中小企業が情報セキュリティ上の脅威に対して行うべきこと

中小企業は大企業と比較すると、情報セキュリティに対する意識が低いと言われることも多いです。サイバー攻撃による脅威は高度な技術を持つ大企業だけでなく、中小企業にも及びつつあります。しかし、まだまだ認識や対策が不足している企業も少なくありません。この記事では、中小企業がサイバー攻撃の脅威に備えるためのポイントについて紹介します。

中小企業に対するサイバー攻撃は着々と増えており、その対策が求められています。東京都では、警視庁や中小企業支援機関、セキュリティ機関等と連携して「東京中小企業サイバーセキュリティ支援ネットワーク」という組織を作っており、中小企業の情報セキュリティ強化に乗り出しているほどです。今後予想されるさまざまなセキュリティ上の脅威に対して、先んじて手を打っておく必要があるための措置と考えられます。

IPA（情報処理推進機構）が公表している2019年の「情報セキュリティ10大脅威」では、「サプライチェーンの弱点を悪用した攻撃の高まり」という項目がランクインしています。これは、強固にセキュリティ対策を施している大企業ではなく、サプライチェーン内のセキュリティの弱い企業にまず侵入を試みて、最終的なターゲットである企業へのサイバー攻撃を試みようという動きです。セキュリティ対策が不十分な中小企業は、こうしたサイバー攻撃の格好の的になる可能性があります。特に、大手企業との取引がある場合には、十分な警戒をしておくことが必要です。最悪の場合、取引先との信頼関係や取引にも影響が出てしまう可能性もありますし、実際に契約内容や情報セキュリティの体制などの確認を始めている企業も出てきています。

中小企業に対するサイバー攻撃の手法はさまざまです。添付ファイルに不正プログラムを忍ばせたメールを送ったり、業者や従業員になりすまして堂々と組織の中に侵入したり、建物から漏れ出たWi-Fiのネットワークから社内のネットワークに侵入したりと、いろいろな方法があります。カフェや居酒屋など、公共の場で仕事や取引先のことを話してしまうと、それを悪意のある人が聞いてターゲットにすることもありますので注意しましょう。また、退職者を通して企業や取引先に関する情報が漏れることもあります。企業との関係性がよくない場合にトラブルが生じやすいため、普段から従業員とのコミュニケーションを行い、退職時のリスク回避に務めることも大切です。

セキュリティ対策は大きくはシステムによる対策と、教育による対策があります。これらの両面から企業のセキュリティ対策を見直すことが、迫り来る脅威に対して有効です。その中で、確実に見直しておきたい項目を簡単に紹介します。

システムによる対策にはさまざまなものがありますが、たとえばセキュリティソフトを仕事で使うパソコンにインストールすることや、最新版に更新することはその代表的なものです。最新のセキュリティソフトは、ウイルスやマルウェアの検知や駆除だけではなく、侵入時の被害を最小限にとどめるための仕組みや、AIによって未知の脅威にも対策ができるようになっています。常に最新版を利用することは、サイバー攻撃に対する防御力を高め、悪意ある攻撃者の攻撃意欲を減退させることにも有効です。

また、組織でウェブサービスを提供している場合、サービスに対してもセキュリティ対策を施す必要があります。アカウントの認証の仕組みを見直したり、不正なスクリプトを仕込まれる可能性のある部分はないかをよく検証するようにしましょう。また、悪意ある攻撃者からのDDoS攻撃などのリスクに備え、WAFなどを利用することも効果的です。ウェブを含むITサービス全般で、データの収集や保管などのフローをしっかりと見直し、できる限りリスクの少ない業務フローを作りましょう。

大手企業が提供しているサービスでの情報流出が近年は増えていますが、多くはシステム上の問題ではなく、別のサービスやトラブルでアカウント情報が外部に漏れていたケースが多いです。企業はこのような部分にも注意して情報セキュリティに対して教育を行う必要があります。

たとえば、社内で認可されている以外のデバイスやサービスを使って仕事を行うシャドーITが増えています。インターネットさえあれば場所や時間を問わずに使うことができるサービスはとても便利ですが、会社で管理できない場合にはそこから重要な情報が漏れてしまうリスクも大きいです。シャドーITがもたらす問題点を従業員がしっかり理解しておらず、仕事の効率やコストばかりを考えてしまうことで情報セキュリティ上の脅威が拡大する恐れがあります。特にリモートワークを許可している企業においては、十分な確認が必要です。

また、USBメモリなどに個人情報などの重要なデータを入れて携帯し、紛失してしまうケースが後を絶ちません。USBメモリは便利ですが、大量のデータを物理的に持ち出すことができることはリスクでもあります。中の情報を閲覧することも容易ですので、セキュリティ対策上はUSBメモリの使用は好ましくありません。インターネット上のクラウドサービスなどを利用して必要なデータの受け渡しが行えるよう教育を行うことが大切です。企業向けのデータの受け渡し用のクラウドサービスの中には、データの保管期限が限られていたり、企業の管理者がアップロードやダウンロードの記録をすべて確認できるようなものもあります。監視ができるということが抑止力になりますので、できるだけ企業でサービスを選定・指定して使うことが大切です。

その他、典型的なフィッシング攻撃やビジネスメール詐欺について周知しておくことや、情報漏洩時のリスク、セキュリティ上の問題が生じたときの対策フローなどをしっかりと教育しておくことが、問題の発生や拡大を防ぐことにつながります。個人が仕事用の端末を管理しているDevOps環境では、OSやセキュリティソフトの更新をしっかり行うように教育することも重要です。

中小企業では、予算の制約によって情報セキュリティ対策が難しいと考えていることも多いものです。しかし、お金をかけずともできる対策も多く、特に従業員へのセキュリティ教育は低コストで効果が高いので社内でしっかり行うことをおすすめします。

攻撃者の側から見れば、専門家が作ったセキュリティソフトを突破するよりも、セキュリティ意識の低い人から情報を入手する方がずっと簡単でリスクも低いものです。逆に、セキュリティに対する意識が高ければ、攻撃者側はサイバー攻撃を仕掛けるためのコストが高くなるため、狙われるリスクが下がります。情報セキュリティに対する意識が高まるだけでも、一定の効果を見込むことができるのです。

情報セキュリティ対策用のシステム整備にはお金がかかると考えられがちですが、最近はクラウドサービスで提供されているものも多く、企業の規模にあわせて導入できるため予想よりも安いと感じる人も多いです。中にはシングルサインオンなど、業務効率化にも活かせるサービスもあります。また、セキュリティ強化のために業務フローを見直したら、余計な仕事が減って生産性が向上したというケースも少なくありません。

中小企業の中には、「自社には狙われるような情報はない」と考え、セキュリティ対策や教育が行われていない企業も多いです。しかし、サプライチェーンを狙った攻撃が増えており、セキュリティ意識の低い企業は格好の的になります。教育や情報共有で危機感を醸成することは、コストパフォーマンスの高い対策です。リスクの高い部分については、できればセキュリティ対策用のシステムやサービスも検討してみましょう。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。