企業がネットワーク経由でサイバー攻撃の被害者になる例が増えてきています。
有名企業のニュースが目立ちますが、中小企業であっても無関係ではありません。

こちらでは、中小企業を狙ったサイバー攻撃や、知っておいていただきたいセキュリティ対策についてお話しします。
 

中小企業を狙ったサイバー攻撃や求められるセキュリティ対策について動画解説！

今サイバー攻撃の標的になりやすいのは中小企業

大手企業が被ったサイバー攻撃の被害はニュースなどでも大きく報道されています。
このことから、「サイバー攻撃は大手企業を対象にしたもの」を考えている企業も多いでしょう。

しかし、実際にはむしろ中小企業の方がサイバー攻撃の標的になる可能性が高い傾向にあります。
つまり、本当に警戒心を持つべきなのは大手企業よりも中小企業のほうかもしれないのです。

なぜ中小企業が狙われるのか

なぜ中小企業がサイバー攻撃の標的として選ばれやすいのでしょうか。
その背景には以下のような理由があります。

 

セキュリティ対策を行う人材の不足

ひとつは、サイバー攻撃に対応できる人材の不足です。

国内の多くの企業ではセキュリティ人材が不足しています。
さらに、そうした数少ない人材のほとんどが、大手企業に集中している状況です。
社内の人材をセキュリティ要員として育成しようと動いている中小企業もありますが、リソースの問題から十分なスキルを持つ人材として育て上げることは簡単ではありません。
こうした背景から、多くの中小企業はセキュリティ対策の重要性に気づきながら、先送りしています。

 

予算の不足

堅牢なセキュリティ体制を構築するためには潤沢な予算が求められます。
しかし、十分な予算を投じてセキュリティ対策を行っている中小企業は多くありません。
また、直接の利益を生み出さないことや費用対効果の明言を生み出さないことから、経営陣の説得が難しい、という側面もあります。

 

理解不足

最も深刻な問題といえるのがセキュリティに対する意識の問題やリテラシーです。
今や、ほとんどの企業が外部に流出させられない機密情報や個人情報を取り扱っています。
しかし、末端までその意識を共有できている企業は少ないのが現状でしょう。

また、万が一サイバー攻撃を受けた際のリスクについても、中小企業ほど軽視している傾向があります。
十分な予算・リソースを割けないのも、多くの場合はこのことが原因です。

 

 

中小企業を狙うサイバー攻撃

上述したような理由から、セキュリティ面で脆弱な中小企業はサイバー攻撃の標的になりやすいといえます。
サイバー攻撃に対して正しく理解し、警戒することが重要です。
以下では、中小企業を狙うサイバー攻撃の基本情報についてお話します。

 

サイバー攻撃とは

サイバー攻撃とは、サーバー、パソコン、システムなどにネットワーク経由で侵入し、意図的に害をもたらす行動のことです。
近年は明確な犯罪として認識されており、取り締まる法律も数多く制定されています。

規模や目的はさまざまです。また、企業だけではなく、個人を対象としたサイバー攻撃もあります。

 

代表的なサイバー攻撃の手口

以下は代表的なサイバー攻撃の手口です。

 

ランサムウェア

重要なデータを取得した後に暗号化し、解除を条件に身代金を要求するプログラムです。

要求に応じなければデータを一般に公開すると脅す「二重脅迫」のケースも増えてきています。
多額の身代金を要求できることから、企業を標的にしたランサムウェアは少なくありません。

 

標的型攻撃

企業の機密情報入手を目的とした手口です。
メールに不正なプログラムを添付するケースが多く、メールを開くと感染します。
また、1台に感染したウイルスはネットワーク経由で社内全体に派生していきます。

 

水飲み場型攻撃

脆弱なWebサイトに不正プログラムを忍ばせ、閲覧したユーザーを感染させる手口です。
ユーザーの訪問・閲覧を待つ様子を、水飲み場で獲物を狙う肉食動物になぞらえています。

 

クリックジャッキング

通常のリンクやボタンを装い、ユーザーにクリックさせて操作を誘導する手口です。
誤ってクリックすると、ウイルスに感染する、パソコンを乗っ取られる、といったリスクが考えられます。

 

ドライブ・バイ・ダウンロード

Webサイトに不正プログラムを組み込み、訪問ユーザーを感染させる手口です。
水飲み場型攻撃と比較して、さらにターゲット、Webサイトを限定しているという特徴があります。

 

サプライチェーン攻撃

取引先や関連企業を経由し、ターゲット企業を攻撃する手口です。
多くの場合、メールに不正プログラムを忍ばせ、ターゲット企業へと近づいていきます。

 

ビジネスメール詐欺(BEC)

取引先や経営者を装ったメールを送り、金銭・情報を奪う手口です。
振込指示などのメールが挙げられます。

 

