見出し画像

中小企業こそ対策が急務です! サイバーセキュリティ対策 虎の巻

MJS公式note

9月は防災月間です。自然災害のリスクが高まる昨今において、危機的状況にスムーズに対応できるよう、BCP(事業継続計画)に注目している企業様も多いのではないでしょうか。
BCPには自然災害を想定した対策と、「サイバーBCP」と呼ばれるテロや災害、サイバー攻撃などの危機的状況下でも重要な業務が継続できるよう、ITシステムを守るためのBCPがあります。

自然災害だけではなく、サイバー攻撃に遭った時、ビジネスで活用しているITシステムも大きなダメージを受けることがあります。今は、どんなビジネスでもITを一切使わない、というお仕事はかなり希少ではないでしょうか。
むしろ、システムが使えないから仕事ができない、というケースの方が多くあります。
ですから、ITシステムが使えなくなるような事態が起きることを想定した対策を取っておく必要があるのです。

そこで今回の記事は、タイトルのとおり、中小企業にこそ求められるサイバーセキュリティ対策についてまとめました。


ビジネスに与えるインパクト

大規模自然災害により被る被害とサイバー攻撃による被害では、ビジネスに与えるインパクトはどれほど違うのでしょうか。

1人当たりGDPが年率1%引き下げられる、というのは、企業の財務に例えると、企業の利益率が1%減少する状況に相当します。

売上が100億円の企業で利益率が10%である企業を例に、利益率減少の影響を計算してみましょう。

つまり、サイバー攻撃がビジネスに与えるインパクトの大きさは、大規模自然災害を想定した場合と同等であることが分かります。

自然災害とサイバー攻撃被害の違い

状況の比較と周囲の受け止めについて比較してみます。

同じ「被害者」であるのに、周囲の受け止め方には大きな違いがあります。
なぜこれほどまでに違うのでしょうか。
サイバー攻撃の被害は、「みんな一緒に」ではないからです。

自然災害の場合、被害の大小や精神的苦痛などは人により違いはあるものの、同じ地域の住民は同時期に一斉に被害に遭います。
ですが、サイバー攻撃の被害は、攻撃されていない人や企業が圧倒的に多いなかで、ポツンとピンポイントで被害に遭います。そうなると、「その被害は防げなかったのか?」と被害に遭ったことについて周囲に評価をされる状況に陥りやすいのです。

これが、サプライチェーンという一連の商流のなかで起きることを想像していただければ、中小企業こそ、取引先からビジネスパートナーとして選ばれ続けるためには、サイバーセキュリティ対策が重要であることがご理解いただけるのではないでしょうか。

サイバー攻撃による被害内容を理解する

サイバー攻撃を受けてしまった場合、どのような被害があるのか整理しておきましょう。

【直接的な被害】
 ●機密情報、個人情報の盗み取り・漏えい
 ●インターネットバンク口座への不正アクセスによる金銭の不正窃取
 ●身代金要求・詐欺による金銭の不正窃取
 ●自社ホームページの破壊・改ざん
 ●自社ネットワークの異常など業務システムの障害
 ●保存しているデータの破壊・改ざん
 ●使用している情報システムの破損

ここまでは想像に難くない被害内容ですが、もう一つ、なかなか想像が行き届かない間接的な被害というものもあります。

【間接的な被害の例】
 ◆被害内容や原因を究明・被害拡大を防ぐための対策費用の支出増大
 ◆事故状況・被害拡大状況により顧客・取引先からの信用低下
 ◆破損した物品やホームページ等の改修・再調達
 ◆情報漏えい時や損害賠償に関わる法的対応
 ◆事後対応に伴う人件費の増大・労働環境の悪化

このように、サイバー攻撃の被害を受けることにより、多くのものを失う可能性があります。

では、サイバー攻撃の事例と対策について述べていきます。

ランサムウェア攻撃とは

2024年6月に発覚した、KADOKAWAおよびニコニコ動画等へのサイバー攻撃とその後の状況は皆さま報道でご覧の通りだと思います。
本件で用いられた「ランサムウェア」と呼ばれるサイバー攻撃は、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語で、コンピュータに悪事を働くウイルスの一種を指します。
感染すると、端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。

