サイバー攻撃の脅威が高まる今、中小企業が必要とする準備と防御策とは?
サイバー攻撃がますます多様化・巧妙化する中で、中小企業がターゲットにされる事例が増えています。機密情報や個人情報の漏洩に加え、罰金や信頼の失墜といった二次的な損害も発生し、経営に深刻な影響を及ぼすことがあります。本記事では、中小企業におけるサイバー攻撃の可能性と、それに対して実施すべき現実的な対策について解説します。
中小企業もサイバー攻撃の影響を受ける時代に
サイバー攻撃の多様化・巧妙化が進行する今、中小企業も攻撃のターゲットになっています。攻撃者にとっては、不正侵入にかかるコストが下がり、盗まれた情報を現金化できる可能性が増えていることが背景にあります。企業環境が変化している一方で、多くの中小企業では情報システム部門の予算や人員が限られていて、十分な準備が整っていないことが多いです。このようなセキュリティ対策の不備は、次のような影響や損害を生じる原因となり得ます。
・金銭の損失
口座情報やクレジットカード情報を盗まれることで、直接的に金銭的損失が発生する場合があります。また、情報漏洩が発生した場合には、ユーザーや取引先に対する損害賠償、規制当局からの罰金、さらにはサイバー犯罪に関連する調査の対応にかかる費用も考慮しなければなりません。
・事業の停止
企業の情報システムやWebサイトが改ざんまたは消失する被害を受けると、事業の継続に大きな影響が生じます。もし適切な事業継続計画が整っていないと、復旧に必要な時間が延び、事業中断による納期遅れや失注などの悪影響が増大することになります。
・信用の毀損(きそん)
情報漏洩や事業の停止が発生すると、既存顧客だけでなく新規顧客からも敬遠され、業績に悪影響を及ぼす可能性があります。一度失った信頼を取り戻すのは非常に難しいです。また、従業員の士気が低下し、離職率の上昇を招く恐れもあります。
・法的責任・個人情報保護の違反
個人情報保護法を含む適切な対策を講じなければ、企業は罰金を科されるリスクがあります。また、経営者が監督義務を果たしていないと判断された場合、個人として責任を追及される可能性もあります。これらのリスクが存在するにもかかわらず、中小企業でサイバー攻撃対策が進まない理由として、以下の2つが代表的な要因です。
1)起こり得る被害やリスクへの理解不足
情報セキュリティ対策が経営上の優先度として低く、十分な予算や人員が割り当てられていません。また、どのようなシステムが標的となりやすいのかに関するリスク分析も行われていないのが現状です。被害の可能性を認識していても、どのような対策を講じるべきかが不明な状態です。
2)サイバー攻撃の標的にならないとの見当違い
自社の取り扱うデータ量が少ないため、サイバー攻撃の標的にならないと考えている企業もあると思われます。しかし、中小企業を経由して大企業に攻撃を仕掛ける手法も実際にはあります。情報セキュリティの優先度が低い企業では、最近のサイバー攻撃の傾向に対応した基本的な対策が不十分であることが多いです。
中小企業で起こり得るサイバー攻撃
以下では、中小企業で頻繁に起こり得る代表的なサイバー攻撃を解説する。
1)サプライチェーン攻撃
サプライチェーンとは、原材料の調達から消費者に届くまでの製造・流通・販売の一連のプロセスを指します。この過程には、取引業者や関連会社、海外子会社など、多くの企業が関わっています。サプライチェーン攻撃とは、このチェーン内のサイバー対策が不十分な中小企業に不正侵入し、それを通じて取引のある大企業に被害を与える攻撃です。近年では、大企業でのセキュリティ対策が強化される一方で、対策が薄い中小企業が攻撃のターゲットとなる傾向が強まっています。
2)ランサムウェアによる攻撃
ランサムウェアの感染経路は多岐にわたり、メールやWebサイトなどを通じて侵入することが増えています。ランサムウェアの危険性が従業員に十分に伝わっていないと、スパムメールの添付ファイルを不用意に開くなどして感染リスクが高まります。また、データの定期的なバックアップを行っていない場合、ランサムウェアでデータが暗号化されると、業務が再開するまでに大きな時間がかかることになります。
