中小・零細企業が実施すべきセキュリティ対策について
デジタル社会への移行が進む中で、中小・零細企業においても情報セキュリティ対策が重要視されております。しかし、大企業と比較して経営資源が限られている中小・零細企業では、十分なセキュリティ投資が難しいのが実情です。本記事では、今後の時代に備え、中小・零細企業が実践すべきセキュリティ対策についてわかりやすくご紹介いたします。
サイバー攻撃で狙われる中小・零細企業
大企業と比べて自社が扱う情報量は少なく、情報の価値もそれほど高くないと考え、自社がサイバー攻撃の標的になることはないと想定している中小・零細企業の経営者も少なくないかもしれません。しかし、そうした考えはすでに時代遅れであり、企業の規模にかかわらず、サイバー攻撃の標的となる可能性があります。その背景には、以下のような理由が考えられます。
大企業における強固なセキュリティ対策
近年、社会全体でコンプライアンスを重視する風潮が強まる中、大企業ではセキュリティ対策への投資が加速しております。こうした対策の充実により、以前と比べて大企業を標的としたサイバー攻撃の成功は困難になってきています。
その結果、攻撃者は中小・零細企業を新たな標的とするようになっています。特に「サプライチェーン攻撃」と呼ばれる手法では、大企業の取引先である中小・零細企業を踏み台にして、最終的に大企業を狙った攻撃を仕掛けるケースが増えています。また、大企業と比較してセキュリティ対策が手薄な中小・零細企業への侵入が容易であることから、情報を窃取した上で標的型攻撃を行うケースも見受けられます。もはや「サイバー攻撃は大企業のみが対象である」という考え方は過去のものとなっています。
サイバー攻撃に関わるテクノロジーの進化
ダークウェブをはじめとする攻撃者同士が取引可能な闇市場が確立されてから、すでに長い年月が経過しています。現在では、マルウェアのプログラムに限らず、RaaS(Ransomware as a Service)と呼ばれる、サイバー攻撃を容易に実行できるサービスも開発され、闇市場で取引されるようになっています。
さらに、翻訳技術の進歩により、闇市場での取引における言語の壁も徐々に解消されつつあり、テクノロジーに関する高度な知識がなくともサイバー攻撃が可能な状況となっています。このように環境が整いつつある現状を踏まえると、中小・零細企業も常にリスクにさらされていると認識しておく必要があります。
闇市場における機密情報の売買
先ほど述べたように、ダークウェブ上では、個人情報や機密情報をはじめとして、さまざまな情報が取引されています。盗み出した情報をこうした市場で簡単に換金できることが、犯罪の増加の一因となっています。取引される情報はクレジットカードの情報にとどまらず、IDやパスワードなどのアカウント情報、さらには企業の従業員名簿や仕様書、設計図といった機密情報にも及びます。
攻撃者にとって、中小・零細企業から窃取した情報は容易に現金化できるため、情報セキュリティ対策が不十分な中小企業は、非常に狙われやすい存在となります。サイバー攻撃が増加する時代において、中小企業に求められる備えや対策とは何でしょうか?
中小・零細企業が注意すべき脅威
中小・零細企業がセキュリティ対策を講じる上で最も重要な初めのステップは、サイバー攻撃に対する正確な理解を深めることです。IPAが毎年発表している「情報セキュリティ10大脅威」を参考に、特に警戒すべきサイバー攻撃の脅威について解説します。
ランサムウェア攻撃
ランサムウェアに感染すると、端末内のデータが攻撃者によって不正に暗号化されます。攻撃者は、その復号のためにビットコインなどの金銭を要求し、支払いがない場合、データが元に戻らない状態にされます。このことから「ランサムウェア(Ransomware)」という名称が使われています。
さらに最近では、身代金の支払いを拒否すると、窃取したデータを公開するという「二重の脅迫」や、企業サイトへのDDoS攻撃を仕掛ける「三重の脅迫」といった、より卑劣で悪質な攻撃方法が広がりを見せています。このような攻撃の手口は年々悪化しており、大企業に比べてセキュリティ対策が整っていない中小・零細企業は、特に標的になりやすい状況にあります。
サプライチェーン攻撃
サプライチェーン攻撃とは、ターゲットとなる大企業のサプライチェーンを構成する取引先を攻撃の足掛かりとするものです。例えば、ある大手自動車メーカーでは、取引先のウイルス感染により、国内のすべての工場が稼働停止に追い込まれ、大きな損害が生じました。
中小・零細企業においても、独自の技術やサービスが高く評価され、大企業と取引することが少なくありません。しかし、自社を介してサイバー攻撃が引き起こされた場合、たとえその技術力が優れていても、今後の取引継続が困難になる可能性があります。中小・零細企業は、自社が攻撃の踏み台となり得る状況をしっかりと理解しておくことが重要です。
標的型攻撃