最近は攻撃の手法も進化してきており、データを暗号化する手間を省き、「情報を公開してほしくなければ対価を」といった搾取の方法が出てきています。

引用:警視庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」

また、警察庁が公表した2023年の「ランサムウェア被害の企業・団体等の規模別報告件数」によると、中小企業の被害件数が半数以上という結果になっています。

引用:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」

この身代金について、中小企業に対しては要求金額が500万円以下の場合もあり、早期解決のためにと支払ってしまうケースがあるようです。
しかし、身代金を払っても、復号されたデータが壊れていて使えないケースは約半数にも及ぶのが実態です。また、その後同じ犯罪グループに繰り返し攻撃を受けるケースが、半年以内に6割に及んでいます。
何より、犯罪グループに身代金を支払うことは、自らも犯罪に加担することになるため、身代金は絶対に支払ってはいけません。

なお、もし被害に遭った場合ですが、上述したIPAに相談すると、暗号化されてしまったファイルを復号するためのツールを探す支援をしてもらえます。
https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html

ランサムウェア攻撃の被害防止対策

①VPN機器等のぜい弱性を塞ぐ
利用しているVPN機器やOS等の更新ファイル、パッチ等を適用して、ぜい弱性を残さないようにしてください。

②安易なパスワードを使わない
パスワードがぜい弱であったためにネットワークに侵入され、ランサムウェアによる被害を受ける事例が確認されています。
パスワードが初期設定のままであったり、よく使用されているもの(「password」、「qwerty」、「12345678」等)に設定されていないか確認し、そのような設定になっている場合は、大文字・小文字・数字・記号の組み合わせにより文字数が多く、推測されにくい文字列を設定するとともに、他のサービス等で使用していないものを設定し直すなど認証情報を適切に管理してください。

③アクセス権等の権限を最小化する
ユーザアカウントに割り当てる権限やアクセス可能とする範囲などは必要最小限にしてください。例えば、一般ユーザには管理者権限を割り当てないようにしてください。

④ウイルス対策ソフト等のセキュリティ製品を導入する
ウイルス対策ソフトを導入したり、他のセキュリティ製品を導入することで、サイバー攻撃のリスクを低減することができます。

⑤電子メール等を警戒する
受信者の関心を引くような内容や、不安を煽る内容のメールを用いて添付ファイルを開かせる(実行させる)またはリンク先のウェブサイトにアクセスさせるように仕向けて、ランサムウェアをはじめとしたマルウェアに感染させる手口が確認されています。
知人や取引先企業になりすましたメールが届くかもしれません。
添付ファイル付きのメールやリンク付きのメールについては、送信元への確認を行うなど、その真偽を確かめ、不用意に電子メールの添付ファイルを開いたり、リンク先にアクセスしたりしないでください。

⑥データのバックアップを3‐2‐1ルールで取得する
【3‐2‐1ルール】
★保存するデータのコピーは3個保管
★保管するメディアは2種類採用(USBとHDDなど)
★コピーのうち1個はネットワークから切り離してオフラインで保存

MJSでは特設ページを設けて、「3-2-1ルール」推進を支援しています。
https://www.mjs.co.jp/topics/lp/backup/

ここまでお読みいただきありがとうございました。

サイバーセキュリティの重要性と具体的な対策をご紹介する本シリーズ記事の次回では、ランサムウェア以外のサイバー攻撃とその防止策を取り上げます。

これからも経営にビジネスに役立つ情報、時にMJSの裏側を深堀りする情報を発信していきますので、よろしければフォローいただけますと励みになります!
さらに、この記事をフォロワーの方に「オススメする」をしていただけますと嬉しいです!



これからも経営にビジネスに役立つ情報、時にMJSの裏側を深堀りする情報を発信していきますので、よろしければフォローいただけますと励みになります!
さらに、この記事をフォロワーの方に「オススメする」をしていただけますと嬉しいです!