デジタル全盛へと時代が転換するにあたり、中小・零細企業にも情報セキュリティへの対策が求められている。しかし、大企業と比較して経営資源に乏しい企業では、十分なセキュリティ投資は難しいのが実情だ。この記事では、今後の時代を見据え、中小・零細企業が講じるべきセキュリティ対策について解説する。
サイバー攻撃で狙われる中小・零細企業
大企業と比べて、自社では管理する情報量は少なく、その価値も高くないと考え、サイバー攻撃のターゲットになり得ると想定すらしない中小・零細企業の経営者も少なくないだろう。しかし、そうした考えはすでに前時代的であり、企業の規模を問わず、サイバー攻撃のターゲットとなり得る。その背景として、以下のような理由が挙げられる。
大企業における強固なセキュリティ対策
昨今、世間におけるコンプライアンス重視の流れもあり、大企業ではセキュリティ対策への投資を加速させている。対策が充実していくのに伴い、直接大企業を狙うサイバー攻撃を成功させることは以前と比較すると難しくなっている。
その代わりとして、攻撃者の矛先は中小・零細企業へと向かっている。特に、サプライチェーン攻撃と呼ばれる攻撃手法では、大企業の取引先である中小・零細企業を踏み台として最終目的とする大企業に攻撃を仕掛けようとする。また、大企業と比較して侵入が容易な中小・零細企業から情報を窃取し、その後、標的型攻撃を仕掛けるといった場合もある。サイバー攻撃は大企業のみがターゲットとなり得る、といった考えは過去のものになっている。
サイバー攻撃に関わるテクノロジーの進化
ダークウェブをはじめ、攻撃者同士が取引可能な闇市場が確立して久しい。また、マルウェアのプログラムだけでなく、サイバー攻撃を容易に行える、RaaS(Ransomware as a Service)といったサービスも開発され、闇市場にて取引が行われるようになった。
加えて、翻訳技術の進化もあり、闇市場での取引に言語の壁もなくなりつつある。そのため、テクノロジーへの理解が深くなくとも、サイバー攻撃の実施が可能となっている。こうした環境が整備されつつある以上、中小・零細企業も危険と隣り合わせと考えておくべきだろう。
闇市場における機密情報の売買
先述したダークウェブ上では、個人情報や機密情報をはじめ、あらゆるものが取引されている。盗み出した情報をこうした市場で簡単に換金できてしまうことも、犯罪増加の一因となっている。取引される情報はクレジットカードをはじめ、IDやパスワードなどのアカウント情報だけではない。企業の従業員名簿、仕様書や設計図などの機密情報なども該当する。
攻撃者にとって中小・零細企業から窃取した情報を容易に現金化できるため、情報セキュリティ対策が十分ではない中小企業は格好の餌食とみなされるのだ。
中小・零細企業が注意すべき脅威
中小・零細企業のセキュリティ対策における第一歩は、サイバー攻撃の脅威を正しく理解することだ。IPAが毎年公表している「情報セキュリティ10大脅威」をもとに、中小・零細企業が特に注意すべきサイバー攻撃の脅威について解説する。
ランサムウェア攻撃
ランサムウェアに感染してしまうと、感染した端末上のデータが不正に暗号化されてしまう。攻撃者はデータの復号と引き換えに、ビットコインなどの金銭を要求する。感染すると身代金(Ransom)を要求されることから、ランサムウェア(Ransomware)と呼ばれるようになった。
近年、身代金の要求に応じない場合は窃取したデータを公開すると脅す「二重の脅迫」、さらには要求に応じるまで企業サイトにDDoS攻撃を仕掛ける「三重の脅迫」といった、より卑劣な攻撃手法も広がっており、年々その手口は悪質化している。大企業と比較してセキュリティ対策が十分ではない中小・零細企業は、格好のターゲットとなり得る。
サプライチェーン攻撃
先述のとおり、サプライチェーン攻撃はターゲットとする大企業のサプライチェーンを構成する取引先を踏み台にした攻撃だ。実際、ある大手自動車メーカーでは、取引先のウイルス感染をきっかけに、国内全工場のラインが稼働停止に追い込まれ、大規模な被害につながった。
中小・零細企業の場合、独自の技術力が評価され、大企業と取引しているケースも少なくないはずだ。仮に、自社経由でサイバー攻撃の被害につながった場合、その技術力があっても継続取引は難しくなる恐れがある。中小・零細企業においては、自社を踏み台にした攻撃が起こり得ることを十分に理解しておく必要があるだろう。
標的型攻撃
特定の企業を狙った攻撃のことで、攻撃が成功するまで執拗に繰り返される傾向にある。極めて重要な情報や大量の個人情報を保有する官公庁や民間企業が攻撃のターゲットとなりやすい。しかし、中小・零細企業に対しても標的型攻撃は行われている。サプライチェーン攻撃の起点として、あるいはピンポイントに重要な情報を狙うような場合だ。
