昨今、中小企業を狙ったサイバー攻撃が非常に増えています。専門的にはサプライチェーン攻撃という名称の攻撃増加が背景にありますが、それ以外にも様々な脅威が増えています。実際に発生したセキュリティインシデントの事例解説から、本当に必要なリスクマネジメントとセキュリティ対策を広く解説します。
中小企業・中堅企業を狙ったサイバー攻撃の増加
大企業と取引のある中小・中堅企業を狙ったサプライチェーン攻撃が増加してきました。サプライチェーンは、原料や部品の仕入れから製造、流通、販売、消費者への一連の流れを指しています。
犯罪者やハッカーなどの攻撃者は、ターゲット対象である大企業を正面から攻撃するのはリスクが高いと判断しているため、周辺の中小・中堅企業を狙った攻撃が増加しています。理由としては大企業はコストや人材を割いて、社内のシステムのセキュリティ対策を年々強化しているからです。大企業と比べると、セキュリティ対策や意識に甘さが目立つ中小企業を風穴にして、顧客データや機密情報を盗むといった手口が増えています。このような攻撃に対抗するために、中小・中堅企業は早急にセキュリティ対策への取り組みを強化しなければなりません。仮に取引先の企業から機密情報や企業データが盗まれた場合、自社のセキュリティ対策が原因だった場合は、損害賠償などを求められるからです。セキュリティインシデントを起こしてしまうと、取引先からの信頼は失われ、莫大な経済的損失につながります。
実際にあったセキュリティインシデントの事例
チケット販売ぴあの事例
2017年にぴあがプラットフォームを提供している、プロバスケットボールリーグ・Bリーグのチケットサイトとファンクラブがサイバー攻撃を受けました。ぴあは、チケットサイトとファンサイトの運営を別の委託先に任せており、委託先の企業のサーバー上の脆弱性を突かれた不正アクセスにより、会員の個人情報が流出しました。
被害はBリーグへ登録したユーザーの個人情報が約15万件が流出した可能性と約3万2千件のクレジットカード情報が盗まれ、合計630万円が不正利用されています。クレジットカードの不正利用は、Twitterでの書き込みが相次いだことにより判明しました。本来残しておくべきでないクレジットカードの情報をシステム開発社の独自の判断で、サーバー上に残しておいたのが、不正利用の原因とされています。
三菱電機の事例
2020年1月に三菱電機は、中国にある関連会社の管理サーバーが不正アクセスを受けたことがきっかけで、三菱電機の国内の事業所のシステムにも不正アクセスによる侵入をされたと報告しました。この攻撃により、三菱電機が保有する従業員や退職者8,122人の個人情報と防衛・電力・鉄道に関する機密情報が流出した可能性が高いと発表しています。
特に防衛に関する情報は防衛省とのやり取りも含まれており、重大な国家機密が流出した可能性も否定できないため、社会的影響や関心が高い事件でした。原因はVPNの脆弱性を突かれた形でのハッキングである可能性が高いと言われています。VPNのセキュリティリスクや脆弱性についても別の記事でまとめる予定です。
スウェーデン交通局の事例
2015年に、警察や軍の機密情報や数百万人の国民の個人情報が流出する事件が起きました。スウェーデンは人口が1000万人程度で、大半の国民の個人情報が流出したことになります。非常に怖い事件ではないでしょうか?もし日本でこのような規模の事件が起きたら、大変な騒ぎになっているでしょう。
スウェーデン交通局は情報を管理するサーバーをチェコの企業に任せていましたが、設定に不備があり、全ての技術者がアクセス可能なセキュリティ対策が甘い仕組みになっていました。またスウェーデン政府は、機密情報や重要性の高い情報を扱う人物の適性を判断する「セキュリティークリアランス」のチェックをしていなかったのではないかと指摘されています。スウェーデン政府が事件に気付いたのは約1年後の2016年で、対応の遅さも問題視されました。
情報セキュリティ10大脅威 2019
IPA(情報推進機構)が発表した、2019年に社会的影響力が大きかったサイバー攻撃やセキュリティ問題の一部になります。下記の表に攻撃種類と内容をまとめました。
| 順位 | 攻撃種類 | 攻撃内容 | 想定被害 |
| 1位 | 標的型攻撃 |
|
|
| 2位 | ビジネスメール詐欺 |
| |
| 3位 | ランサムウェア |
| |
| 4位 | サプライチェーン攻撃 |
| |
| 5位 | 内部不正 |
|
中堅・中小企業の情報セキュリティ対策の現状
中堅・中小企業の現状は?
