サイバー攻撃の対策が中小企業にこそ必要な理由

 2019.07.25  AJS株式会社

中小企業を標的としたサイバー攻撃が増加しています。サイバー攻撃の増加は今に始まったことではありません。しかし、その標的が有名企業・団体、公的機関などから、いわゆる中小企業にまで広がってきています。

サイバー攻撃による被害は、顧客や従業員の個人情報の漏えい、ウイルスや詐欺メールによる金銭的な被害、Webサイトの改ざんや妨害によるサービス停止など、多岐にわたりますが、攻撃者は目的(個人情報や機密情報の取得、金銭を得る、営業・サービスの妨害をする)を果たすために、さまざまな手法を駆使してきます。

まずは中小企業を標的としたサイバー攻撃をいくつかご紹介します。

中小企業がサイバー攻撃の対象となる理由

2019年3月に情報処理推進機構(IPA)が発表した『情報セキュリティ10大脅威』において、標的型攻撃による情報流出が、組織における脅威のトップになりました。

情報セキュリティーの重要性が叫ばれる昨今、大企業は多額のコストとリソースをかけて非常に強固なセキュリティーを構築しています。そうしたなか、攻撃者は攻撃の標的を、大企業から中小企業に移すようになりました。強固なセキュリティーを擁する大企業を直接狙うよりも、大企業と取引のある中小企業を狙う方が効率的だからです。

セキュリティ 10大脅威 2019』より引用

https://www.ipa.go.jp/security/vuln/10threats2019.html

大企業Aを標的にした攻撃者が狙うのは、強固なセキュリティー対策を講じている大企業Aではなく、大企業Aと取引をしていて、セキュリティー対策が万全ではない中小企業Bです。攻略しやすい中小企業Bのセキュリティーを攻撃・突破し、メールなどを通じて大企業Aのシステム内部に侵入するという手口です。

情報処理推進機構(IPA)の『中小企業における情報セキュリティ対策の実態調査』では、情報漏えい等のインシデント又はその兆候を発見した場合の対応方法を規定しているのは、中小企業全体の21.2%という結果が出ています。

このように、サイバー攻撃を行う攻撃者から見たとき、中小企業は格好の標的と言えるでしょう。「我が社くらいの規模なら狙われることはない」などという油断は禁物です。万が一、自社を踏み台に取引先の大企業へのサイバー攻撃が行われてしまったら、その企業との取引がなくなってしまうかもしれません。

「機密情報なんて保持していない」、「狙われるようなデータもない」と安易に考えることなく、今は中小企業がサイバー攻撃の対象になっていることを認識し、必要な対策を講じていかなくてはいけません。

中小企業がとるべきサイバー攻撃対策

では、サイバー攻撃による被害を未然に防ぐためには、どのような対策を行うべきでしょうか。情報処理推進機構(IPA)が発表している『中小企業の情報セキュリティ対策ガイドライン第3版』では、下記の5つの対策を推奨しています。

  1. OSやソフトウェアは常に最新の状態にする
  2. ウイルス対策ソフトを導入する
  3. パスワードを強化する
  4. 共有設定を見直す
  5. 脅威や攻撃の手口を知っておく
情報処理推進機構『中小企業の情報セキュリティ対策ガイドライン第3版』より引用https://www.ipa.go.jp/security/keihatsu/sme/guideline/

情報セキュリティーの分野では、日常的に新たな脅威が現われ、企業はその対応に追われています。日々進化を続ける脅威に対処するためには、セキュリティーに関する知識やスキルを有する人材が必要不可欠です。しかし、優秀な人材は需要に対して不足していますし、中小企業では、その人材を確保するためのコストが用意できない場合もあるでしょう。

中小企業がとるべきサイバー攻撃対策

アンチウイルスソフトだけでは万全な対策にはならない

セキュリティーの脅威に備えるには、ウイルス対策以外にも、ファイル転送による情報の流出、USBデバイスを使う不正なデータコピー、印刷ドキュメントによる持ち出しなどに対しても、ガードを固める必要があります。最近の事例を見ると、内部不正も起きることを前提にせざるを得ません。

クライアントPCのOS、アプリケーションを常に最新の状態に保つことは基本的な防御方法ですが、それだけでは新種のウイルスが頻出する昨今の状況では安心できません。万一、未知のランサムウェアのような悪質なウイルスが入り込んでしまった場合に備え、ファイルをバックアップし復元できる機能も整えておいた方がいいでしょう。

「セキュリティー対策はウイルス対策ソフトを導入しているから大丈夫」と思っている人は多いかもしれません。しかしIPAの報告でも示されているように、敵は決してウイルスだけではありません。フィッシングメール、悪意のあるサイトへの誘導、脆弱性の放置、内部関係者による情報持ち出し、ソフトの誤操作など、ウイルス対策ソフトだけで守ることのできない脅威は沢山あります。

ですから、総合的なセキュリティー対策が不可欠です。昨今の脅威に対応するために、もう一度安全対策を見直してみてはいかがでしょうか。


『月刊人事マネジメント』事例掲載
「人事評価制度見直し」決断する前にやること

RELATED POST関連記事


RECENT POST「セキュリティ関連ブログ」の最新記事


サイバー攻撃の対策が中小企業にこそ必要な理由