• docomo business Watch
  • 「情報セキュリティ10大脅威 2024」が発表。中小企業が気をつけるべき脅威とは

「情報セキュリティ10大脅威 2024」が
発表。中小企業が気をつけるべき脅威とは

「情報セキュリティ10大脅威 2024」が発表。中小企業が気をつけるべき脅威とは

「サイバー攻撃は大企業が狙われるもの、中小企業である当社には関係ない」と考えている経営者は少なくありません。しかし、警察庁の資料によれば、サイバー攻撃の一種であるランサムウェアによる被害は、大企業より中小企業のほうが多いとされており、中小企業にとっても決して他人事ではないのが伺えます。また、ランサムウェアの他にも、中小企業が気をつけなければならないセキュリティに関する脅威は複数あります。独立行政法人情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威 2024」をもとに、セキュリティ対策の方法を探ります。

目次

「情報セキュリティ10大脅威2024」とは

独立行政法人情報処理推進機構(IPA)から今年も「情報セキュリティ10大脅威」が発表されました。この資料は2023年に発生したさまざまな情報セキュリティの事案から、IPAが脅威候補を選出、研究者や企業の実務担当者などの専門家200名が審議・投票を行い決定したものです。脅威は個人と組織に分かれて選出されていますが、本記事では組織にフォーカスを当て紹介します。

まずは、「情報セキュリティ10大脅威2024(組織)」をまとめた下記の表を見てみましょう。

情報セキュリティ10大脅威2024[組織]

1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を利用した攻撃」は、外部からの攻撃です。しかし、3位の「内部不正による情報漏えい等の被害」と6位の「不注意による情報漏えい等の被害」は企業の内の「人」が原因となる脅威です。

外部からのサイバー攻撃は、複雑かつ巧妙化が進んでおり、もし本格的に狙われてしまえば、回避は簡単ではありません。しかし、人を起因とする脅威であれば、従業員のITリテラシーを高めるための教育で、リスクを軽減することができます。IPAでも「組織における内部不正防止ガイドライン」(※)を発表しており、経営課題として取り組む必要があるとしています。

(※)独立行政法人情報処理推進機構「組織における内部不正防止ガイドライン」

ランサムウェアとサプライチェーン攻撃

外部からの攻撃として、特に注意すべきなのが、1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を利用した攻撃」です。それぞれどのような方法で、被害をもたらすのでしょうか。

ランサムウェアによる被害

ランサムウェアに感染すると、パソコンなどの端末のファイルが暗号化され、使用できない状態になります。このファイルを元に戻すことを引き換えに、金銭(身代金)を要求されるサイバー攻撃です。

最近では、関心を引くような内容や、重要と感じさせる電子メールを用いて、受信者に添付したファイルを開かせる(実行させる)ケースをはじめ、リンク先のウェブサイトにアクセスさせてランサムウェアに感染させるなど、さまざまな手口が確認されています。

冒頭に述べた通り、令和5年9月に発表された警察庁の資料によれば、ランサムウェアの被害は大企業より中小企業が多く、特に警戒すべき脅威の一つと言えるでしょう。

サプライチェーンの弱点を悪用した攻撃

サプライチェーン攻撃とは、標的となる企業(主に大企業)に対して直接攻撃を行うのではなく、その企業の関連会社や取引先を経由して、標的企業に不正に侵入するサイバー攻撃のことを指します。

一般的にセキュリティが堅牢とされる大企業ではなく、専任の担当者がおらずセキュリティが手薄になりがちな企業が狙われるため、中小企業が主なターゲットとされてしまいます。実際に日本でもサプライチェーン攻撃の被害が数多く発生しています。

ある自動車メーカーでは、サプライヤーがランサムウェアに感染。自動車メーカーの工場の稼働が停止することになり、多くの損害が発生しました。また、ある病院ではランサムウェアの被害で電子カルテを含めた総合情報システムが利用できなくなる事態が起きました。この事例では、病院が委託契約していた給食センターを踏み台とし、病院のサーバーに侵入されています。

中小企業がサイバー攻撃のリスクを軽減するには?

すべてのサイバー攻撃に対して、中小企業が対策を行うのは現実的ではありません。しかし、もし攻撃を受け、ランサムウェアへの感染や情報漏えいが起きてしまえば、会社は多大なダメージを負うことになります。場合によっては経営者の責任が問われることもあるため、対策をせずに放置するという選択肢は危険です。中小企業のセキュリティ対策の指針の一つとして、IPAの「中小企業の情報セキュリティ対策ガイドライン」を紹介します。

(※)独立行政法人情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」

このガイドラインでは、「経営者が認識し実施すべき指針」や「社内において対策を実践する際の手順や手法」など、経営者編と実践編から構成されており、中小企業の利用を想定して作成されています。また、ガイドラインには取り組みやすい、「情報セキュリティ5か条」が示されています。「セキュリティ対策といっても、何をすればいいのかわからない」という場合には、まず下記の5か条を実践することが重要です。

  1. OSやソフトウェアは常に最新の状態にしよう!
  2. ウイルス対策ソフトを導入しよう!
  3. パスワードを強化しよう!
  4. 共有設定を見直そう!
  5. 脅威や攻撃の手口を知ろう!

「当社は中小企業なのでサイバー攻撃の標的にはならない」といった思い込みは大きなまちがいです。むしろ中小企業こそ注意が必要な時代が来ています。もしセキュリティ対策を怠り、なんらかの被害が発生してしまえば、自社だけでなく、顧客や取引先にも大きな損失を与えてしまう可能性があります。

まずは、「情報セキュリティ5か条」のような誰でもかんたんに取り組めることからはじめ、段階的に強固なセキュリティ環境を構築していくことを検討されてはいかがでしょうか。社内リソースに課題がある場合は、ITベンダーが提供しているアウトソーシングや、コスト面で中小企業層でも導入しやすいパッケージサービスを利用するのも一つの方法です。サイバー攻撃が多様化しているように、セキュリティ対策の方法も数多くあります。自社に合ったセキュリティ対策を実施し、セキュリティリスクの軽減を目指しましょう。

※本記事は2024年2月の情報をもとに制作されています。

ドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

ドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

最適なサービスを探したい方はこちら

中小企業向けサービスサイト
検索