメールアカウントは、パスワードが漏れれば誰でも入れます。乗っ取られたメールは、利用者・家族・寄付者への詐欺メールの発信元になり、団体の信頼を直接傷つけます。

    ウイルス対策がパソコンごとにバラバラ

    期限切れの体験版、無料ソフトの寄せ集め、そもそも入っているかどうか誰も知らない——事業所ごとにパソコンを買い足してきた団体でよく見る状態です。1台の感染が共有フォルダ経由で全体に広がります。

    要配慮個人情報を扱うのに、専任がいない

    福祉の現場は、病歴・障害・生活状況といった特に慎重な扱いが必要な情報を日常的に扱います。それでも情報システムの専任担当がいる団体はまれで、「何から手を付ければいいか分からない」まま後回しになりがちです。

    対策の4本柱

    高価な製品を買い足す前に、無料・寄贈でできることから順に並べました。効果の大きい順でもあります。

    まず多要素認証(MFA)を全員に — 追加費用ゼロ

    パスワードに加えてスマホアプリなどでの確認を挟む多要素認証(MFA)は、「パスワードが漏れてもログインさせない」最も効果の大きい対策です。しかも手元のスイートに標準で入っています。Microsoft 365は無償のBusiness Basicを含む全ビジネスプランに「セキュリティの既定値群」が含まれ、有効にすれば全員にMFAが適用されます。Google Workspaceも全エディションで2段階認証プロセスを導入・強制できます(管理者アカウントには強制適用が段階的に進んでいます)。

    向いているケース: すべての団体。今日、管理画面の設定だけで始められます。

    ウイルス対策はTechSoupの寄贈で揃える

    TechSoup Japanのカタログには、ウイルス対策ソフトの寄贈プログラムがあります。Nortonは1会計年度(7月1日〜翌6月30日)につき20ライセンスまで、Bitdefender(Windows/Mac/サーバー対応)は同50ライセンスまで申請できます。バラバラだった端末のウイルス対策を、寄贈で同じ製品に統一するのが現実的な着地点です。

    向いているケース: 端末が数台〜20台規模の団体。TechSoup Japanの団体登録が入口です。

    寄贈でも、TechSoup Japanの管理手数料(製品ごとに設定)はかかります。申請前にカタログで実費をご確認ください。

    パスワードとIDの管理を仕組みにする

    「サービスごとにパスワードが増えて付箋だらけ」「退職者のアカウントが残り続ける」という問題は、注意喚起ではなくSSOやパスワード管理ツールという仕組みで解決します。非営利団体はOkta for Goodでフル機能を50ライセンスまで無料で使えるなど、選択肢が充実しています。

    向いているケース: 使うクラウドサービスが増えてきた団体。

    方式の選び方はパスワード問題の解決ガイドで詳しく解説しています。

    団体サイトと外部アクセスの保護

    団体の公式サイトには、CloudflareのProject Galileoという無償保護プログラムがあります(DDoS対策・WAFなどBusinessプラン相当の機能が無料)。ただし対象は人権・市民社会・ジャーナリズム・民主主義の分野で攻撃を受けやすい団体とされており、一般の福祉団体が対象になるかは審査次第です。外出先や在宅から団体のネットワークへ安全につなぐ用途には、VPNのNordLayer(非営利は最大60%OFF・問い合わせ制)があります。

    向いているケース: 権利擁護・アドボカシー活動でサイトが攻撃対象になり得る団体(Galileo)、在宅・外出先からのアクセスが多い団体(VPN)。

    導入前の注意点

    Project Galileoの対象は限定的

    Galileoは「公共の利益のために活動し、攻撃を受けやすい脆弱な団体」を守るためのプログラムです。申請にはミッションや攻撃リスクの説明が求められ、すべての非営利団体が対象になるわけではありません。該当しそうな活動分野の団体が、選択肢の一つとして検討するのが現実的です。

    寄贈には年度上限がある(Norton 20本・Bitdefender 50本)

    上限を超える台数がある団体は、どの端末を優先するかを先に決めてから申請しましょう。また寄贈製品にもTechSoup Japanの管理手数料がかかるため、台数分の実費をカタログで確認してから計画するとぶれません。

    道具の前に「やめること」を決める

    私物USBメモリでのデータ持ち出し、全員で使い回す共有アカウント、退職者アカウントの放置——道具を入れても、これらの習慣が残っていれば穴は塞がりません。IPA(情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」と「情報セキュリティ5か条」が、無料で使えるルールづくりのひな型になります。

    取り組みはSECURITY ACTIONで外に示せる

    IPAのSECURITY ACTIONは、情報セキュリティ対策への取り組みを自己宣言する無料の制度です。中小企業向けの制度ですが、NPO法人や公益法人の宣言事例も多数あります。「一つ星」は情報セキュリティ5か条に取り組む宣言で、行政や取引先への信頼の見せ方としても使えます。

    はじめの一歩

    01

    多要素認証(MFA)を有効にする — 今日・無料

    管理者がスイートの管理画面で設定するだけで、費用はかかりません。Microsoft 365は「セキュリティの既定値群」を有効に、Google Workspaceは2段階認証プロセスの導入から。まず管理者アカウント、次に全職員の順で広げます。

    スイートをまだ導入していない団体は、無償のMicrosoft 365 Business Basic(非営利300席まで無料)から始めるのが近道です。

    02

    端末を棚卸しして、ウイルス対策を寄贈で統一する

    団体のパソコンを書き出し、ウイルス対策の状態(製品名・期限)を確認します。バラバラなら、TechSoup Japanの寄贈(Norton/Bitdefender)で同じ製品に揃えます。

    TechSoup Japanの団体登録がまだの場合はTechSoup Japan登録ガイドからどうぞ。運営メンバーの実測では登録の翌営業日に資格認証が完了しました。

    03

    ルールを1枚にまとめて、自己宣言する

    IPAの「情報セキュリティ5か条」(OSとソフトの更新・ウイルス対策・パスワード・共有設定・手口を知る)をベースに、団体のルールを1枚の文書にします。まとまったら、SECURITY ACTIONの「一つ星」を宣言して外部にも示しましょう。

    ルールは最初から完璧を目指さず、MFA・ウイルス対策など「済んだこと」から書き始めるのが続けるコツです。

    このガイドは2026年7月時点のMicrosoft・Google・TechSoup Japan・Cloudflare・IPAの公式情報にもとづいています。各プログラムの内容は変更されることがあるため、導入前に公式ページで最新の条件をご確認ください。

    関連ガイド

    ウイルス対策の寄贈はTechSoup Japanの団体登録から。パスワードとIDの仕組み化は専用ガイドでどうぞ。