3)メールなどを用いた標的型攻撃
近年、標的型攻撃の対象は大企業に限らず、中小企業にも及んでいます。この攻撃では業務内容を装ったメールを用いて、ランサムウェアやマルウェア感染を引き起こす手口がよく使われます。従業員を欺くための方法も一層巧妙で悪質になっているため、従業員へのセキュリティ教育を徹底し、リテラシーを高めることが必要です。
4)テレワークにおける不備を突く攻撃
コロナ禍を受けて急遽テレワークを導入した企業も多い中、セキュリティ体制が十分に整備されていない中小企業も少なくありません。例えば、個人の端末の利用を認めている場合でも、セキュリティソフトが未導入で、マルウェアなどのリスクにさらされている可能性が指摘されています。
5)システムの脆弱性を狙う攻撃
セキュリティ対策として、ソフトウェアを常に最新バージョンに保つことは基本中の基本です。社内システムや従業員が使用するデバイス、ソフトウェアも、常にアップデートして最新の状態を維持しなければなりません。こうした更新を確実に行う仕組みが整備されていないと、残る脆弱性が狙われるリスクが高まります。
6)クラウドサービスを狙う不正アクセス
テレワークを含む新たな業務環境の変化に伴い、クラウドサービスの活用が増えています。しかし、ログイン時のパスワード設定を適切に行わなければ、不正アクセスのリスクが高まります。場合によっては、機密情報や個人情報が漏えいし、深刻な被害をもたらす可能性もあります。
中小企業で講じるべきサイバー攻撃への対策
サイバー攻撃による経営への影響が増大する中、経営層は全社的な視点からセキュリティ対策を主導し、情報システム部門や各部門との連携が求められています。ウイルス対策ソフトのみで対応できた時代は過去のもので、今では複数の対策を組み合わせる必要があります。従業員、業務プロセス、関連技術のそれぞれのリスクを洗い出し、適切に対応することが望まれます。中小企業も限られたリソースの中で、基礎的な対策から徐々に強化していく取り組みが求められています。
1)基礎的な対策
すぐに実施できる対策には、総合セキュリティソフトの導入が挙げられます。加えて、ソフトウェアを常に最新状態に保つことや、パスワード設定やデータ共有の見直しを行うことで、マルウェア感染や情報漏えいのリスクを低減できます。
2)組織体制の整備と従業員教育
経営層が中心となり、セキュリティ対策の推進体制を整え、法令遵守や対策範囲を明確にします。社内研修や勉強会を通じて、セキュリティの重要性や基本対策を従業員に伝えることが重要です。
3)外部サービスの活用
近年、各ベンダーが多様なセキュリティソリューションを提供しており、これらを利用することで自社開発より効率的な場合が多くなっています。包括的な対策を可能にする総合セキュリティソフトや、セキュリティ対策のアウトソーシング、クラウド型セキュリティソリューションなどが充実しています。また、業務関連のクラウドサービスが普及した現在、適切な利用によりセキュリティレベルの向上が期待できます。クラウドサービスは、サービス間の連携が強化されており、業務効率化にも寄与します。ただし、アカウント情報の適切な保護は最低限の条件となります。
4)緊急時対応プロセスの整備
セキュリティインシデントが発生する可能性を考慮し、経営陣を中心とした対策チームの設立プロセスが必要です。また、関係先やエンドユーザーといった二次的な被害を受ける可能性のある対象を事前に特定しておく必要があります。インシデント発生時には、速やかに関係者へ情報を周知し、被害を最小限に抑えたいと考えています。これまでの説明からも明らかなように、「中小企業はサイバー攻撃とは無縁」という認識はもはや過去のものです。金銭的損失にとどまらず、罰金や信用の低下といった二次的な影響を含めると、経営に対して大きな影響を与える可能性があります。
