中小企業におけるサイバー攻撃の脅威とは?
2024.02.20更新
昨年末のコラムでは中小企業もサイバー攻撃の標的になりうるという観点から、バックアップと復元の重要性について触れました。
https://www.gateway.co.jp/ja/security/post13289/
今回はより詳細に中小企業における情報セキュリティについてご説明したいと思います。
<なぜ狙われるのか?>
企業活動においては原料の調達や製造過程におけるアウトソーシング、製品の物流等のサプライチェーンがあります。近年、このサプライチェーンを狙った攻撃手法が増えており、その標的となるのは中小企業・中堅企業です。
これをサプライチェーン攻撃といい、IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威」でも2019年からランクインし、以降上位を占めている攻撃手法です。
大企業は情報セキュリティにおいて専門チームや外部委託による対策を行う等、守りが堅く、攻撃者も簡単には侵入できません。そこでその取引先である中小企業を足掛かりに侵入を試みるのです。
また中小企業であっても取り扱うデータには個人情報や顧客情報のみならず、取引先の機密情報が存在するケースもあるでしょう。万が一それらが漏洩すれば自浄作用のない企業として信頼を失うばかりか、多額の損害賠償問題に発展する等、企業活動において多大な影響を及ぼす可能性があります。
<サプライチェーンを狙った事例>
◆大手の航空機開発製造会社の事例ではサプライチェーンのセキュリティ企業が標的となりました。攻撃者はターゲットである開発製造会社のセキュリティ対策が厳重である事からセキュリティ企業へ標的型攻撃メールを送付。従業員が添付ファイルをクリックしたことによりバックドアを作成し、そこを経由して開発製造会社への侵入に成功しました。
◆大病院の不正アクセス事例では病院の電子カルテが暗号化され、外来診療や各種検査の停止が余儀なくされました。発端となったのは給食を提供しているサプライチェーン企業で、ネットワーク機器(VPN)の脆弱性に対する対応が不十分であったために、データセンターへ不正アクセスされ、閉域網で接続されている病院への侵入に成功しています。
この病院の事例では復旧まで2ヵ月を要しており、サプライチェーンへの攻撃リスクが顕在化した事例となりました。
<中小企業はどのように対策すれば良いのか>
セキュリティ対策は経費でしょうか?もしそうであれば確かに経費を抑えることは会社経営において必要な事です。しかしサプライチェーンへも標的が広がった昨今においては経費ではなく“投資”や“保険”として捉える必要があるのではないでしょうか。
そのうえで、まずは前回のコラムでもご紹介したIPAが策定・公表している「情報セキュリティ5か条」を実施しましょう。
https://www.gateway.co.jp/ja/security/post13290/
加えて万が一データを失った際の復元も考慮しておくと良いでしょう。
◆人為的なミスの防止
人為的なミスを防止する事も重要です。人為的なミスには例えば以下のようなものがあります。
・不審なメール、及び添付ファイルを開く
・怪しいリンクをクリックした
・信頼できないWebサイトに情報を入力してしまった
・信頼できないWebサイトからファイルをダウンロードした
・メールやFAXの宛先を間違えた
・社用携帯、ノートパソコンの紛失
・データを外部に持ち出した
これらは情報セキュリティインシデントの原因となりうるものですが、社員・スタッフの意識向上である程度は抑制することができます。
社内や組織内においての運用方法、管理方法のルールを改めて見直し、また周知を徹底する事が重要です。また定期的な勉強会等の社員教育も有効です。
◆ネットワークの脆弱性を見直す
上記の病院の事例ではVPNの脆弱性が狙われましたが、改めて見直すことで侵入されないように対策を行うべきです。
・適切にアクセス制限を行う
・定義ファイルやファームウェアは最新を維持する
・IDS、IPS(不正侵入検知・防止)を有効にする
・認証にはMFAを導入する
<まとめ>
今回は中小企業におけるサイバー攻撃の脅威について触れてみました。
年々巧妙化、複雑化する脅威に対しては中小企業・中堅企業であっても対策を行うことが必要になっていることがおわかり頂けたと思います。
ゲイトウェイ・コンピュータではAcronis Cyber Protect Cloudによる統合型エンドポイントセキュリティのご提案、標的型攻撃メール訓練の実施、ネットワークセキュリティ(ゲートウェイセキュリティ)の構築等、企業におけるセキュリティ対策のご支援が可能です。
お問い合わせはこちらから