テレビやネット、新聞などで、サイバー攻撃による機密情報流出のニュースを目にする機会は少なくないことでしょう。サイバー攻撃の手口は年々巧妙になっており、セキュリティ対策の重要性はより一層高まっています。そして今、中小企業もサイバー攻撃の標的となりうるのです。そこで今回は、中小企業のセキュリティ対策の重要性や対策の基本をご紹介します。
中小企業がサイバー攻撃の対象に!?
顧客情報や企業の機密情報などの流出で多大な損害をもたらすサイバー攻撃。国立研究開発法人 情報通信研究機構が2018年2月に発表した「NICTER観測レポート2017」では、2017年に観測されたサイバー攻撃関連通信は増加傾向にあり、2016年と比較して1.2倍となっていることを報告しています。また、サイバー攻撃は徐々に高度化しており、セキュリティ対策の重要性は一層高まっていることを指摘しています。
参照:NICTER観測レポート2017の公開 | NICT-情報通信研究機構
そしてサイバー攻撃の標的となっているのは大規模な企業や組織だけでなく、中小企業であっても人ごとではないのです。
中小企業が狙われる理由とは?
「うちの会社はいわゆる中小企業だし、サイバー攻撃とは無縁だろう」と楽観している人もいらっしゃるでしょう。しかし先述の通り、中小企業であってもサイバー攻撃の標的となりうるのです。ここでは、中小企業が狙われる理由についてご説明します。
大企業に比べセキュリティ対策が不十分
中小企業がサイバー攻撃の対象になってしまう大きな理由として、「セキュリティ対策の甘さ」が挙げられます。入念なセキュリティ対策が当たり前となっている大企業に比べ、セキュリティ対策に取り組む余裕がない、あるいは楽観視している中小企業は、サイバー攻撃の格好の的となってしまうのです。
事実、独立行政法人 情報処理推進機構(IPA)が実施した「2016年度中小企業における情報セキュリティ対策の実態調査報告書」では、組織の規模が小さくなるほどセキュリティ対策が不十分な傾向にあることが示されています。
一例として、情報漏えい等の事案や兆候が見つかった際の対応方法が規定されているかどうかの調査結果を見てみましょう。従業員数が101人以上の中小企業で「規定されている」と回答したのは57.1%、100人以下の中小企業では26.8%、小規模企業では13.7%となっています。
参照:「2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について:IPA 独立行政法人 情報処理推進機構
大企業へのサイバー攻撃の足がかりに
中小企業がサイバー攻撃の標的になる理由はそれだけではありません。大企業へのサイバー攻撃の足がかりとして中小企業が狙われるケースもあるのです。
たとえば、攻撃者が大企業Aの機密情報に狙いを定めたとします。攻撃者はセキュリティ対策が強固な大企業Aではなく、大企業Aと取引がありセキュリティ対策が充分でない中小企業Bにまずは狙いを定めます。そして、中小企業Bのセキュリティを突破し、大企業Aとの取引メールなどを経由して大企業のシステム内部に侵入するというケースも少なくないのです。
サイバー攻撃の被害とは?
では、実際にサイバー攻撃の被害にあってしまった場合には、どういった損害があるのでしょうか。セキュリティ対策の重要性を理解するためにも、サイバー攻撃を受けた際の被害について確認しましょう。
社会的信用を一気に失う
サイバー攻撃によって顧客や取引先の機密情報が漏えいしてしまった場合、これまでに築き上げてきた顧客・取引先との信頼関係は崩壊していまします。さらに、過去に機密情報を漏えいしたことがある企業と取引を始めたいという企業はいないでしょう。当然ではありますが、失った社会的信用を取り戻すのは並大抵のことではないのです。
多額の損害賠償が発生する
機密情報の漏えい等で顧客や取引先などに損害を与えてしまった場合、多額の賠償金が発生します。特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が発表している「2016年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」によれば、個人情報流出による損害賠償額は1件あたり6億2,811万円にのぼると想定されています。
参照:NPO日本ネットワークセキュリティ協会 報告書・公開資料
金銭的負担は損害賠償だけでは済まない
サイバー攻撃による被害を受けてしまった場合の金銭的負担は、損害賠償だけではありません。サイバー攻撃による被害・原因の調査費用やセキュリティの再構築費用が必要になります。さらに、被害の拡大を防ぐためにサーバーの停止やインターネットへの接続を遮断する必要があるため、通常の業務を行うこともままならなくなります。
セキュリティ対策の基本をチェック!
サイバー攻撃による甚大な被害を防ぐためには、どういった対策が必要になるのでしょうか。ここでは、情報処理推進機構(IPA)が発表している「中小企業の情報セキュリティ対策ガイドライン 第2.1版」で明示されている「情報セキュリティ5か条」にそって、セキュリティ対策の基本をお伝えします。
参照:中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
OSやソフトウェアは最新の状態に保つ
社内で使用しているOSやソフトウェアは、常に最新の状態にアップデートしておくことが大切です。古いバージョンのまま放置していると、それを悪用したウイルスに感染してしまう恐れがあります。
また、CMSを利用してホームページを管理している場合にも、常に更新された状態を保つ必要があるといえるでしょう。
ウイルス対策ソフトの導入
ID・パスワードの流出や外部からの遠隔操作など、ウイルスはますます多様化・複雑化しています。こうしたウイルスへの感染を防ぐためにも、ウイルス対策ソフトの導入は必須だと言えます。
ウイルス定義ファイル(ウイルスの特徴・パターンを記録したファイル)が常に最新の状態になるよう、自動更新に設定しておきましょう。
パスワードの強化
社内で使用しているパスワードが悪意ある第三者から憶測・解析されたり、何かしらの手段で流用されてしまい、不正に社内システムへとログインされてしまうケースもあります。
そうした事態を防ぐためにも、「英数字を含めて10文字以上にする」「社名などの簡単に推測される英単語を使用しない」「ひとつのパスワードを使い回さない」「定期的にパスワードを変更する」といった対策が必要です。
共有設定の見直し
サーバーやクラウドサービスにおけるネットワーク接続の設定を誤ってしまうと、第三者が情報を自由に閲覧してしまう可能性があります。ネットワーク接続やの共有範囲を定期的に見直し、従業員の異動や退職時にはしっかりと設定し直しましょう。
サイバー攻撃の手口を知る
サイバー攻撃は年々巧妙になっており、その手口も多様化しています。こうした手口の最新情報をチェックすることも重要なセキュリティ対策のひとつだと言えます。情報処理推進機構をはじめとしたセキュリティ専門機関などの情報を定期的に確認し、新たな手口に備えましょう。
中小企業こそセキュリティ対策を!
今回は、中小企業におけるセキュリティ対策の重要性や、基本的な対策ポイントをご紹介しました。企業の規模にかかわらずサイバー攻撃の標的となりうる現在、「中小企業は狙われないだろう」と楽観視するのは危険だと言えるでしょう。
今回ご紹介した情報も参考に、いま一度セキュリティ対策について見直してみてはいかがでしょうか。