個人事業主がセキュリティインシデントの影響に対処しなければならない状況に陥ることなく、安全を保ちながら事業を推進していくための方法について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「WeLiveSecurity」の記事を翻訳したものである。
欧州と米国では約7人に1人が個人事業主として夢を追い、自身のキャリアを築いている。しかし、自らの裁量で未来を決められるフリーランスという働き方は、いくつかのリスクをはらむ。会社員が当然のように受けられる傷病手当や有給休暇、育児休暇は、個人事業主にはほとんど関係ない。また、IT部門によるサポートも受けられないため、IT関連のトラブルは自身で対処しなければならない。
個人事業主や小規模事業者が抱えるサイバーリスクは、特に大きな問題となり得る。事業を運営している場合、資金や機密性の高い顧客情報、知的財産を狙う攻撃者の標的になり得るからだ。どこにリスクが潜み、どのように守ればよいかを理解しなければならない。事業を推進する時間を犠牲にしてまで、情報漏えいに対処したいと考える個人事業主はいないのだ。
危険に晒されているのは何か?
要するに、サイバー犯罪者は金儲けをしたいのだ。一般的には、個人から窃取するよりも、小規模ではあっても企業を標的にした方がより多くの金銭を得られる可能性がある。ただし、犯罪者は誰に対しても攻撃をしかけるのではなく、リスクを抑えて金銭が得られるチャンスを狙う。例えば、適切に保護されていないオンラインアカウントや、セキュリティソフトが導入されていない端末、最新のOSやWebブラウザー、ソフトウェアを使っていないコンピューターなどが狙われやすい。
個人事業主がサイバー攻撃の被害者となった件数に関するデータは、あまり公開されていない。しかし、自社のリソースが乏しく、ITサポートがほとんどない、あるいはまったくない状況では、ほかの企業より脅威に晒される可能性が高くなるのは当然である。サイバー攻撃の発生時に、個人事業主の事業に影響し得る問題を以下に挙げる。
- ランサムウェア攻撃により、同期されたクラウドストレージを含め、事業に関するファイルにアクセスできなくなる
- 機密情報を窃取した上で、情報を不正に公開したり、ダークウェブで転売したりするという脅迫。これには、規制対象となる、個人を特定できる情報(PII)が含まれる場合がある
- パスワードの盗難やブルートフォース攻撃によるアカウントの乗っ取り。乗っ取られたアカウントは、顧客に対するフィッシング攻撃やビジネスメール詐欺(BEC)に悪用される可能性がある
- オンライン法人口座のログイン情報を収集し、資金を流出させることを目的としたマルウェア
個人事業主への影響
個人事業主における課題は、ITリソースの不足だけではない。サイバー攻撃による風評被害や、挽回し難い経済的損失を被った場合の影響が大きいのは間違いないだろう。なお、顧客との仕事上の関係性は公になっていない場合が多いため、深刻な情報漏えいが発生してその関係性が途絶えても、顧客側の被害は限定的かもしれない。
また、個人事業主における深刻なサイバーインシデントによる直接的な影響は、生産性の低下だと言える。自営業者がIT環境の整備や、サイバー攻撃からの復旧に要する期間内は、顧客へのサービス提供ができなくなるからだ。
サイバー攻撃から事業を守る方法
英国政府の調査によると、英国の小規模事業者のうち、正式なセキュリティ戦略を定めている事業者は5分の1に過ぎない。しかし、過去12ヶ月にわたる情報漏えいの平均的なコストは3,000ポンド(52万円相当)以上であり、小規模事業者にとっては大きな出費となる。そのため、個人事業主は基本的なセキュリティ対策を講じるための時間を割くべきだ。優先的に取り組むべき対策を以下に挙げる。
- 重要なデータのバックアップをとる:まず、バックアップをとるべき重要なものは何かを定義し、バックアップソリューションを選択する。クラウドストレージ(例:OneDrive、Google Drive)は自動バックアップができ、ハードウェアに先行投資する必要がない。多くのサービスには、ランサムウェアがクラウド上に広がった場合であっても、前のバージョンに戻す機能が搭載されている。さらに安全を期するためには、外付けハードドライブにもバックアップをとり、必要なとき以外はインターネットに接続しないようにするのが望ましい
- マルウェア対策ソフトをインストールする:信頼できるベンダーの製品を選択し、すべてのコンピューターや端末に適用する。常に最新バージョンが適用されるよう、自動更新を有効化しておくことを忘れてはならない
- すべてのコンピューターや端末にパッチを適用する:自動更新を有効化し、すべてのOSやソフトウェアが最新バージョンであるかどうかを確認する。新たに見つかった脆弱性に対しても、パッチが適用されなければない
- アカウントの安全を保つ:複雑で推測しにくいパスワードを設定し、パスワードマネージャーに保存する。ソーシャルメディア、メール、クラウドストレージ、ルーターなどで利用可能な場合、二要素認証を有効にしておく。フィッシング攻撃やブルートフォースによるパスワードの推測といった攻撃に対するリスクを軽減できる
- モバイル機器を保護する:すべてのソフトウェアを最新の状態に保ち、セキュリティソフトを導入する。非公式のアプリストアからアプリをダウンロードしてはならない。複雑なパスワードや生体認証を使って端末をロックし、紛失や盗難に備えて遠隔から追跡、またはワイプができるよう設定しておくべきだ
- 問題が発生した際の行動計画を立てておく:「インシデント対応計画」は完璧である必要はない。事業に必要なITサービスを把握し、最悪の事態が起きた場合に知らせるべき連絡先を一覧化しておくだけでも十分だ。復旧に要する時間を短縮してくれるだろう。システムに接続できないケースも考慮し、行動計画を紙に印刷しておこう
- 英国サイバーセキュリティセンターが提供するExercise in a BoxやCyber Awareを使って、すぐに準備状況を検証する
何よりも、サイバーセキュリティに関する問題を認識しておくことが大事だ。この記事の読者は、事業の安全性を高めるために一歩進んだと言ってもよいだろう。攻撃の機会を伺う犯罪者から事業を守れるよう、先述した優先的な対策を実践してほしい。