情報セキュリティ対策の重要性はわかっていても、セキュリティ対策を高めるツールの導入ができていない企業が多いです。中小企業がセキュリティ対策を強化できない理由をまとめました。
| 内容 | 理由 |
| セキュリティ対策の優先順位が低い |
|
| 人材不足 |
|
| 計画的な運用が不安 |
|
全体的な視点で対策を取っていない
対策が徹底できていないため、ハイスペックな製品やシステム導入による効果を全面的に得られていません。個人の意識改革が大切になります。
| 実施内容 | 企業の対策 | 局所的な対策 |
| セキュリティソフト導入 |
|
|
| IDやパスワードからの情報流出阻止 |
|
|
| 外部への情報流出対策 |
|
|
情報セキュリティ対策を怠るとどうなるか
情報セキュリティを強化する対策を行わないと、もし仮にセキュリティインシデントが発生してしまった場合にどのようなリスクがあるのかをまとめました。
金銭的な被害・損失
自社で顧客データが流出した場合や取引先が自社のセキュリティ対策の甘さが原因で情報が流出した場合、損害賠償を求められます。
業務の被害・損失
ランサムウェアや脆弱性攻撃、ゼロデイ攻撃を受けた場合は、システムダウンの状態に追い込まれるため、通常の業務状態に戻るまで時間が必要です。システム内での脆弱性を見つけられない場合は、復旧に時間がかかるため、業務を再開できません。顧客への営業機会の損失や依頼を断らなければならず、売上の機会を逃すことになります。
顧客への信頼既存、被害や損失
顧客データや機密情報を流出した場合、顧客からの信用を一気に失います。逆の立場になって考えた時に、情報セキュリティに甘い企業に仕事の依頼を頼むでしょうか。「また、情報流出が起きたら怖い」や「どこまで対策をしているか疑問」など、仕事を積極的に依頼しようとは思いません。特に専門性の高い技術や独自性の強いデータを持っている企業は、再発防止のために取引停止の判断を決断することも十分考えられます。顧客との取引量が減ると売上が減るため、厳しい経営状態が続くでしょう。
従業員への影響
自社への不信感による離職者の増加が発生します。「このまま在籍して大丈夫だろうか?」や「肩身の狭い思いが続く」といった、ネガティブな感情が一気に出るため仕事への意欲が落ちます。周囲からの風当りも強く、以前から給料や労働条件に不満があった場合は、大量の離職者が出ても不思議ではありません。
中小企業に必要な対策
端末の管理
EDR(Endpoint Detection and Response)と呼ばれる、PCやスマートフォン、サーバーなど端末内の状態の監視を行うソフトの導入がおすすめです。 EDRを導入することにより、不正アクセスやマルウェアの侵入を防ぎ、仮に侵入された後も素早く駆除することができるため、被害を最小限に抑えられます。
予算があればDaaS
DaaS(Desktop as a Service)は、クラウド上にある仮装のデスクトップ環境を利用するサービスです。仮装デスクトップ方式と呼ばれるVDI(VDI : Virtual Desktop Initiative )の一種で、サーバー上でデータ処理や更新を行い、インターネットを経由して画面上に情報が展開される仕組みになります。メリットは、PC上にデータ保存ができないため、情報流出のリスクが少ない点です。
パスワードの管理
ActiveDirectoryを導入することで、社内のユーザーIDやパスワードの一元管理が可能です。ActiveDirectoryは、コンピューターリソースの一元管理や設定の権限、ユーザーの認証機能といった機能を持っているからです。Webサイトやアプリケーションのログイン時に、ユーザーIDやパスワードの入力を求められる機会はありませんか。ユーザーの特定を行うのがActiveDirectoryです。
IDとパスワードを入力をすることで、どのユーザーが社内システムやファイルを利用しているかを把握できます。管理者にとっては業務負担の軽減でメリットがあり、ユーザーにとっては複数のパスワード管理が不要なので、管理や運用面が楽です。企業にとっても、情報漏洩のリスク軽減や個々のPC管理時と比較してのランニングコストの削減といったメリットがあります。
