TECH+ インシデント対応サイト 運営事務局 世界や日本のニュースで扱われるサイバー攻撃は、決して大企業だけの話ではありません。自分達の会社には関係ないことだろうと油断している中小企業こそ、サイバー攻撃に狙われやすく、被害に遭いやすいのが実態です。今回は中小企業がサイバー攻撃に遭った場合に考えられる被害や、サイバー攻撃への対策で行うべきことをまとめました。
目次
中小企業を襲うサイバー攻撃の事例と実態
サイバー攻撃は決して大きな企業だけの話ではなく、中小企業へも猛威を奮っています。
平成30年、大阪商工会議所が30社の中小企業に行った調査(※1)によると、30社すべてに不正な通信があった警告を示すログが見つかりました。
その中でも重要なアラートとして、暗号化通信の一部が解読できる状態になっていることなど、8種類の脆弱性やポートを狙って攻撃されている事例の存在が明らかになりました。
調査を行った企業のほとんどにウイルス対策ソフトが導入され、運用されていたのを考えると、会社の規模に関係なく中小企業も高度なサイバー攻撃によって常に情報を狙われていることがわかります。
この章では、近年よく見られるサイバー攻撃について対策を疎かにした場合、どのような被害に遭うかを見ていきましょう。
参考記事:サイバー攻撃の目的とは何?どんな攻撃の種類があるのか
※1:大阪商工会議所「中小企業を狙ったサイバー攻撃の実態を調査・分析する実証事業<平成30年度実証>の実施報告について 」より
約80%の企業がサイバーセキュリティのリスクを認識
上記の大阪商工会議所による調査では、約80%もの企業がサイバーセキュリティno
リスクを認識しています。
しかし実際にサイバー攻撃の対策内容を確認すると、ただアンチウイルスソフトを導入するだけで対策済みとしている企業も少なくありません。この記事でも述べますが、サイバー攻撃に対抗するためには、アンチウイルスソフト以外にも数多くの対策が存在します。
サイバーセキュリティへのリスクを認識し対策を行わなければならないと感じているのであれば、前例や対策方法についてしっかりと理解し、実践することが大切です。
金銭の損失
サイバーセキュリティの対策を疎かにして被害に遭った場合、中小企業に考えられる被害は金銭の損失です。
企業や個人で使っているクレジットカード情報をサイバー攻撃により盗み出されてしまうと、直接的に金銭を失ってしまうケースも少なくありません。
また取引先や企業サイトのユーザーに関する情報を盗まれてしまった場合、被害者への損害賠償を支払わなければいけないことも考えられます。
さらには、規制当局からの罰金やサイバー犯罪への調査費用なども支払わなければならない場合もあり、金額の大きさによっては中小企業の経営に大きなダメージを与える場合もあるでしょう。
事業の停止
サイバー攻撃への対策を疎かにしてしまうと、事業の停止へと追い込まれる可能性もあります。
中小企業の情報システムやウェブサイトがサイバー攻撃により改ざんやデータ消失の被害に遭ってしまえば、数日間の事業停止をして復旧作業に当たらなければならない場合も考えられるでしょう。
システムが使えない期間が長くなればなるほど納期の遅れも発生し、取引先にも迷惑をかけ、最悪の場合今後の契約継続が望めない可能性も否定できません。
サイバー攻撃に遭わないための対策のほか、もしインシデントが発生してしまった際にはどのようにシステムの復旧に務めるか、社内で予め話し合っておくことも必要です。
サイバー攻撃の手口や対策については、以下の記事も参考にしてみてください。
信用の毀損
信用の毀損(きそん)も、サイバー攻撃の対策を疎かにしてしまった場合に考えられるリスクです。
サイバー攻撃に遭い被害を被った実態は、顧客や取引先に隠し通せるものではありません。情報は広がり、「あの会社のセキュリティ対策は甘い」と認識されて新規顧客を獲得するチャンスが潰れてしまうこともあります。
たった一度の被害でも、一度失ってしまった信頼や低下したイメージを元通りに回復するには、長い時間が必要です。周りからの不審の目に耐えられず、離職を決断する社員もいるでしょう。
しっかりと対策を行っていたとしても、サイバー攻撃は日々巧妙化・複雑化しながら中小企業を狙っています。そのため、対策をおこなった時点で最新のセキュリティ対策を施していたとしても、定期的に見直して攻撃に備えることが大切です。
法的責任・個人情報保護の違反
対策を疎かにした結果としてサイバー攻撃の被害に遭ってしまった場合、企業へ罰金が課されたり、経営者の監督義務能力を問われ責任を負わされる可能性もあります。
企業は個人情報取扱事業者として、安全な方法で個人データを管理しなければならない安全管理措置の責務を負っています。
企業が個人情報を流出させてしまった場合、刑事上の罰則だけではなく、民事上の罰則が発生します。企業経営者はこのような罰則をはじめ情報漏洩をすることでさまざまなリスクがあると認識し、対策を行っていきましょう。
中小企業が行うべきサイバー攻撃への対策
これまで説明した通り、サイバー攻撃は決して大企業だけの話だけではなく、中小企業も日々狙われ続けています。
サイバー攻撃によって個人情報が流出してしまうなどの被害に遭った場合、金銭の損失や事業の停止など多大な被害を被るため、以下のような対策を行っていくことが大切です。
- PCやスマホ(エンドポイント)のセキュリティ対策
