Skip to Content
2019年1月31日 Article 3 min read

中小企業はサイバー攻撃のターゲットになりやすい傾向にあります。リーダーシップが未熟であること、防御が不十分であること、または対策が未熟であること等が原因です。しかしサイバー攻撃のターゲットになりやすい原因がどんな内容であっても、サイバー攻撃に対する対策法は必ず存在します。

Cybersecurity specialist working on a laptop.

米国だけでなく世界中のあらゆる企業が、ITの脆弱性を悪用する一連のサイバー攻撃の被害を受けています。残念なことに、攻撃を受けにくい安全な場所、業界、企業、組織などは存在しません。

またこれらの攻撃はEquifaxなどの大企業だけが対象となるわけではありません。中小企業(SMB)の場合は、データ漏洩、ランサムウェア、スピアフィッシング等のサイバー攻撃の標的になりやすく、その被害規模は拡大しています。Ponemon Institute社の調査によると、2016年に調査を行った中小企業の50%がデータ漏洩を経験したと報告しています。さらに、Malwarebytes社が2017年と2016年に実施した2件の調査では、企業を標的としたランサムウェア攻撃は増加しており、これらの攻撃を受けた中小企業のほぼ4分の1が、業務を修復・改善する能力を保持していませんでした。Symantec社の調査では、ウイルスやその他のマルウェアをインストールさせる電子詐欺メールによって、特定の企業メンバーを標的にしようとするスピアフィッシング攻撃が、2011年以降毎年急激に増加していることがわかっています。

中小企業(SMB)は、データ漏洩、ランサムウェア、スピアフィッシングなどのサイバー攻撃の標的になりやすく、その規模は拡大しています。

これらの企業のITおよびデータニーズをサポートしてきた長年の経験に基づき、これらの脆弱性に対する保護に関して、当社は3つの大きな問題が存在することに注目しました。

1. 経営陣の意識の欠如

中小企業は、自分たちが直面しているリスクを過小評価する傾向にあります。彼らは自分たちがサイバー攻撃の標的であるという認識が薄く、攻撃が会社にもたらす可能性のある影響を甘く見ている傾向にあります。しかし、会社がこれまでに重大なサイバー攻撃やデータ漏洩の被害を受けていないからといって、これからも被害を受けないとは限りません。被害を受けた時に被る損害は計り知れず、その被害の範囲は事業への実質的な影響、財務実績、会社の評判におよび、さらにはそれら3つをすべて総合した影響がいっぺんに襲いかかる可能性もあるのです。

サイバーセキュリティとは何か、また脆弱性によってどのようなビジネスリスクが生じるかについて、ITチームはそれらの問いに対する経営陣の理解度を高めなければなりません。実際に、会社が抱えるリスクに関して経営陣にいくつかの質問を投げかけるだけでも、サイバーセキュリティーに対する彼らの関心度は高まります。サイバー攻撃はITチームが対処しなければならない問題であるため、サイバー攻撃への対策について、CEOがその全てを熟知する必要はありません。しかし、サイバー攻撃の何が問題であり、リスクを軽減させるには何が必要か、また起こりうるサイバー攻撃の脅威に対して会社はどのような対策をとるべきかについては、CEOも最低限の理解が必要です。

企業がサイバー攻撃のリスクを軽減するためにできること:経営陣が議論すべき内容

まずは、会社がどのようなデジタル資産を保持しているのかを認識しなければなりません。会社のデータをその他の資産と同じように丁寧に扱うことが大切です。データを安全に保管するためには、どのようなデータがどこに保管されているのかをまずは知らなければなりません。

データセキュリティの責任者を設置することは、会社にとって情報を保護するための重要な最初のステップとなります。責任者が存在することで、データ管理が初めて確立されるからです。 すべての従業員が会社のデータへ一定レベルでアクセスする必要があるため、誰がどのデータ資産にアクセスできるかを明確に記録しない限り、データを保護することはできません。

データを管理することではじめてデータを安全に保護できるようになります。

2. データ保護に関する誤解

ITセキュリティにおける「脆弱性」とは、攻撃者がシステムの情報保護を低下させることができることを意味します。セキュリティが突破される場合、以下の三つの全てが揃った時だと言われます。

  1. システムの弱点や欠陥
  2. システムの弱点またはそのアクセス方法を攻撃者が認識していること
  3. 弱点を悪用する攻撃者の能力

サイバーセキュリティソリューションへの投資を活用した強力なITセキュリティプログラムを確立することは良いビジネス.

