中小企業が今すぐに取り組むべきサイバー攻撃対策
～他人ごとでは済まされない！サプライチェーン攻撃を未然に防ぐために～

まずは、特に注意が必要なサイバー攻撃をいくつか紹介しますね。

ありがとう、助かるよ。ITには本当に弱くて、トホホ……

今、最も猛威を振るっているのが「サプライチェーン攻撃」です。サプライチェーン攻撃とは、セキュリティ対策が不十分な企業を入口にして、その取引先の企業を攻撃する手法です。

わが社の落ち度で、取引先が攻撃されるの？

そうです。しかも、日ごろの業務でよくやる、メールの「添付ファイルを開く」や「URLをクリックする」だけで、ランサムウェアという攻撃プログラムが起動して、サイバー攻撃が始まってしまうんです。

ええッ！この前、知らない差出人からのメールだったけど、ついうっかり添付ファイルを開いちゃったよ。大丈夫かな…。

ダメじゃないですか！これからは、どんなサイバー攻撃があるのかを知って、きちんと対策を考えましょう。あらかじめ攻撃手法と危険性を知っていれば、不用意にファイルを開かなかったはずです。

うむ、たしかに。私も含めて、従業員へのセキュリティ教育が必要なわけか。

そのとおりです！危険なのはメールだけではありませんよ。実は今、コロナ禍に急いで導入された企業のテレワーク環境が、サイバー犯罪者に狙われているんです。セキュリティ対策が不十分なテレワーク環境は、世界中で大きな問題になってますよ。

我々も緊急事態宣言を受けて急いでテレワークを導入したけど、ちゃんとセキュリティ対策されているんだろうか？

テレワークが始まってから、前よりもクラウドサービスの利用が増えましたよね？でも、ログインに使うパスワードに問題があって、クラウドサービスに保管された機密情報や個人情報が、不正なアクセスによって漏えいする被害が次々に起きています。

それについては、わが社は複雑なパスワードを使うように指導しているから大丈夫そうだ！

その複雑なパスワードですが、同じパスワードを使い回したりしてませんよね？

え？全部同じだけど、ダメなの？

わ、わしも。

いくら複雑なパスワードでも、パスワードを使い回していたら意味がありません！一つのサービスでパスワードが漏れたら、別のサービスに不正アクセスされるリスクになりますよ！社内のセキュリティポリシーに穴がないか確認してください。
それと、ネットワーク機器のファームウエア、業務用パソコンのOSやソフトウエアは常に最新のバージョンにアップデートしておくことも基本中の基本ですよ。セキュリティ対策が不十分な環境は、インターネット経由でスキャンされて、簡単にサイバー犯罪者に知れわたってしまうんです。

そうなのか…
サイバー攻撃なんて大企業だけの話だと思っていたけど、身近な問題なんだな。

そのとおりです。今や、セキュリティ対策なんて中小企業には関係ない！なんて言えない時代になってます。では、肝心な対策についてですが……

うん、うん。何をしたらいいのかね？

まずはその前に、サイバー攻撃による具体的な被害について説明しましょう！

サイバー攻撃の被害で想定されるのは金融資産の損害です。口座情報やクレジットカード情報が盗まれたら、多額の資金を奪われることになります。でも、もっと深刻なのは事業停止です。

事業が停止してしまうの？！

例えば、サイバー犯罪者によって業務のシステムやファイルが暗号化されてアクセスできなくなったら、最悪の場合は事業停止に追い込まれてしまいます。サイバー犯罪者は、暗号化を解く代わりにお金を要求してきます。

データーを人質にして身代金を要求してくるわけか。

さらに、サイバー攻撃の被害は金融資産の損害や事業停止にとどまりません。情報漏えいが発生すると、顧客や取引先に対する損害賠償、規制当局への罰金、被害調査などへの対応費用が莫大にかかります。

うちにはそんな費用を負担する余裕はないぞ。

費用の負担も大変ですが、信用を失えば、ほかの取引先も失いかねません。さらに、個人情報保護法などでは、監督義務を果たしていないとして経営者個人が責任を負わされることもあります。

社長！これは早急に対策が必要ですね。

ようやくコトの重要性を理解していただいたようですね！
では、わが社のような中小企業があまり費用をかけずに今すぐできる、効果の高い対策を三つ紹介します。

おお！それはありがたい。ぜひ聞かせてー。

一つめは、社内のすべてのIoT機器をアップデート（脆弱性や不具合を解消するためのプログラムを適用する）して、常に最新状態にしておくことです。特にVPN装置やゲートウェイなどは、インターネットの接続装置は脆弱性を攻撃されることが多いので必須です。もちろん、業務用パソコンのウィルス対策ソフトも常に最新状態にしてください。これだけで、脆弱性を狙ったサイバー攻撃を防げる可能性がぐっと上がります。アップデートのプログラムはメーカーから無償で配布されているので、お金はかかりませんよ。

お金がかからないなら、すぐにやろう！

二つめは、従業員教育です。あやしいメールの「添付ファイルを開かない」「URLをクリックしない」こと、もしトラブルが発生したら隠さず迅速に連絡・相談して対処すること、これらを社内で徹底しましょう。ランサムウェアをはじめとしたウィルス（←マルウエア？）対策には、これがとても重要です。

承知したよ。

最後の三つめは、認証の強化です。悪意のある誰かに社内のシステムに不正にログインされたら、どんなに外側の防御を固めても、情報資産の漏えいやシステムの改ざんは防げません。そのためには、例えば、
・簡単に類推できる単純なパスワードを使わない
・同じパスワードを使いまわさない
・部署や個人ごとにアクセス権限を管理する
・多要素認証を利用する
・辞めた従業員の不要なアカウントはすぐに削除する
……などの本人認証を強化しましょう。
これだけで、テレワーク環境下はもちろん、日常的にも不正アクセスから会社の情報資産を守ることができます。不正アクセスは、企業の情報漏えいの原因として常に上位にランクインしている情報セキュリティに対する重大脅威ですから、認証強化は最もコスパの高いサイバー攻撃対策なんです。
ただ、認証の強化は情シス担当の負担も大きくなるので、有償のサービスを利用するのもオススメです。

わが社にはそもそも情シス担当いないよね？あれ？もしかして鍵村クンが…

近年のサイバー攻撃は、システムはもちろん、人間が本質的に持つ脆弱性もターゲットにされています。そうした攻撃はセキュリティ製品を導入しただけでは防げません。これからはシステムと人の両方の対策が必要です。すべてのセキュリティ対策を同時に実行するには費用も労力も時間も必要ですから、まずはコスパの高い対策から始めるのがいいですね。