また、ビジネスメール詐欺(BEC)のように、業務上のメールを介して金銭を騙し取るような攻撃も確認されている。こうした被害を未然に防ぐためにも、従業員に標的型攻撃のリスクを認識させる必要がある。継続的な従業員教育、抜き打ちテストの実施など、組織的なセキュリティ対策が欠かせないだろう。
中小・零細企業で講じるべきセキュリティ対策
高まるセキュリティリスクの一方、中小・零細企業では人的リソースや予算に制約がある。そのため、大企業のような充実したセキュリティ対策の実行計画は現実的ではない場合が多い。IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」では、そうした実情を踏まえ、現実的な対策を提示している。以下のような手順でセキュリティ対策を進めることが推奨される。
1)自社に関連する脅威を把握し、経営者の役割を理解する
まず、自社の事業内容をもとに、起こり得る脅威を洗い出すこと。先述のとおり、中小・零細企業をめぐるサイバー攻撃の状況を踏まえると、もはや他人事ではないはずだ。セキュリティ対策に対する姿勢は、経営者が率先して示していく必要がある。
ひとたびセキュリティインシデントが生じてしまうと、事業の継続さえ危ぶまれかねない。ステークホルダーに対する責任を果たすためにも、まずはセキュリティ対策の必要性を認識することが求められている。
2)情報セキュリティに関する基本方針を明確にする
組織的な情報セキュリティの実施のために、基本方針を策定して従業員や関係者に周知・徹底していく。経営者としてサイバー攻撃の脅威とどのように向き合うかといった考えを明文化することで、従業員にとっても他人事から自分事としてこうした対策を捉えるようになる。
また、セキュリティ対策を組織一体となって取り組むことの重要性が理解されれば、より強固なセキュリティ強化を図ることができるだろう。例えば、IPAによる「SECURITY ACTION」の取得を目指すことで、対策を全社的な取り組みとして広めていくといった方法も一考に値する。
3)基本的なセキュリティ対策を実行する
投資可能なコストが限られる中小・零細企業では、多額の投資を伴うセキュリティ対策を実施していくことは容易ではないかもしれない。まず、IPAが公開している以下「情報セキュリティ5か条」の実行から始めてみるのもよいだろう。
・OSやソフトウェアは常に最新の状態にしよう!
OSやソフトウェア、ファームウェアをこまめにアップデートする。
・ウイルス対策ソフトを導入しよう!
ウイルス対策をはじめ、複数の対策ができる統合型のセキュリティソフトを導入する。
・パスワードを強化しよう!
推測されにくく、使い回さないパスワード運用を徹底させ、多要素認証の利用も検討する。
・共有設定を見直そう!
適切なアクセス権限の設定を行い、不用意な共有設定はしない。
・脅威や攻撃の手口を知ろう!
サイバーセキュリティの脅威を知り、攻撃の手口についても最新の情報を入手する。
4)組織として本格的に取り組む
IPAが公開している「新5分でできる!情報セキュリティ自社診断」を参照しながら、自社の情報セキュリティ上の課題を明確化するとよいだろう。ただし、情報セキュリティ対策に本腰を入れる場合、まとまった投資が求められる場合もある。近年、政府ではそうした実情を踏まえて以下のような支援策を用意している。
・各種補助金
IT導入補助金をはじめ、経済産業省などの省庁による支援策が存在する。近隣の商工会や商工会議所などに相談することで、自社に適用可能な補助金が見つかるはずだ。
・サイバーセキュリティお助け隊サービス
「サイバーセキュリティお助け隊サービス」とは、IPAが管理、運用する、中小・零細企業のセキュリティ対策をワンパッケージで安価に提供するサービスのことだ。先述のIT導入補助金も活用できるため、何から始めるべきかがわからないといった場合、こうしたサービスの活用を検討するとよいだろう。
現実世界とデジタル社会が融和する社会を迎えるにあたり、今後はこれまで以上に大きな変化が社会に訪れることが確実視されている。コロナ禍を経て顕著となったデジタル化は今後、着実に日本社会にも浸透していくことが見込まれている。
デジタルテクノロジーへの対応はこうした時代を生き残るための必須要件となりつつある。そして、そうした時代ではサイバー攻撃への備えも併せて必要とされている。経営者としてはそのような前提に立ち、自社にとって適切な対策を講じていくことが求められている。
