AI活用のサイバーセキュリティ対策とは?具体例やメリットを紹介
2023年12月6日
【オンサイトイベント】米国知財訴訟について Part 3
2023年12月12日
現代社会において、不正アクセスやデータ改ざんなどのサイバー攻撃はすべての企業で起こりうる問題で、中小企業も例外ではありません。日頃から、サイバー攻撃への対応策を想定しておくことが重要です。この記事では、中小企業のサイバーセキュリティ対策、ガイドラインや助成金などについて解説します。
中小企業におけるサイバーセキュリティ対策の必要性
中小企業は人材や予算の制約からセキュリティ対策が手薄なことが多いため、攻撃者がターゲットである大企業を直接攻撃するのではなく、そこと取引のあるセキュリティ対策が甘い中小企業を狙う手法が近年増加しています。サイバーセキュリティを含む情報セキュリティは経営に欠かせないという意識を持ち、中小企業の関係者も、自社が大企業ではないからと油断せず、しっかりと対策を取る必要性があります。
中小企業へのサイバー攻撃によるリスク
中小企業がサイバー攻撃を受けてしまった際に発生するリスクについて解説します。
フィッシング攻撃によるアカウント情報やパスワードの流出
実在の金融機関やクレジットカード会社、ショッピングサイトなどを装った電子メールを送付し、これらの公式サイトによく似た偽サイトに誘導して、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を入力させて詐取します。
ランサムウェア感染による身代金被害
ランサムウェア(Ransomware)とは、身代金を意味するランサム(Ransom)とソフトウェア(Software)を組み合わせた造語で、感染したコンピューターのファイルを暗号化して利用不可な状態にし、その復元と引き換えに身代金を要求するマルウェアです。近年では身代金を支払わなければ盗んだデータを公開すると脅迫するタイプのランサムウェアも流行しています。
不正アクセスによる機密情報や個人情報の漏洩
不正アクセスとは、権限を持たない外部の人間が、内部のサーバーや情報システムへ侵入すること。機密情報や個人情報を扱う企業が攻撃を受けてしまうと、情報漏洩・流出による被害は甚大なものになります。
サプライチェーン攻撃による取引先企業への被害拡大
サプライチェーン攻撃とは、企業の原料調達から消費者へ製品などが届くまでの供給網であるサプライチェーン上において、セキュリティが手薄なポイントを突いたサイバー攻撃のこと。ターゲットである大企業を直接攻撃するのではなく、そこと取引のあるセキュリティ対策が甘い中小企業を狙う手法で、近年増加しています。
企業が受けるサイバー攻撃の被害の影響
企業がサイバー攻撃を受けてしまった際、どのような影響が及ぶかを解説します。
社会的信用の失墜
プライバシー侵害や個人情報の漏洩・悪用など、サイバー攻撃によって顧客や取引先との信頼関係を崩壊させてしまう恐れがあります。セキュリティ対策を疎かにした会社として社会的な信用も失ってしまうと、業績の悪化は避けられないでしょう。
経済的な損失
サイバー攻撃によって業務やサービスが停止したり機能不全を起したりすることも、大きな被害のひとつです。製造業なら生産ラインが停止し、病院であれば電子カルテや診療報酬に関わるシステムが影響して診療が続けられなくなり得ます。 被害を拡大させないための初期対応、感染経路や被害状況の調査など、通常業務を圧迫するコストも発生してしまいます。
情報漏洩などによる訴訟や損害賠償リスク
業務停止や信用失墜による損失だけでなく、扱うデータによっては法的リスクも発生します。プライバシー侵害や個人情報の漏洩・悪用が起きてしまうなど、企業が法的な責任を負う場合は罰金を支払う可能性があります。
中小企業におけるサイバーセキュリティ対策の導入ステップ
中小企業がサイバーセキュリティ対策を導入するためのステップを、独立行政法人情報処理推進機構(IPA)によるガイドラインや、情報セキュリティ5か条をもとに解説します。
【ステップ1】中小企業向けガイドラインをもとに実施項目を決める
情報セキュリティ対策ガイドラインには、対策の実施項目が整理されています。まずはこれを把握し、自社に足りない項目を確認して実行すべき対策を決めましょう。規模の小さな企業や、これまで十分な情報セキュリティ対策を実施してこなかった企業は、すぐにできることから始めて段階的にステップアップすることで、自社に適した対策が実施できるようになります。
・中小企業の情報セキュリティ対策ガイドライン:https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf
