こんにちは、中小企業診断士の古川里奈です。
今週の日経新聞土曜版に、気になる記事が掲載されていました。
概要は、海外からのサイバーセキュリティがこの3年間で倍増しているにも関わらず、対策が追いついていないために深刻な被害を引き起こす例が急増しているというものです。
記事の中では、従業員数1000人以上の企業の問題点として、大多数がITベンダにシステム開発や運用を丸投げしていることなどが指摘されています。
この記事では、そのような大手企業・大企業ではなく、中小企業のサイバーセキュリティ対策について記載します。
中小企業が考えるべきサイバーセキュリティとは?
私は会社員時代、NTT東日本で中小法人向けの営業担当を行っていました。
オリンピックを控えた東京で、コロナウイルスで世の中が大混乱に陥ることなどつゆ知らず電話やネット回線、関連商品の営業活動を行っていました。あの頃はまさか延期するなんて思いませんでしたね、東京オリンピック…その時社会人として初めて営業担当として数々の中小企業のIT現場と真剣に向き合い、大手企業と中小企業との違いに直面しました。
当たり前ですが、大手企業と中小企業とでは、あらゆる面でかけられるリソースが異なります。導入するための人材、IT投資額、運用するための人材、スキル継承の余力…同じことをやろうとしても無理ですし、やらないことも決めなければなりません。
しかし、「やらないこと」として「サイバーセキュリティ」を丸ごと放り込んでもいいのかには疑問が残ります。
中小企業の「守るべき情報はないから」は本当?
「うちには守らなきゃいけない個人情報や営業情報なんてないから」
私が営業時代、よくお客様から聞いた言葉です。日々使用している情報にあまり価値がないため、わざわざお金をかけてセキュリティ対策をすることもないだろう…というものでした。
こう考えている方は非常に多いと思います。しかし、本当にそうでしょうか。
従業員のマイナンバー、顧客企業の担当者のアドレス情報、メールの送受信履歴、各種設備の設定情報、ウェブサイトの設定。
社内でパソコンなどの機器を使用している会社であれば、これらの情報を一切保管していないことのほうが稀ではないでしょうか。
また、サイバー攻撃は常に「情報を盗み出す」ことだけが目的に行われるものでもありません。
情報を盗み出す以外にも、パソコンなどの機器を乗っ取って別の用途に用いる・なりすます、業務を行えない状況にする、など様々なことを目的に攻撃が行われています。
例えば攻撃者がパソコンの乗っ取りを目的としていた場合、重要な情報が一切なかったとしても、更に別の企業への攻撃に用いられることが考えられます。攻撃者の乗っ取りにより、まるで自分がサイバー攻撃を行った犯人かのように見えてしまうのです。
「守るべき情報はないから大丈夫」と思うのではなく、まずは身近なものなんだと危機意識を持つことが必要です。
年々脅威度の高まるサプライチェーン攻撃
情報セキュリティに関する研究や支援活動を行うIPAは、毎年「情報セキュリティ10大脅威」を発表しています。今回取り上げたいのは、最新の2022年度版において前年の4位から順位を上げ、3位の脅威とされた「サプライチェーン攻撃」と呼ばれる攻撃手法です。
サプライチェーン攻撃は、サプライチェーンの中の脆弱性をつく攻撃手法です。
攻撃者が大手企業A社を狙いたい場合、A社に直接攻撃を仕掛けるのは非常に難しいことが多いです。大手企業には社内のITシステムに長けた人材の揃うITシステム部門があり、トラブルがあるとすぐに駆けつける専門のシステムベンダがいるだけでなく、社員一人ひとりも基本的なセキュリティ意識を持つように訓練されていることが多いからです。
そこでサプライチェーン攻撃では、A社のサプライチェーン上にある取引先企業の脆弱性を狙います。
A社に侵入することは難しくても、A社の取引先であるB社や、さらにB社の取引先であるC社…など、サプライチェーンの遠くにある企業の中で脆弱性のある企業を狙うのです。
A社にとってB社やC社は確かにサプライチェーン上にある企業であるため、信頼して情報のやり取りを行います。しかし、実際には攻撃者に狙われており、情報の窃取や悪意のあるマルウェアの送りつけなどが行われてしまうのです。
古いニュースになりますが、大手航空会社のJALがなりすましメールで約3.8億円をだまし取られた事件もありました。
中小企業が行うべきサイバーセキュリティ対策とは
サイバーセキュリティについて、「全くしない」と大きな問題を引き起こす原因になりかねないことはご理解いただけたでしょうか。
とはいえ、リソースを多く割くこともできません。では、何から取り組めばいいいのでしょうか。
ここでは、まず次の5つ…IPAが定める「情報セキュリティ5か条」について取り組むことをおすすめします。
- OSやソフトウェアの最新化
- ウイルス対策ソフトの導入
- パスワードの強化
- 共有設定の見直し
- 脅威や攻撃の手口についての情報収集
OSやソフトウェアの最新化
OSや多くのソフトウェアは、脆弱性が発見されると修正パッチがネット上で配布されます。
近年、発表された脆弱性情報を悪用し、修正パッチを当てる前のユーザーを狙った攻撃による被害が増えています。OSやソフトウェアのアップデートは放置せず、早めに最新化を行いましょう。
ウイルス対策ソフトの導入
ウイルス対策ソフトは「パターンファイル」を持ち、ネットワークなどから侵入した攻撃がパターンファイル内に記録のあるウイルスと一致していた場合に攻撃を弾くものです。サイバー攻撃において全く未知の攻撃を受けることは非常に珍しく、ウイルス対策ソフトを入れておくだけで防げる攻撃も多々あります。入れておきましょう。
また、パターンファイルの最新化はソフトウェアの最新化と同様に必ず行ってください。
パスワードの強化
完全な個人用のパソコンに対して「password」「root」のようなパスワードを設定する人はあまり見かけないのですが、なぜか共有物になるとわかり易さを重視し簡単すぎるパスワードを設定する人が増えるような気がします。やめましょう。
また、インターネットを通じて流出したパスワードから攻撃を受け、使いまわしているウェブサービスがハックされる被害も増えています。
使い回さない、複雑に、などパスワード自体を強化すること、設定ポリシーを定めることが大切です。
共有設定の見直し
特にファイルサーバーなどを持つ企業において、「なんでもできる権限持ち」が「何人もいる」という状況をよく目にします。情報の流出は外部からの攻撃で発生するのはもちろんのこと、内部からも(故意・事故問わず)発生します。
定期的にアカウントの棚卸しをして権限を持っている人が適正かを確認する、もっと細かく権限を制限できないかを検討することを行うことが必要です。
脅威や攻撃の手口についての情報収集
脅威や攻撃の手法は悪意を持つ人の手により日々更新されています。そして、それに対処するための方法も日々変化しています。
あえて情報を取りに行くことは難しくても、関連するニュースに目を向ける、メールなどで流れてきた注意喚起を自分ごととして読むだけでも大きな対策になるでしょう。
まとめ
増え続けるサイバー攻撃が狙っているのは、誰もが知っている大手企業や大企業だけではありません。
中小企業も狙われていますし、これからも増え続けることが予想されています。
たくさんのことに取り組むことは非常に難しいですが、まずはできるところから進めていきましょう!
古川経営コンサルタント事務所では、事業計画策定や経営にまつわるあらゆるご相談を受けております。初回の打ち合わせは無料(ただしZoomのみ)ですので、お問合せフォームからぜひご連絡ください!
ブログランキング参加中!クリック頂けると嬉しいです♪
コメント