無料のセキュリティ更新プログラムを適用していないマイクロソフトのプログラムを利用したWannaCryランサムウェア攻撃は、多くの中小企業がサイバー攻撃に悩まされる原因となっています。これら中小企業は、攻撃が非常に巧妙で、それらに対抗するためには同じように巧妙な防御システムを必要とすると考えています。しかし実際には、インターネットセキュリティに対しては、必ずしも多額の費用が必要となるわけではありません。正しいソリューション、プロセス、そしてリソースを持つことが何よりも重要です。

企業がリスクを軽減するためにできること:インターネットセキュリティのベストプラクティスを利用する。

次に挙げるセキュリティ対策については、それらを会社が採用しているかどうか、と同様に、どのセキュリティ対策を実装することを選択し、それらがビジネスニーズや企業文化に合っているかの方がより重要です。

Routine vulnerability scanning(脆弱性の定期的なスキャニング)- おそらく最も見過ごされ、十分に活用されていないツールと言えます。文字通り、システムのどこが弱いかを教えてくれるツールです。攻撃者はこの情報を常に利用しています。

Advanced email filtering(高度なメールフィルタリング) - MicrosoftやGoogleなどの電子メールサービスプロバイダにメールのセキュリティ機能がすでに備わっていると考えるのは適切ではありません。MicrosoftのAdvanced Threat Protectionは、ほとんどの場合、Office 365サブスクリプションプランには含まれていません。電子メールは、企業内で最も多く見受けられる攻撃経路になります。適切なアドオンサービスまたはMimecastやBarracuda Networksなどのサードパーティソリューションプロバイダによって保護されていることを確認してください。

Web filtering(Webフィルタリング )- 電子メールが主な攻撃経路となる一方、悪質なWebサイトは次に多く利用される攻撃経路となります。ほとんどの中小企業が悪質なwebサイトの存在を知っているにもかかわらず、Webフィルタリングの採用について企業内で議論されることはあまりありません。少なくとも、Webフィルタリングサービスを使用して、従業員が悪意あるWebサイトにアクセスするのを防ぐ必要があります。

3. ポリシーと手順の成熟度(組織全体)

強力なサイバーセキュリティポリシーを持つことは大切ですが、それらをサポートするには強力なプロセスと手順が必要になります。

セキュリティポリシーが守られていることをちゃんと認識できているでしょうか。セキュリティの維持には、この 質問に「はい」と答えられることが必要ですが、その内容をしっかりと認識しておくことも重要です。効果的なITセキュリティプログラムを維持するには、責任の所在を明確にするために充分な施策と手順を設ける必要があります。しかし、複雑さを成熟度と混同してはいけません。

企業がリスクを軽減するためにできること:信頼の文化を築きつつ、これらの重要な方針と手順を検証すること。

支払いプロセス -フィッシング詐欺のテクニックは、大抵支払い承認の未熟なプロセスに依存しています。2回目の承認と支払いリクエストの確認によってほとんどのフィッシング詐欺は防ぐことができます。

バックアップと復元 - バックアッププランを定期的にテストしていないと、必要になったときにそのプランがうまく作動しないリスクがあります。主要なシステムをエンドユーザーが検証するなど、バックアップのテストは少なくとも年に1度は実行する必要があります。

サイバーセキュリティは急速な変化を伴います

ユーザー管理とアクセス - 中小企業のお客様とこれまで接してきた中で、人事部とIT部署間で連携がしっかり取れていないために、元従業員が退職後も会社のデータにアクセスするような事象が頻繁に見受けられました。この問題を回避するには、責任の所在を明確にするためにITチームが他の部門と協力しなければなりません。

エンドポイント管理 - エンドポイントは最新のものではないため、様々な攻撃に晒されやすくなります。サードパーティによるITインフラストラクチャの確認を実施し、パッチやウイルス対策などの重要なアイテムが完全に機能していることを検証してください。

アドバイスが必要な場合は

サイバーセキュリティは急速な変化を伴います。貴社が直面しているサイバーセキュリティに関する問題の管理方法がわからない場合は、アウトソーシング(またはコ・ソーシング)をご検討ください。経験や知識が豊富な協力者のサポートを受けることで、費用のかかるサイバー攻撃から会社を守ることができます。