安価な多要素認証の導入
Office365等でも導入されている多要素認証がおすすめです。Office365の場合はOutlookやワード、エクセルは業務での利用頻度も高く、IDとパスワードが流出した場合、悪用される恐れが十分にあります。3種類のうちどれかを組み合わせて認証機能を2段階認証にすることで、IDとパスワードの流出リスクを大幅に軽減できます。
- スマートフォンによるモバイルアプリの利用
- SMSを入力してのログイン
- 電話番号を入力してのログイン
定期更新は便利だが大変
従来のパスワードの有効期限を設定する方法は便利でしたが、管理が大変でした。仮にパスワードが盗まれても、定期更新をするたびに盗んだパスワードが一定期間が経てば使えなくなるため、被害を最小限に抑えられます。しかし、パスワードを管理するために、机の上にメモ書きしての貼り付けやパターン化したパスワード設定など、かえって流出リスクが高まる可能性もありました。
実際、マイクロソフトのWindows 10の時期シリーズ1903バージョンでは、パスワードの有効期限の設定を廃止しています。パスワードの有効期限設定よりも、多要素認証の導入やパスワード設定時の文字数や英数字の組み合わせの条件を厳しくすることを推奨しています。
UTMやファイアウォールは費用と相談
UTM(Unified Threat Management)は統合脅威管理と訳される複数のセキュリティ機能を集めたシステムです。外部からの不正なアクセスから内部ネットワークを守るファイアウォールもUTMの1つに含まれています。UTMのメリットや機能を表にまとめました。
非常に多くの機能があるので、セキュリティ対策には大きな効果がありますが、その分コストがかかります。また、システムダウンした場合は全てのセキュリティ機能がダウンするため、バックアップ体制の整備と信頼できるUTMベンダーの選択が重要です。
| 機能 | 効果 | メリット | デメリット | |
| ファイアウォール |
|
|
|
|
| アンチウイルス |
| |||
| アンチスパム |
|
| ||
| IPS/IDS(不正侵入防止/不正侵入検知) |
|
| ||
| Webフィルタリング |
|
| ||
| アプリケーション制御 |
|
UTMの導入が現実的でなければゼロトラストネットワークを採用しましょう
ゼロトラストネットワークでは、社内外問わず全てのアクセスに対して、都度認証を行います。毎回認証を行うことで、ユーザーやデバイスの最新情報を把握することが可能です。ゼロトラスト=「誰も信用しない」との意味通り、通信アクセスの可視化とログを残すことで、社内外からの情報流出を防ぎます。場所や時間を問わない働き方改革や社外からのリモートアクセスも考慮した、現状のビジネス環境にも適したセキュリティモデルです。
境界型では維持管理コスト、柔軟性が悪くなります
従来の社内アクセス=安全、社外アクセス=危険との考え方では、多様化したサイバー攻撃からシステムを守れなくなっています。社内ネットワークに入られた後のセキュリティ対策が一切施されていなかったからです。従来の仕組みだと、社内ネットワークにさえ侵入すれば、顧客データや機密情報などを盗みやすい状態にありました。更に現在では社外からのアクセス機会やクラウドサービスの利用機会も増加しており、全ての社外アクセスをファイアウォールで守り切ることはできません。むしろ全てを守る必要もなくなってきました。
中小企業は費用・予算と優先順位で経営陣と相談
必要であれば助成金も提案するべき
政府や各自治体でITツール導入のための助成金制度を制定しています。例えばIT導入補助金2023では、飲食・小売・宿泊・医療などの業種を対象に、自社の経営課題や業務効率化の向上を目的として、ITツールを導入するための経費を援助します。最大450万円の補助が受けられるため、上手く活用して低コストでITツールを導入してください。
また、新型コロナの影響でビジネスモデルの転換を余儀なくされている企業やサプライチェーンが既存した企業を対象とした特別枠も存在します。