特定の企業をターゲットにした攻撃は、攻撃者が目的を達成するまで執拗に繰り返される傾向があります。特に、極めて重要な情報や大量の個人情報を所有している官公庁や民間企業は、攻撃の対象となりやすいです。しかし、中小・零細企業に対しても標的型攻撃は行われており、サプライチェーン攻撃の起点として、あるいは特定の重要情報を狙った攻撃が行われることもあります。また、業務用のメールを通じて金銭を騙し取るビジネスメール詐欺(BEC)などの攻撃も報告されています。このような被害を未然に防ぐためには、従業員が標的型攻撃のリスクを認識することが重要です。継続的な教育や抜き打ちテストの実施など、組織全体でのセキュリティ対策が必要不可欠です。
中小・零細企業で講じるべきセキュリティ対策
セキュリティリスクが増大する一方で、中小・零細企業は人的リソースや予算に限りがあるため、大企業のように充実したセキュリティ対策を実行することが難しいのが現実です。そこで、IPA(情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」では、こうした制約を考慮し、実行可能で現実的な対策が提示されています。以下のような段階を踏んで、効果的にセキュリティ対策を進めることが推奨されています。
1)自社に関連するリスクを理解し、経営者が果たすべき役割を認識する
まずは、自社の事業内容を元に、どのような脅威が発生する可能性があるかを洗い出すことが重要です。先に述べたように、中小・零細企業を取り巻くサイバー攻撃の状況を考慮すれば、他人事として見過ごすことはできません。セキュリティ対策への姿勢は、経営者が先頭に立って示していくことが求められます。
もしセキュリティインシデントが発生した場合、事業の存続そのものに支障をきたす可能性もあります。ステークホルダーに対する責任を全うするためにも、まずはセキュリティ対策の重要性を十分に認識することが必要です。
2)情報セキュリティに関する基本方針を明確にする
組織全体で情報セキュリティを実施するためには、まず基本方針を策定し、従業員や関係者にしっかりと周知・徹底することが求められます。経営者がサイバー攻撃の脅威にどう立ち向かうかという考えを明文化することによって、従業員はそれを自分ごととして捉え、セキュリティ対策に対する意識が高まります。また、組織全体でセキュリティ強化に取り組むことの重要性を理解すれば、より一層強固な対策を実現できるでしょう。例えば、IPAの「SECURITY ACTION」を取得することを目指し、全社的にセキュリティ対策を推進していく方法も有効です。
3)基本的なセキュリティ対策を実行する
限られた予算内でセキュリティ対策を講じる必要がある中小・零細企業にとって、大規模な投資を伴うセキュリティ対策を実施するのは容易ではありません。しかし、まずはIPAが公表している「情報セキュリティ5か条」の実践から始めることが推奨されます。以下の基本的な対策を実行してみましょう。
・OSやソフトウェアを最新に保つ
OSやソフトウェア、ファームウェアを定期的に更新しましょう。
・ウイルス対策ソフトを導入する
ウイルス対策を中心に、統合的なセキュリティ対策が可能なソフトウェアを導入しましょう。
・パスワードを強化する
推測されにくいパスワードの使用を徹底し、使い回しを避けましょう。また、多要素認証の導入も検討してください。
・共有設定の見直し
適切なアクセス権限を設定し、不必要な共有設定は行わないようにしましょう。
・脅威や攻撃手口について知識を深める
サイバーセキュリティの脅威や攻撃手法について、常に最新の情報を収集しましょう。
4)組織として本格的に取り組む
まず、IPAが提供する「新5分でできる!情報セキュリティ自社診断」を参考にして、自社の情報セキュリティ上の課題を明確にすることが効果的です。しかし、セキュリティ対策に本格的に取り組む場合、まとまった投資が必要となることがあります。そんな中、政府はこのような課題を考慮し、以下の支援策を用意しています。
・各種補助金
IT導入補助金をはじめ、経済産業省をはじめとした省庁が支援策を提供しています。近隣の商工会や商工会議所に相談することで、自社に適した補助金を見つけることができるでしょう。
・サイバーセキュリティお助け隊サービス
「サイバーセキュリティお助け隊サービス」は、IPAが提供する、中小・零細企業向けのセキュリティ対策を低価格で提供するサービスです。このサービスを利用すれば、包括的なセキュリティ対策を一度に導入することができます。さらに、IT導入補助金を活用することもできるため、何から始めれば良いのか分からない場合には、こちらのサービスを選択肢として検討してみると良いでしょう。
デジタル社会が加速し、現実世界とデジタル空間が一層融合する時代が到来しています。コロナ禍を経て加速したデジタル化は、今後も日本社会に着実に広がっていくことが予想されます。
デジタルテクノロジーに対応することは、今後の社会で企業が生き残るために欠かせない要素となります。したがって、サイバー攻撃への備えも必須となり、経営者としてその重要性を認識し、適切な対策を講じることが求められています。
