特集

中小企業のためのサイバーセキュリティ対策

  • 2020年11月2日
  • 中小機構 中小企業支援アドバイザー 下山田賢也
  • セキュリティ

近年、金融機関からの不正送金、顧客情報の流出等、システムのセキュリティ問題がニュースになることが増えています。
サイバーセキュリティは、上記のケースに加え、リモートワークの増加、IOT機器の普及等を背景に、注目を浴びている分野になります。
さて、大企業のセキュリティ不祥事ばかりが話題になりますが、中小企業がサイバー攻撃の脅威から無縁というわけではありません。みなさんの組織では、どのようなセキュリティ対策を行っていますか?

○中小企業のセキュリティリスク

中小企業が晒されるセキュリティリスクとしては、次のようなものが挙げられます。

1)マルウェアの感染

マルウェアは悪意を持ったソフトウェア全般のことを指し、よく聞くコンピュータウィルスはこの一つです。マルウェアに感染したコンピュータは、機能不全やシステムクラッシュを起こしたり、さらに別のコンピュータへの感染を試みたり、外部からの操作を可能にしてしまったりします。

2)ランサムウェアによる機能停止

マルウェアの一種ですが、使用しているコンピュータをロックしたり、ファイルを暗号化したりして、復元のための身代金を要求してくるようなソフトウェアです。

3)インターネットバンキングやクレジットカード情報の不正利用

いわゆるフィッシング詐欺の手口により、金融機関やカード会社のサイトを模したサイトに誘導され、金融機関のアカウント情報やクレジットカードの情報を抜き取られ、不正利用されることです。

4)標的型攻撃による情報流出

特定の組織内の情報を狙って行われる攻撃であり、マルウェアを添付したメールを送付したり、マルウェアをダウンロードさせるようなウェブサイトに誘導したりすることで開始されます。組織内のコンピュータが1台でも感染すれば、ネットワークを通じて感染が広がり、サーバーやデータベースにも侵入して、情報の窃取を行います。

5)ウェブサイトの改ざん

ニュース等で聞くこともあるかもしれませんが、ウェブサイトが設置されているサーバーに何らかの形で侵入を許すと、ウェブサイトの改ざんを許すことになります。ウェブサイトの改ざんは、対象となったウェブサイト内にマルウェアを仕込んで閲覧者のコンピュータにダウンロードさせることが可能になってしまうため、万が一所有するサイトが改ざんされた場合、マルウェア被害の加害者になってしまう可能性があります。

【セキュリティ強化につながるアプリ活用】
クラウドサービスとして提供されているホームページ作成アプリを活用すると、サーバー運用が不要となります。暗号化などサーバーのセキュリティ対応は、アプリ事業者がしっかりと実施してくれているので、安心してウェブサイトを運営できます。そのため、改ざんなどが比較的起こりづらくなっています。
ここからアプリ「ホームページ作成」アプリ検索結果

上記以外にも多くのセキュリティ脅威が存在しますが、中小企業に関連しそうな5つをあげてみました。

※マルウェアとウィルスについて

普段ニュース等で耳にするセキュリティ脅威は“ウィルス”という言葉が使用されることが多いと思います。ここで、マルウェアとウィルスの関係について整理しておきたいと思います。

マルウェアのイメージ。ウィルス、ワーム、トロイの木馬はマルウェアの一種です。

悪意のあるソフトウェアの総称をマルウェア(malware=malicious【悪意がある】とsoftware【ソフトウェア】を組み合わせた造語)と呼び、上の図のように、ウィルスはマルウェアの一種という位置づけになります。ウィルスの特徴は、プログラムに寄生し、その一部を書き換えて自己増殖することです。
マルウェアに入るものには図にあるワーム(単独で動作し、自己増殖して感染してゆくソフトウェア)、トロイの木馬(一見して無害なファイルに偽装し、コンピュータ内部へ侵入、外部からの命令でその端末を自在に操るソフトウェア)があります。
上記2)のランサムウェアもトロイの木馬の一種です。

○セキュリティリスクの顕在化によって起こりうること

では、実際に自分の組織がセキュリティ脅威にさらされた場合、何が起きるでしょうか。

・金銭の喪失

ランサムウェアによって人質にとられたデータの身代金を支払うことが最初に頭に浮かぶかもしれませんが、その他にも復旧のための人件費や、IT専門家を呼ぶ必要がある場合にはその経費、顧客情報が流出した場合に賠償請求される可能性もありますし、また、自社の口座から別の口座へ不正に送金が行われていた、ということも考えられます。

