サイバー攻撃が多様化・巧妙化する昨今、中小企業が標的となる例も多い。機密情報や個人情報の漏えいなどに加え、罰金や信用失墜といった二次的な被害も生じ、経営を揺るがすような悪影響を受ける場合もある。本記事では、中小企業で起こり得るサイバー攻撃と、それに対して講じるべき現実的な対策について解説する。
中小企業もサイバー攻撃の影響を受ける時代に
サイバー攻撃の多様化・巧妙化が進む今、中小企業もその標的に含まれるようになっている。攻撃者にとって不正侵入に要するコストが下がったことや、窃取した情報を換金できる可能性が高まったことなどが背景にある。
このように企業を取り巻く環境が大きく変化しているにも関わらず、中小企業の多くでは、情報システム部門の予算や人員が限られ、十分な備えがとられていないことも少なくない。セキュリティ対策の不備は、以下のような影響・損害を生む要因となり得る。
・金銭の損失
口座情報やクレジットカード情報を窃取されるなど、直接的に金銭を失うケースがある。また、情報漏えいが発生したケースでは、ユーザーや取引先に対する損害賠償や、規制当局からの罰金、また、サイバー犯罪に関する調査への対応費用も考慮しなければならない。
・事業の停止
企業の情報システムやWebサイトが改ざん・消失の被害に遭うと、事業の継続に多大な影響を及ぼす。適切な事業継続計画がなければ、復旧に要する時間が長くなるため、事業が中断することによる納期の遅れや失注などの悪影響も拡大していく。
・信用の毀損(きそん)
情報漏えいや事業停止により、既存顧客のみならず新規顧客からも敬遠され、業績に悪影響を与える可能性がある。一度失った信頼を回復するのは極めて困難だ。従業員の士気も下がり、離職率の上昇につながる恐れもある。
・法的責任・個人情報保護の違反
個人情報保護法をはじめ、適切な対策をとらなかった場合、企業に罰金が科される恐れがある。さらに、経営者が監督義務を果たしていないと判断された場合は個人として責任を負わされる可能性もある。
これらの被害が考えられるにもかかわらず、中小企業でサイバー攻撃への対策が進まない理由として、以下の2点が代表的なものとして挙げられる。
1)起こり得る被害やリスクへの理解不足
経営上の優先度が低く、情報セキュリティ対策に十分な予算や人員が割り当てられていない。また、どのようなシステムが標的になりやすいかといったリスク分析が行われていない。被害の可能性は認識していたとしても、それに対してどのような対策をとればよいのかが分からない。
2)サイバー攻撃の標的にならないとの見当違い
取り扱うデータ量が少ないからといって、標的にならないと考える企業も一部には存在すると思われる。しかし、中小企業を経由して大企業へサイバー攻撃を仕掛ける手法もある。情報セキュリティの優先度が低い企業は、近年のサイバー攻撃の傾向に合わせた基礎的な対策すらおろそかになってしまいがちだ。
中小企業で起こり得るサイバー攻撃
以下では、中小企業で頻繁に起こり得る代表的なサイバー攻撃を解説する。
1)サプライチェーン攻撃
サプライチェーンとは、原材料の調達から製造・流通・販売まで消費者に至るまでの一連の生産・流通プロセスを指す。ここでは、取引業者、関連会社、海外の子会社といった多数の企業群が携わっている。あるサプライチェーンの中でサイバー攻撃の対策がとられていない中小企業へ不正侵入することで、取引がある大企業に被害を与えるのがサプライチェーン攻撃だ。近年、大企業ではセキュリティ対策が進んでいるため、対策が手薄で攻撃しやすい中小企業が狙われる傾向にある。
■ 中小企業も他人事ではないサプライチェーン攻撃の危険性とは?
>>詳しくはこちら
2)ランサムウェアによる攻撃
ランサムウェアの感染経路が多様化し、メールやWebサイトなど多岐にわたる。ランサムウェアの危険性が従業員に周知されていなければ、不注意でスパムメールの添付ファイルを開いてしまうなど、感染のリスクは高まる。また、データを定期的にバックアップしていない場合、ランサムウェアによって不正にデータが暗号化されてしまうと、業務復旧までに多くの時間を要してしまう。
■ 中小企業はランサムウェア攻撃の格好のターゲット
>>詳しくはこちら
3)メールなどを用いた標的型攻撃
近年、標的型攻撃は大企業だけではなく、中小企業もターゲットとしている。標的型攻撃では、業務関連の内容を装ったメールを送付する手法が知られており、ランサムウェアやマルウェア感染のきっかけとなる。従業員を騙すための手法も、より巧妙化・悪質化しているため、従業員に対するセキュリティ教育を行い、リテラシー向上を図る必要がある。
4)テレワークにおける不備を突く攻撃
コロナ禍の影響で急遽、テレワークを導入した企業は少なくないが、それに対応したセキュリティ体制が十分にとられていない中小企業も散見される。例えば、個人端末の利用を許可したものの、セキュリティ対策ソフトが導入されておらず、マルウェアなどの脅威に晒されているというリスクも想定される。
■ テレワーク導入で中小企業が活用すべきセキュリティ対策のツールとは?
