中小企業のセキュリティリスクと対策すべきこと|セキュアエッジ株式会社ー新時代のネットワーク・セキュリティソリューションー
中小企業のセキュリティリスクと対策すべきこと
現在ほとんどの国内企業は中小企業にカテゴライズされていますが、IT担当者が多岐に渡る業務を担っているケースが多く、十分にセキュリティ対策ができているとはいえません。
今回は、中小企業が現在抱えるセキュリティ対策に関する問題についてご紹介します。
中小企業におけるセキュリティリスクとは
中小企業は、社員の住所やマイナンバー、業務上の重要なデータなどを多数保管しているため、セキュリティリスクが比較的に大きい組織です。事業規模が小さいからといって、セキュリティ対策を怠ると、損害賠償請求や事業停止などに発展するケースもあります。
例えば、ある病院では構築した仮想ネットワークの脆弱性からサイバー攻撃を受け、8.5万件もの顧客データが流出しました。被害対応として2億円以上の設備投資金が発生したそうです。
また、あるコンサルタント法人では、社内サーバの脆弱性からランサムウェアに感染し、重要な業務データが外部に漏えいしました。被害対応として、7.5億円もの特別損失を計上したそうです。
このような中小企業におけるセキュリティリスクは、脆弱性が大きな要因となって発生します。
中小企業における脆弱性とは
中小企業における脆弱性とは、社内外で利用している機器やソフトウェアなどのプログラム内部に生じた不具合や設計ミスを指します。サイバー攻撃の玄関口になりやすいため、セキュリティホールとも呼ばれることもあります。
脆弱性を狙った攻撃は年々進化し多様化しているため、中小企業でも精度の高いセキュリティ対策を実施しなければ防止できません。
脆弱性はなぜ生じるのか
中小企業における脆弱性は、機器やソフトウェア設計時におけるミスが原因なため、一定の確率でどうしても発生してしまいます。設計時にすべてチェックできればよいのですが、開発中に新たな攻撃手法が誕生することもあるため、完全に防ぐことはできません。
また、中小企業が大企業よりもサイバー攻撃による被害を甘く見積もっている傾向にあることも要因のひとつです。
脆弱性によるリスクはどのようなものがあるか
脆弱性によるリスクには、具体的にどのようなものがあるのでしょうか。中小企業における脆弱性のリスクの事例についてご紹介します。
脆弱性による具体的なリスク① メールによるマルウェア感染
メールを利用して重要データを削除する事例が多数報告されています。
なメール攻撃は宛先で取引先を装うなど、受信者が思わずクリックしてしまいそうな内容に偽装する攻撃手法です。不特定多数を相手にメールを送信する「ばらまき型」と、重要なデータを管理している職員を狙い撃ちにする「標的型」があります。現在、IPAなどの大手業界団体が脆弱性対策情報を公開したことで、中小企業などの脆弱性対策をしていない組織が明らかになり、さらに危険が高まっている状態です。
ある製造業者では、職員が受信メールに添付されていたファイルを不用意に開き、基幹システムの設定が強制変更されました。復帰までの一週間、システムの一部を利用できなかったそうです。
脆弱性による具体的なリスク② データ漏洩
脆弱性によりさまざまなセキュリティリスクが発生し、重要なデータ漏えいにつながるケースが多数報告されています。
例えば、ある製造業者では、職員のパソコンがマルウェアに感染し、取引先のメールアドレスなどが外部に漏えいしました。即座に問題の原因を特定し改善に努めたもの、取引先からの信用は失墜しました。
脆弱性による具体的なリスク③ webサイトの改ざん
公式サイトやECサイトのページが改ざんされ、個人情報の漏洩につながるケースがあります。
例えば、あるアパレルサイトでは、決済システムの脆弱性からページを改ざんされ、100件以上のクレジットカード情報が流出しました。結局復旧には至らず、同サイトは閉鎖に追い込まれています。
脆弱性による具体的なリスク④ 外部事業者へのサイバー被害における二次被害
社内のセキュリティレベルとは関係なく、外部事業者のサービスがサイバー攻撃を受けることで二次被害を受けるケースもあります。
例えばある国産車ディーラー業者は、個人情報の管理を外注していましたが、外部事業者がサイバー攻撃を受けたことで、約5万件の個人情報が流出した疑いがあります。
脆弱性による具体的なリスク⑤ リモートワーク環境からのマルウェア感染
新型コロナウイルスを機に、リモートワークを実施している企業も多いのではないでしょうか。
近年はリモートワークに必要な技術「リモートデスクトップ」の脆弱性から、マルウェアに感染する事例が報告されています。
リモートデスクトップとは、遠隔地にあるコンピュータを操作する技術のことです。第三者から不正アクセスされる可能性があるため、マルウェア感染だけでなく、外部端末の乗っ取りやデータ搾取などの発生も懸念されています。
脆弱性への対策
中小企業の脆弱性リスクには、どのように対応すればよいのでしょうか。おすすめの脆弱性対策についてご紹介します。
脆弱性への対策例① OSやソフトウェアを最新の状態にする
OSやソフトウェアは古くなるほど脆弱性が表面化するため、常に最新の状態にすることが重要です。ベンダーから更新アップデートの通知がきたら、できるだけ早く最新のバージョンにアップデートしましょう。OSやソフトウェアを最新の状態にするだけで、脆弱性を利用したほとんどのサイバー攻撃を防止できるといわれています。
脆弱性への対策例② セキュリティ対策を外部に依頼する
中小企業は大企業よりも予算に余裕がないことが多いため、本業への対応で手一杯であればセキュリティ対策を外注するのも一つの手です。社内人材だけで日々進化するサイバー攻撃にすべて対応するのは困難なので、クラウドやSaaSなどのサービスを利用して、必要なところだけ専門家の力を借りることをおすすめします。
現在はインターネット環境が至る所に整備されているため、いつどの中小企業がサイバー攻撃にあってもおかしくありません。実際セキュリティ対策に割ける余裕がない中小企業が、職員のパスワードやIDが流出したことに気づかず、不正アクセスの被害に遭った事例も存在します。セキュリティ対策を単にコストと考えるのではなく、企業の信頼性維持や情報資産の保持を目的とした投資と捉えることが大切です。
セキュリティ診断サービスで自社ネットワークや機器の脆弱性を把握し、個々に合ったセキュリティ対策を実施しましょう。
脆弱性への対策例③ 会社のセキュリティ体制を充実させる
普段から中小企業を狙うサイバー攻撃の手口を社内に周知させるなどして、会社のセキュリティ体制を充実させることが重要です。研修などで社員全員にセキュリティの重要性を知ってもらい、怪しいメールやファイルに近づかないようにしましょう。
また、実際にサイバー攻撃の被害にあったときに備え、緊急事態時の対応方法をルール化しておくことも重要です。想定される攻撃手法や被害発生時の連絡ルートなどを策定しておき、有事の際に迅速な行動をとれるようにしておきましょう。
社内セキュリティの約束ごとは、情報セキュリティポリシーとして共有することをおすすめします。
まとめ
中小企業は顧客データやマイナンバーなどの機密情報が多く、今後さらにセキュリティリスクが増大するといわれています。セキュリティ診断などで脆弱性の有無を確認し、企業の実情や目的に応じて適切なセキュリティ対策を実施しましょう。
セキュリティに強い人材がいない場合、まずは弊社にご相談下さい。