- WAFなどの利用
- 組織体制強化と従業員教育
- インシデント対応の整備
上記の対策について順番に見ていきましょう。
PCやスマホ(エンドポイント)のセキュリティ対策
中小企業が行うべきサイバー攻撃への対策として、エンドポイントへのセキュリティ対策を行うことが挙げられます。
エンドポイントとは、ネットワークに接続している末端の機器であるPCやサーバー、スマートフォン、タブレットなどの端末です。従来は会社で使用するPCをエンドポイントとしてセキュリティ対策を行う認識が強かったものの、近年では働き方改革によるテレワークや外出先でのPCの使用機会の増加により、エンドポイントの範囲が広がっています。
エンドポイントへのセキュリティ対策の例としては、以下のとおりです。
- ハードディスクの暗号化
- マルウェア検知サービスの利用
- IDの管理
- 私的端末からアクセスする際の検疫実施
上記のようなエンドポイント対策を運用していくことで、サイバー攻撃のリスクは軽減できます。まだエンドポイントについて具体的な対策を行っていない企業は上記を参考にできる限りの対策を行い、脅威に備えましょう。
不正アクセス、Webサイト改ざん、DDoS攻撃の対策はWAFなど
中小企業が行うべきサイバー攻撃への対策として、WAFなどの利用が挙げられます。WAFとはWeb Application Firewallが正式名称で、ファイアウォールの一種です。Webサーバとユーザー間の通信を監視できるため、シグネチャに一致した通信を攻撃と判断し、ブロックする機能を有しています。
Webアプリケーションの改ざんリスクの抑制や脆弱性にすぐに対処できない場合でも、パッチ適用やシステム改修までの時間稼ぎができる点から、Webサイトの不正アクセスやWebサイト改ざん、DDoS攻撃の対策に効果的です。
また、WAFの種類は大きくわけて以下の4つが存在します。
- アプライアンス型(ネットワーク型)WAF
- ホスト型WAF
- クラウド型WAF
- クラウド連動エージェント型WAF
上記の4種類には導入費用や操作の複雑さなど、それぞれにメリットやデメリットがあるため、自社に合ったWAFの条件を洗い出し、検討していくことが大切です。
組織体制強化と従業員教育で情報漏洩を防ぐ
中小企業が行うべきサイバー攻撃への対策は、会社内での組織体制強化と従業員教育で情報漏洩を防ぐことです。社内の数人だけがサイバー攻撃に対して危機感を持ち対策にあたったとしても、従業員一人ひとりに正しい知識がなければ、情報の取り扱いに不備が生まれてしまいます。
会社の中でサイバー攻撃に対するスペシャリストともなる人材を育成し、組織体制を強化していくこともおすすめです。加えて、従業員への以下の周知を行いましょう。
- セキュリティポリシーの制定
- 業務内容に合わせた正しい権限付与
- サイバー攻撃の手口と脅威の理解
- ウイルス対策ソフトの導入
- 桁数が長く複雑なパスワードの設定と管理
- OSやソフトウェアのアップデート
- 不審なメールやサイトへの警戒心
組織から従業員へセキュリティに関する意識や情報を伝えるため、定期的にセキュリティ対策の勉強会を開くことも大切です。その際に実際に起きた被害や最新の手口を把握し共有しておくと、さらなる意識の改革へと繋がります。
緊急時の対応(インシデント対応)の整備
中小企業が行うべきサイバー攻撃への対策として、インシデント対応の整備も挙げられます。インシデント対応とはフィッシングサイトやWebサイト改ざん、ランサムウェアなどマルウェアなどの脅威にさらされた際に検知や復旧、分析を行う仕組みです。
社内でサイバー攻撃に対する対策組織を立ち上げ一人ひとりの教育を徹底したとしても、実際のインシデントに対して速やかな対応ができなければ、上記で挙げた金銭の損失や信用の毀損などのリスクを負いかねません。
インシデント対応を外部の会社に委託すると、速やかに対処することが困難な場合も発生するため、できれば社内で対応の整備を行っておきましょう。
具体的なインシデント対応の内容は、以下のとおりです。
- インシデントに対する準備
- インシデントか否かの識別
- 封じ込め・根絶
- システムの回復
- 発生したインシデントや対応の教訓
インシデント対応をしっかりと行っておくことで、サイバー攻撃以外の意図的でない事象についても対応ができるようになります。
インシデントや対応内容は分析し、次回以降すぐに対応できるように体制を強化することで、日々進化するサイバー攻撃に対応できるようになっていくでしょう。
インシデント対応に関しては以下の記事で詳しくまとめています。
インシデント対応とは?インシデント発生時の対応計画から対策の策定までを解説
(まとめ)社員のセキュリティ教育と会社全体のセキュリティ対策が重要
サイバー攻撃に狙われるのは一部の大企業だけではなく、中小企業も常に危険にさらされています。
約80%もの企業がサイバーセキュリティのリスクについて認識しているものの、未だ不十分な対策しか講じていないのが現状です。今回紹介した中小企業が行うべきサイバー攻撃への対策を行うことで、万全な対策状況に近づくでしょう。サイバー攻撃は社員のセキュリティ教育と会社全体のセキュリティ対策が重要です。会社のサイバー攻撃に対する組織を立ち上げ、従業員への教育をしっかりと行うことでリスクを減らしていきましょう。