>>詳しくはこちら
5)システムの脆弱性を狙う攻撃
ソフトウェアは常に最新のバージョンへ更新しておくというのは、セキュリティ対策の基本中の基本とも言える。社内システムや従業員が使用するデバイス、ソフトウェアも常に最新の状態へ更新しておかなければならない。このような更新を確実に行う仕組みを確立していない場合、残された脆弱性が狙われるリスクが高まる。
6)クラウドサービスを狙う不正アクセス
テレワークをはじめ、最近大きく変化しつつある業務環境に対応するよう、クラウドサービスの利用は着実に増えている。しかし、ログイン時のパスワード設定を適切に行わなければ、不正アクセスのリスクが高まってしまう。利用するサービスによっては、不正アクセスによって機密情報や個人情報の漏えい被害が深刻なものになり得る。中小企業で講じるべきサイバー攻撃への対策
サイバー攻撃による被害が企業経営に大きな影響をもたらすようになり、経営層には全社横断的なセキュリティ対策を主導し、情報システム部門や各部門と連携していくことが求められている。以前のように、ウイルス対策ソフトを導入すれば十分という時代は過去のもので、より複合的な対策が求められている。
従業員・業務プロセス・業務関連の技術など、それぞれでセキュリティリスクを洗い出し、適切な対策を講じておくことが推奨される。予算や人員が限られている中小企業においても、基礎的な対策から進め、徐々に成熟化させる取り組みが求められている。
1)基礎的な対策
総合セキュリティソフトの導入など、すぐに始められる対策は多い。ソフトウェアを常に最新に維持する、パスワード設定を見直す、社内データの共有設定を見直す、といった対策によってマルウェア感染や情報漏えいのリスク低減につながる。
2)組織体制の整備と従業員教育
経営層が主導してセキュリティ対策を進めるための体制を整備し、遵守すべき法令や対策のスコープを明確にする。セキュリティの重要性や基礎的な対策について、社内研修や勉強会を通じて従業員に周知する。
3)外部サービスの活用
近年は各ベンダーがセキュリティに関するさまざまなソリューションを提供しており、自社で開発するよりも効率的な場合も多い。網羅的な対策が可能な総合セキュリティソフトをはじめ、セキュリティ対策自体のアウトソーシングやクラウド型のセキュリティソリューションなども充実している。
また、業務関連のクラウドサービスが一般化した昨今、適切に利用することでセキュリティレベルの向上が期待できる。クラウドサービスではサービス間連携も充実しており、業務の効率化も期待できる。ただし、アカウント情報を適切に保護することは利用時の最低条件となる。
ほかにも、インシデント発生時の被害を補償するサイバー保険なども業態によっては検討の余地があるだろう。セキュリティの問題が発生した際、大きな金銭的被害が見込まれる事業であれば、導入するメリットは大きいだろう。また、IPAが提供する「サイバーセキュリティお助け隊サービス」も展開されている。IPA公認のアドバイザーが中小企業のセキュリティ対策を支援するものだ。
4)緊急時対応プロセスの整備
セキュリティインシデントの発生を見越して、経営陣をリーダーとして対策チームを立ち上げるプロセスが必要となる。また、二次的な被害を受ける関係先やエンドユーザーを、あらかじめ明確にしておかなければならない。インシデント発生時に速やかに関係先へ周知できるようにして、被害を最小化したい。
ここまで述べてきたように、「中小企業はサイバー攻撃と無縁」と言える時代はすでに過去のものとなっている。金銭的な被害だけでなく、罰金や信用失墜といった二次的な被害を含めると、経営を揺るがすほどの影響を受ける恐れがある。
ただし、サイバー攻撃を恐れるあまり、「自社の規模や要件に見合わない、持続性のない対策」を行うのも本末転倒だ。経営戦略や事業の方向性に照らして対応の優先順位をつけながら、限られた予算や人員を有効活用して、セキュリティ対策のはじめの一歩を踏み出すようにしてほしい。
※本記事はキヤノンマーケティングジャパンのオウンドメディア「サイバーセキュリティ情報局」から提供を受けております。著作権は同社に帰属します。
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン
