中小企業も標的に、サイバー攻撃の脅威とセキュリティ対策

急増するサイバー攻撃、15％以上の企業が「何らかの事故を経験」

サイバー攻撃による被害が新聞やニュースで大々的に報道されるようになった昨今、攻撃の手口は巧妙化かつ多様化の一途を辿っており、企業にとって大きな脅威となっている。
国立研究開発法人・情報通信研究機構の調査によると、2016年に観測されたサイバー攻撃のパケット数は1,281億件あり、前年と比べて約2.4倍に急増、攻撃対象となったIPアドレス数も年々増加している（図1）。また、情報処理推進機構（IPA）が、2015年2月に1,773社の経営者またはIT責任者を対象に実施したアンケート調査では、全体の15.3%（271社）が「何らかのセキュリティ事故を経験したことがある」と回答している。

図1：日本における1年間のサイバー攻撃回数

サイバー攻撃の被害を受けてパソコンがウイルスに感染すると、機密情報や顧客情報漏えいの恐れがある。また、攻撃者は、セキュリティ対策が不十分なパソコンやネットワークを乗っ取り、それを踏み台にして無関係なサーバや一般ユーザーへサイバー攻撃を仕掛けることがある。攻撃者からすれば、踏み台にするパソコンは何でもよく、攻撃の踏み台にされた企業は、知らぬ間に加担者として事件に巻き込まれてしまうこともあるのだ。

中小企業も狙われるウイルスの脅威

そして、実は近年、中小企業を狙ったサイバー攻撃が急増し、Webサイトの不正アクセスによる顧客情報流出や身代金ウイルスによるデータ喪失などの被害が多発している。

ある会社の従業員Aが、朝出社してパソコン画面を見てみると、見慣れないマークとともに、「ファイルは暗号化されました。ビットコインで支払いを済ませてください。」というメッセージが表示されていた。異変に気付き、パソコンの中にあるファイルを確認してみると、Excelでまとめていた取引先リストやパワーポイントで作成したクライアントへの提案資料、契約書や画像のデータまで、すべてのファイルが暗号化されて読むことができない。
万一の場合に備え、データはオンラインで随時バックアップを取っていたため、保存先のファイルサーバを開いてみたが、バックアップファイルまですべて暗号化されていた。慌てて専門業者に問い合わせてみたが、「暗号化されてしまったデータの復元は難しい」との回答が返ってきた...。

これは、「ランサムウェア」という身代金ウイルスに感染してしまった中小企業の実例である（図2）。標的となるのはパソコンだけではない。Android?スマートフォンを狙った日本語版のランサムウェアの存在も確認されている
さらに、要求通りに身代金を払ったとしても、ウイルスに感染したデータは復旧できるとは限らない。場合によっては、すべてのデータが一瞬にして失われてしまい、会社に取り返しのつかない損害を与える可能性もある。

図2：ファイルを人質にして身代金要求

中小企業がサイバー攻撃の標的になるワケ

なぜ今、日本の中小企業が狙われているのか。それは、「セキュリティの脆弱性」の問題だ。大手企業と比べ、中小企業は情報セキュリティ対策に手が回らず、対応の不備が見られることが多い。
中小企業で情報セキュリティ対策が進まない代表的な課題の1つに、セキュリティ対策に対する投資の負担がある。強固なセキュリティ構築のため、入口・内部・出口という多段階の対策を組み合わせる多層防御の必要性が訴えられている。だが、必要なツールの実装や社内管理体制の構築なども含めて考えると、莫大な投資が必要になることもある。直接的に利益を生まないセキュリティ対策に先行投資できる中小企業は、それほど多くはないだろう。

また、セキュリティ専任の担当者がいないという課題もある。とくに、社員数が少ない中小企業では、セキュリティ対策はおろか、システム担当者もおらず、「WordやExcelが使える＝ITに詳しそう」という理由で、セキュリティ担当になるケースも少なくない。そのため、担当者の業務負荷が増え、セキュリティ対策だけに十分な時間や工数を割けなくなる。専門知識を持った人材がいなければ、ノウハウや情報も蓄積されにくい。その結果、セキュリティ対策の質が低下してしまうのである。

だが、求められるセキュリティ対策に企業規模の違いは関係ない。サイバー攻撃の脅威が増す中、取引先の要件で対策を実施しなければならない場合もある。予算や人材の制約があるとしても、中小企業も大企業と同レベル、あるいは必要最低限の対策は必要になってくるのだ。

中小企業はまず何に取り組むべきなのか

では、具体的にどのような取り組みを実施すべきなのだろうか。
まず重要になるのが、セキュリティポリシーの策定だ。セキュリティポリシーというとハードルが高く感じられるかもしれないが、要はなぜ対策に取り組むのか、セキュリティ対策を怠ることで自社のビジネスにどのような影響が想定されるのかを定めて、組織内に示せればよい。状況が把握できれば、問題点を見つけ、優先順位を付けて対策を実施することも可能になる。

また、「できる対策から実施していく」というある意味割り切った視点も必要だ。そもそもリソースは限られているため、完全ではなくても、いまできる対策から始めるしかない。

たとえば、情報漏えいの原因のほとんどは、従業員の誤操作や管理ミス、紛失などの「人的不注意」によるものだ。このような内部の脅威を未然に防ぐ対策として、チェック管理体制の構築や社員教育などが考えられる。メール送信前の確認やデータ暗号化の徹底といった対策は、ネットワークなどの専門知識も必要なく、比較的導入しやすいはずだ。
さらにWindowsやブラウザーの脆弱性を突いた攻撃で被害に遭遇するケースも後を絶たない。修正プログラムなどがリリースされていないか確認し、常に最新の状態に保つようにしたい。
それ以外にも内部犯行にも注意を払う必要がある。従業員が企業の顧客情報を不正に持ち出して転売するといった事件もたびたび発生している。あまり考えたくはないが、セキュリティの観点から、リスクの一つとして考慮しておかなければならない。場合によっては、サーバへのアクセス制御やトラフィックの監視システムを導入することで抑止力を効かせる対策も検討すべきだろう。

また、最近では、初期投資を抑えながら高度なセキュリティ対策ができるウイルス対策ソフトやクラウドサービスの活用も進んでいる。導入スピードも早いため、様子を見ながら対象範囲を拡大したり、より高度な機能を段階的に導入することも可能となっている。導入後の運用負荷も少ないため、特に中小企業では、これらのツールの導入を検討する価値はある。
とくに昨今、社員にスマートフォンやタブレット端末を支給する企業も多い。ウイルス対策ソフトは稼働する全端末に漏れなく導入できるよう、柔軟に対応したい。

このように、手が付けられる対策から始めるだけで、たとえ完全に攻撃を防げなかったとしても、致命的なダメージを負わずに済む。
サイバー攻撃の脅威は、もはや大企業特有のものではなく、中小企業にも、いつでも起こり得るリスクとなっている。そのような脅威から会社を守るために、日々のセキュリティ対策とその運用を進めていくことが、ますます求められているのだ。

◎製品名、会社名等は、各社の商標または登録商標です。