サイバー攻撃は中小企業が狙い目?動向や被害事例と対策のまとめ
近年、金融機関や大手企業がサイバー攻撃の被害に遭うケースが増えています。一方、中小企業を狙ったサイバー犯罪も多く発生しているのです。この記事では、中小企業を狙ったサイバー攻撃の被害事例や対策についてまとめました。
この記事の目次
- ・ サイバー攻撃被害の動向
- ・ 社員がとるべき対策をしっかり教育
- ・ 会社としてもしっかり対策を
- ・ まとめ
サイバー攻撃被害の動向
サイバー攻撃と一口に言っても、その手口や被害はさまざまです。まずは、漏洩の原因や被害事例などを見ていきましょう。
漏洩の原因
JNSA(日本ネットワークセキュリティ協会)の調査によれば、情報漏洩の原因として最も多いのは、社内の人間のミスであることがわかっています。 漏洩の原因で最も多いのは、メールの設定ミスや誤送信などの『誤操作』であり、次いで情報の入ったメモリの紛失、不正アクセスや管理ミスと続きます。 過失によるものはもちろんですが、意図的に起こされた不正アクセスなどについても、警戒しなければなりません。
JNSA「2017年 情報セキュリティインシデントに関する調査報告書」
中小企業の被害事例
中小企業で実際に遭ったサイバー攻撃の事例としては、次のようなものがあります。 従業員数が10名程度の健康食品の会社では、外部サーバーに不正プログラムが仕掛けられ、顧客のクレジットカードや名前といった情報が漏洩する事件が起こりました。これによりサイトは閉鎖し、現在も復旧の目処は立っていないそうです。 加工食品会社の役員のPCがウイルスに感染し、取引先の顧客情報まで漏れた例などもあります。いずれのケースでも中小企業では立ち直るだけの余力を絞り出すことが難しく、その後長期にわたって業務に影響を受けることになってしまうのです。
中小企業が踏み台として狙われるケースも
大手企業はセキュリティ対策をしっかりと施しているところも多く、サイバー攻撃を仕掛けようにもなかなかうまくいきません。そこで犯罪者が目をつけるのが、大手企業と取引実績のある中小企業です。 中小企業のセキュリティレベルは大手と比較して甘いところも多いのが実情のようです。中小企業のネットワークから大手企業のネットワークへと侵入し、攻撃を仕掛ける事例も報告されています。 中小企業は損害賠償を求められ、大口の取引先を失うことにもなりかねません。企業として大きな痛手を被ってしまったケースも少なくないようです。
社員がとるべき対策をしっかり教育
昨今はエンドポイント(ネットワークの末端)である社員が利用するノートPCやスマホから、企業の情報が漏洩するといったケースも発生しています。 特に中小企業では、社員の管理権限が大きい場合やクラウドサービスでデータベースへのアクセスが容易な場合も多いでしょう。しっかりとした教育が求められていると言えるのです。
社員の意識改革が大切
セキュリティに関する教育の一環として、セキュリティに対する意識改革もしっかりとしていきましょう。 A10 Networksの世界10カ国2000人を対象とした調査によれば、日本の従業員は他国と比較してセキュリティ意識が低いことが判明しています。 「ビジネスアプリや個人情報の管理責任はIT部門にある」という回答が多いことからも、社員自身のセキュリティ管理に対する姿勢の甘さがうかがい知れるでしょう。 実際にサイバー攻撃の被害に遭えば、会社はもちろん情報漏洩した社員も責任を問われかねません。そういった重大な情報を扱っているという意識を持たせることが、教育の第一歩と言えます。
1人ひとりが意識すべき基本対策
もちろん社員1人ひとりでセキュリティをすべて賄うことは不可能です。しかし、やれるべき最低限の基準は定めなければなりません。PCやスマホなどの端末にアンチウイルスソフトを導入することや、OSを最新のバージョンに保つだけでもだいぶ違います。 また、どのようなサイバー攻撃の手口と経路があるかを知ることもポイントです。不審なメールやWebサイトを開かないようになれば、それだけで入手経路を遮断できます。会社とのデータベースの共有も適切にすることも習慣化させましょう。
会社としてもしっかり対策を
社員個人にセキュリティについて任せきりにしてしまうと、社員同士でセキュリティレベルに格差が生まれます。この状況は好ましくはありません。 会社全体としても、しっかりとしたセキュリティ対策をしていきましょう。
PCやスマホのセキュリティ対策
サイバー攻撃はなりすましメールやWebサイトを仲介して行われる場合があります。そのため、社員1人ひとりのセキュリティ意識を高めることも、十分な対策になり得るのです。 まずは、どのような攻撃の手口があるかを社員が認知するのもポイントでしょう。無警戒に不審メールやWebサイトへアクセスしなくなれば、その分サイバー攻撃の経路が遮断されます。 また、会社のデータベースと社員の持つ端末において、不要なときはリンクを切っておくなど、共有設定について見直すことも有効です。
企業単位でとるべき対策の遂行
会社で利用するPCやスマホに対しては、セキュリティソフトや暗号化の導入をしていきましょう。セキュリティ関連のクラウドサービスを利用するという方法もあります。 中には、セキュリティに対する予算を低く見積もってしまう中小企業経営者もいるかもしれません。しかし、実際に問題が発生した場合の被害を考えれば、対策は万全を持って臨むべきでしょう。予算よりも十分なセキュリティを選ぶことが重要です。 無線LANを利用する場合には、そちらに対してもユーザー認証や暗号化をしっかりと施しましょう。
IPAのガイドラインを参考にしよう
セキュリティに対するノウハウがなく、どのような対策をとって良いかわからない担当者もいるのではないでしょうか? IPA(独立行政法人情報処理推進機構)が経済産業省と共同で策定したセキュリティガイドラインを発表しています。リスク管理の体制の構築や、緊急時の対応など、法人レベルでのするべき施策が記載されていますので、こちらを参考にしてみてください。
まとめ
大企業と比較すると中小企業のセキュリティレベルは低いことが多く、大企業を攻撃するための踏み台として狙われる事例があります。その場合に被る損害は計り知れません。 社員1人ひとりのセキュリティ教育をはじめ、会社全体でセキュリティ対策をすることが重要です。
紹介動画
忍び寄るサイバー攻撃 ハッカー集団にあなたは対抗できますか?
企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。
多様化するサイバー攻撃。セキュリティソフトを入れておけば安心ですか?
セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。
お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意
OCN光 IPoEサービス
-
企業向けベストプラン
OCN光 IPoEサービス
ワイドプラン標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。 -
オンライン会議に最適
OCN光 IPoEサービス
ワイドプラン オプションサービス
アプリコントロールAワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
ストレスフリーなコミュニケーション環境を実現します。 -
OCN光 IPoEサービス
標準プラン従来サービスから2倍の収容設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
快適なインターネット接続環境を実現。 -
OCN光 IPoEサービス
vUTMセットIPoEインターネット接続とクラウド化されたUTM機器をセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。
-
OCN光 IPoEサービス
VPNセット高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。
IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。