【ステップ2】「情報セキュリティ5か条」の取り組みを行う
上記のガイドラインにある5か条を解説します。
- 1.OSやソフトウェアは常に最新の状態に
OSやソフトウェアを古いバージョンのまま使い続けるのはセキュリティ上の問題点を放置しているのと同じで、最新のマルウェアに感染してしまう危険性があります。定期的に更新することで常に最新の状態にしておきましょう。
- 2.ウイルス対策ソフトの導入
IDやパスワードの窃取、ファイルの暗号化など、悪質なマルウェアが次々登場しています。EPP(アンチウイルス機能)/EDRを導入し、適切に管理しましょう。
- 3.パスワードの強化
IDやパスワードが流出したり推測・解析されたりすることによって不正にログインされる被害も発生しています。長く・複雑に・使い回さないことをパスワードの条件とし、セキュリティを強化しましょう。
- 4.共有設定の見直し
クラウドのデータ保管サービスや複合機の設定ミスなど、複数名で情報共有するツールを介して意図せず情報を覗き見られてしまうケースがあります。第三者の閲覧を制限できる設定になっているかを確認しましょう。
- 5.脅威や攻撃の手口を知る
取引先や関係者を偽ってマルウェアを添付したメールを送る、公式サイト風の偽サイトへ誘導してアカウント情報を盗もうとするなど、手口は巧妙化しています。最新の手口を知り、引っかからないよう意識を高めましょう。
【ステップ3】セキュリティマネジメントの体制を強化する
情報セキュリティ上の事故が発生した場合には情報セキュリティ責任者へ状況が迅速に報告されるよう、また情報伝達が情報セキュリティ責任者から部門責任者を通じて従業員へ適切に行われるよう、管理体制を整えます。責任者や管理者には情報セキュリティの知識・経験も必要とされますが、習得には時間がかかります。要員を中長期的に育成することも視野に入れましょう。
【ステップ4】専門業者への相談や支援制度を活用する
中小企業が情報セキュリティ対策水準を向上させるには、社内の意識向上はもちろん、相談できる専門家とつながりを持ったり、専門家からの指導を通じて対策を実践したりするのが有効です。IPAが推進する、情報処理安全確保支援士などの専門家が登録されているセキュリティプレゼンターによる普及啓発活動の他、この後に解説するIT導入補助金など様々な支援制度が存在します。積極的に利用しましょう。
中小企業のサイバーセキュリティ対策を支援する助成金制度
中小企業がサイバーセキュリティ対策を強化するために、様々な支援制度が用意されています。
サイバーセキュリティ対策促進助成金
東京都では、中小企業が自社の企業秘密、個人情報を保護するためのサイバーセキュリティ対策を助成金で支援しています。助成対象は情報セキュリティ対策に取り組むことを自己宣言する「SECURITY ACTION」で二つ星を宣言している中小企業で、申請の要件は厳しくなく検討する価値があります。詳しくは東京都中小企業振興公社の公式サイトにて確認してください。他にも実施している自治体があるので確認しましょう。
・東京都中小企業振興公社:https://www.tokyo-kosha.or.jp/support/josei/setsubijosei/cyber.html
IT導入補助金
企業が様々な経営課題を解決するためのITツール導入を支援する補助金です。目的に応じた5つの枠組みから補助金を申請することができますが、サイバーセキュリティ対策においては、サイバーインシデントが引き起こす様々なリスク低減を支援する「セキュリティ対策推進枠」が活用できます。詳しくは公式サイトにて確認してください。
・IT導入補助金:https://it-shien.smrj.go.jp/
有事の際はFRONTEOの「サイバーセキュリティ調査パッケージ」で迅速な初期対応を
このように、サイバーセキュリティにおいては平時からの対策が不可欠ですが、有事を想定した準備も必要です。攻撃の被害を最小限に抑えるため、初期対応には細心の注意と迅速な処理がポイントになります。1万件以上の不正調査実績を誇るFRONTEOの「サイバーセキュリティ調査パッケージ」なら、複数の保険会社にも推奨されている高品質なサイバーセキュリティ調査を提供します。
EDR調査やダークウェブ調査など、サイバー攻撃を受けた際に対応すべき必要最低限の調査をワンパッケージにした初期対応に有効なソリューションで、Wi-Fi脆弱性調査やNDR調査、ペネトレーションテストなど追加調査も実施可能です。専門知識がある人材がいない企業の場合、有事対応の際のスピードや専門性に懸念が残ります。圧倒的な実績から得たノウハウをもとに、FRONTEOが初期対応をサポートします。
