サイバー攻撃の魔の手は中小企業にも...セキュリティ対策は何から取り組むべきか

Contents

中小企業におけるサイバーセキュリティ対策の重要性の高まり

サイバー攻撃の被害報告が後を絶たない。標的型攻撃やランサムウエアなどのサイバー攻撃を受け、LAN内のPC1台がウイルス感染することが発端となり、企業内で感染拡大し、業務停止・製造停止の大被害につながってしまったケースも報告されている。その手口はますます巧妙かつ悪質になっており、特に無差別型のランサムウエアは攻撃者が世界中に拡散させるため、未対策企業は注意が必要である。

さらに、IPAが発表した「情報セキュリティ10大脅威 2019」では、これらのサイバー攻撃以外にも、新たな脅威として4位に「サプライチェーンの弱点を悪用した攻撃の高まり」が選出された。これは、大企業を正面から攻めるのではなく、取引先の中小企業から攻略する手口である。攻撃者は、サプライチェーン内のセキュリティ対策が不十分な組織やシステムを糸口として、最終目的である機密情報や顧客情報を盗み出すために巧妙な手法で標的への攻撃を仕掛けてくる。

（図1：IPA「情報セキュリティ10大脅威2019」）

以前は、サイバー攻撃のリスクというと大企業が注目されがちであったが、近頃は中小企業にも攻撃者の魔の手が拡大してきている。これらの脅威から逃れるためにも、セキュリティ対策の重要性はますます高まっていると言えるだろう。

IPAが「中小企業の情報セキュリティ対策ガイドライン」大幅改訂

サイバー攻撃の新たな脅威が生まれ続ける中、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業等を対象としたクラウドサービスの充実化などの環境変化を受けて、IPAは2019年3月に「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開。2年4か月ぶりの大幅改訂を行った。

今回の改訂では、専門用語の使用を可能な限り避け、ITに詳しくない中小企業の経営者でも理解しやすい表現が使用されており、セキュリティ対策に関する事前知識がなくても取り掛かりやすい内容となっている。

しかしながら、セキュリティ対策は、「内容が膨大で何から手をつければよいかわからず、結局後回しになりがち」というのが実情である。とくに中小企業は、大企業に比べて予算や人員が限られているため、対策が遅れてしまうケースも少なくない。

では、リソースが限られる中小企業は、一体どのようなセキュリティ対策から着手したら良いのだろうか。

中小企業のセキュリティ対策、一体何から取り組むべきか

これまでセキュリティ対策を意識してこなかった企業は、精巧な対策を突然開始するのではなく、企業のレベルに合わせたセキュリティ対策から始めるのが無難である。
そこでIPAでは、組織の規模を問わず、必ず実行したい重要なセキュリティ対策として「情報セキュリティ5か条」を提案している。

① OSやソフトウエアは常に最新化

OSやソフトウエアのバージョンを古いまま放置してしまうと、外部からのセキュリティ脅威に晒され続けることになる。とはいえ、業務上の都合によりOSやソフトウエアをバージョンアップできないということもあるだろう。
その場合は、会社のシステムにファイアウォールを導入するなど、別の方法で脆弱性をカバーする必要がある。また、顧客や社内の責任者にOSやソフトウエアをバージョンアップしないことによるリスクの内容を説明し、合意をとっておく必要もある。

② ウイルス対策ソフトの導入

パソコンなどの端末への攻撃は、ウイルスの侵入により行われるため、「ウイルスを侵入させないようにする対策」が重要になる。
手軽にウイルスの侵入を防止するのであれば、ウイルス対策ソフトの導入が有効である。一般的なウイルス対策ソフトは、管理元から定期的に「ウイルスパターンファイル」が配信されており、このウイルスパターンファイルを更新することで、最新ウイルスの脅威に対応できるようになる。もちろんウイルスの侵入リスクは完全に0にはならないが、ウイルス対策ソフトを導入しないよりは格段にセキュリティの安全性は向上する。

③ パスワードの強化

管理しているシステムや業務用パソコンのパスワードを、簡単な文字列の組み合わせや人名などに設定しているケースが目立つが、これは非常に危険である。
現在、インターネット上にはパスワードのクラッキングツールがフリーで出回っており、誰でもパスワードを破る手段を入手できる状況にある。そのため、英字だけの文字数の少ない文字列や、人の名前などの簡単に類推できるパスワードを設定していると、システムへの侵入を許してしまう危険性が格段に高まるのだ。
このような事態を防ぐために、IPAは、「パスワードは英数字記号を含めて 10 文字以上にする」、「名前、電話番号、誕生日、簡単な英単語などはパスワードに使わない」、「同じ ID・パスワードをいろいろなWebサービスで使い回さない」といったルールのもと、パスワードを作成・管理することを推奨している。

④ 共有設定の見直し

共有設定とは、ファイルサーバのアクセス許可範囲や、インターネット上のファイルへのアクセス許可範囲などのことをいう。
この共有設定は、適切な設定がなされていれば問題はないが、ひとたび設定を間違えば、無関係の人にデータの内容を見られてしまい、予期せぬトラブルに発展する危険性がある。
そのため、ファイルサーバを使っていたり、インターネット上のサービスやファイルを使っていたりする場合は、共有設定やアクセス権限を見直す必要がある。
不必要なインターネットサービスはファイアウォールなどでアクセスを制限し、使用しないようにすることも有効な手段となる。

⑤ 脅威や攻撃の手口を知る

サイバー攻撃の被害を受けてしまう原因は、ユーザーの知識不足によるところが大きい。セキュリティ脅威やサイバー攻撃の手口にはさまざまなものがあるが、まずはセキュリティ専門機関のWebサイトやメールマガジンなどでサイバー攻撃の最新事情を把握し、敵の手の内を知っておくことが重要である。
また、利用中のインターネットバンキングやクラウドサービスなどから、セキュリティ脅威の注意喚起が配信される場合もある。適切な対応を取るためにも、自社で利用しているサービスからの情報提供は常にチェックするようにしたい。

（図2：全ての企業が実施すべきセキュリティ対策「情報セキュリティ5か条」）

前述のとおり、これらの内容は、全ての企業が必ず実施しておくべき対策である。サイバー攻撃の被害に遭う企業に限って、基本的な対策ができていないケースも見受けられる。そのため、まずはこれら5項目から一つ一つ手をつけていくのが良いだろう。

一方で、これらの対策を既に終えている企業は、次のステップとして、中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる！情報セキュリティ自社診断」などを活用し、自社が抱える弱点を把握して個々の課題解決へと取り組みを進めていく必要がある。

とくに昨今は、働き方改革の取り組みとしてスマートデバイスの活用を推進する企業が増加していることもあり、個々のスマートデバイスも含めた企業ネットワーク全体のセキュリティ強化が重要視されている。情報セキュリティ5か条の内容であれば自社で対応可能ではあるが、ネットワークセキュリティ対策となると企業の負担も一気に重くなる。そのため、自社で対応困難な場合は、指針やルールの策定、罰則や社員教育といった情報セキュリティマネジメントなども含めて対応してくれるコンサルティングサービスの利用を検討してみても良いだろう。