・業務の損失

感染によるシステム不全による業務の停止、営業活動の停止等が考えられます。

・顧客の喪失
 

顧客情報の流出はもちろん、セキュリティインシデント(事故)を起こしたこと自体が、組織の社会的信用の低下につながります。取引停止や顧客の減少につながる可能性があります。

・従業員への影響

自分の所属する組織がセキュリティインシデントを起こしたとなると、従業員のモチベーションの低下は想像がつきます。離職者が出ることもありますし、社員の情報が流出していた場合には従業員からの訴訟も考えられます。

○セキュリティ脅威に対する対策

それでは、セキュリティ脅威に対して組織としてどういう対応をとっていけば良いでしょうか。

・OSのバージョンは常に最新にする

OSアップデートには、セキュリティ脆弱性に対する修正が多く含まれます。OSのアップデートを行い、常に最新のバージョンにしておきましょう。サポート期限切れのOSを使っているなどは論外です。

・アンチウィルスソフトをインストールし、ウィルス定義ファイルを最新にしておく

万が一使用しているコンピュータが感染してしまった時、アンチウィルスソフトをインストールしておけば感染を検知し、警告を出してくれます。また、定期的にコンピュータ内を全てスキャンするように設定しておけば、コンピュータ内にマルウェアが潜んでいた場合でも検知して隔離してくれます。マルウェアは日々新しいものが作り出されているため、これに対抗するためには、発見されたマルウェアの情報が書き込まれているウィルス定義ファイルを最新にしておく必要があります。

・強度の高いパスワードを設定する

文字数、大文字・小文字・数字・記号を混ぜる等、ポリシーはそれぞれあるかと思いますが、最低限、辞書に載っている文字列にしないことが重要です。設定されたパスワードは暗号化された文字列として保存され、基本的には元のパスワード文字列には戻せないことになっていますが、弱いパスワードの場合、クラッカー(攻撃者)はときにこれに成功してしまいます。一度解読されたパスワードはダークウェブ(特殊なブラウザでしかアクセスできないインターネット上の場所)で検索可能な状態になることもあるので、パスワードの強度は重要です。また、複数のシステムで同じパスワードを使い回していると、一つのパスワードが破られた場合に、すべてのシステムに侵入されてしまいます。

・共有設定を適切に行う

社内にファイルサーバーを置いている企業は少なくないと思います。アクセス設定は正しく行われているでしょうか。
アクセス設定には、フォルダ毎にアクセス不可、読取のみ可、読取/書込み可の3種類が設定できるようになっていると思います。すべての利用者に読取/書込み可の設定を適用していた場合、外部から不法に侵入してきたクラッカーにもアクセスを許してしまうことになります。
フォルダにはアクセスできる個人、グループを適切に設定できるようにしましょう。時に機密情報が保管されているようなフォルダは注意が必要です。

【セキュリティ強化につながるアプリ活用】
クラウド上にデータを格納して他のユーザーと共有するサービスに、オンラインストレージがあります。オンラインストレージでは、暗号化がされていたり、複数のデータセンターで分散して保存されていたり、ログインに二段階認証を用意していたり、データを安全に共有するための仕組みが整備されているサービスが多くあります。そのため、自社でファイルサーバーを運用するよりも、安定して安全にファイル共有が可能になる場合があります。
また、グループウェアにファイル共有機能が備わっていることもあります。ファイルを共有する場合には、オンラインストレージやグループウェアの活用も検討してください。
他にも、外部に提供したファイルを追跡していつでも後から消せるようにするアプリもあります。セキュリティ関連ソフトについても是非調べてみてください。
ここからアプリ「オンラインストレージ」アプリ検索結果
ここからアプリ「グループウェア」アプリ検索結果
ここからアプリ「セキュリティ」アプリ検索結果

・サイバー攻撃の手口を知る

上記の“中小企業のセキュリティリスク”をご参照ください。

ひとまず代表的な5つを挙げましたが、これを組織の一人一人に周知することが重要です。

○組織としての対応を

一人がマルウェアの侵入を許すと、組織全体が感染する恐れがあります。
また、その他の対策についてはIPAの”5分でできる!情報セキュリティ自社診断”を組織の全員にチェックさせることをお勧めします。

5分でできる!情報セキュリティ自社診断

なお、IT導入補助金の申請時には同IPAのSECURITY ACTION「★一つ星」宣言が必要です。

SECURITY ACTIONとは?

セキュリティに関してこのスペースで紹介するには限りがあるのですが、誰でも被害者となり得ることを念頭において組織全体で対策を怠らないでください。

さらに詳しいセキュリティの情報は、IPAの“ここからセキュリティ!”をご覧ください。
ここからセキュリティ!

関連おすすめ