キーロガー

パソコンの操作を記憶しておくためのソフトウェアです。
もともとは、システム開発などでログ解析をするために使われていましたが、悪用されるケースが増えています。

 

ガンブラー攻撃

Webサイトにプログラムを埋め込み、訪問ユーザーを別の不正サイトに誘導する手口です。
ドライブ・バイ・ダウンロードのひとつとして区分されています。

 

誰がサイバー攻撃を行うのか

中小企業を対象としたサイバー攻撃は、一般的に以下のような人物・組織による犯行です。

 

産業スパイ

競合企業の人材が機密情報を盗む、あるいは破壊する目的でサイバー攻撃を行うことがあります。
業界内での優位性を獲得することや、ライバル企業を貶めることが主な狙いです。

 

金銭強奪犯

情報よりも金銭を目的とした単純な犯行を企てる攻撃者もいます。
ネットバンクのアカウント情報摂取、不正な決済ページへの誘導などが主な手口です。

 

社内の人間

社内の人間がなんらかの目的でサイバー攻撃を行うこともあります。
怨恨やライバル企業からの見返りを得る目的など、動機はさまざまです。
社内の人間でも油断することはできません。

 

中小企業のセキュリティ対策の実情

中小企業はサイバー攻撃に対してどの程度の警戒心を持っているのでしょうか。
以下では、中小企業のセキュリティ対策の実情をお伝えします。

 

ほとんどの企業はサイバー攻撃の標的としての自覚がない

一般社団法人 日本損害保険協会が2019年に実施した調査によると、自社がサイバー攻撃の対象になり得ることを自覚している企業は約1割程度にとどまりました。
また、企業の規模が小さくなるほど警戒心が弱くなる傾向があるようです。

2020年は新型コロナウイルスの影響によりテレワークを開始した企業も多く、少しずつ意識が変わってきたようですが、まだまだ十分とはいえません。
特に中小企業の意識改革はまだ始まったばかりといえます。

 

セキュリティ対策をしていない企業も多い

同じ調査によると、調査対象の24%の企業が具体的なサイバー攻撃対策を行っていないことがわかっています。
また、対策済みと回答した企業も、半数近くはソフトウェアの導入やOSの管理を行っておらず、意識面の対策のみのようです。

 

 

中小企業がサイバー攻撃を受けるとどうなる？

中小企業がサイバー攻撃を受けると具体的にどのような被害が生じるのでしょうか。

 

サイバー攻撃による損害

例として、ランサムウェアによって生まれる損害について検証していきます。

ランサムウェアは上述したとおり身代金を要求するサイバー攻撃です。
要求に屈した場合、身代金がそのまま損害となります。
また、ランサムウェアの影響による業務の停滞も、間接的に損害を引き起こします。

 

実際に起きたサイバー攻撃の事例

サイバー攻撃の事例をご紹介します。

 

ランサムウェアによる重要データ消失

ある企業において、メールによって従業員が使用しているパソコンがランサムウェアに感染してしまう事件が起きました。
身代金を要求されましたが、その企業ではパソコンの破棄を決断。

結果として、ローカルに保存されていたいくつかの重要データを消失しています。

 

不正アクセスによるサービス停止

Webサービスを提供しているベンダーの例です。
利便性の向上を重視するあまりセキュリティを弱くした結果、不正アクセスの標的として選ばれるようになってしまいました。
サーバーに負荷がかかり、一時サービスを中断する事態にまで発展しています。

 

業務用パソコンのウイルス感染

業務用パソコンがウイルス感染するケースも多発しています。
ある企業では、セキュリティソフトの期限切れにより1台のパソコンがウイルスに感染していたことが発覚しました。
その後、被害がネットワーク上でどこまで広がっているか確認が必要になり、全体の復旧まで2カ月の期間を要しています。

 

中小企業に必要なセキュリティ対策

中小企業が着手すべきセキュリティ対策をご紹介します。

 

適切なセキュリティソフトの導入

セキュリティ対策には適切なセキュリティソフトの導入が不可欠です。
近年のビジネススタイルを加味すると、スマホやタブレットでも利用できるソフトが望ましいでしょう。
また、従業員分のライセンス数を契約する必要があります。

 

セキュリティ機器の導入

ネットワークスイッチやUTM機器など、法人利用を想定したセキュリティ機器も求められます。
無線LANルーターなども通信の質だけではなくセキュリティを意識して選びましょう。

 

IT担当・情報システム部門の設置

社内のセキュリティ対策を牽引する組織として、IT・担当や情シスを設置するのも効果的です。
社内に人材がいない場合は、外部のサポートを利用する選択肢もあります。

スターティアにご相談いただければ、セキュリティの強化をIT担当として支援させていただきますので是非ご検討ください。
重要なデータを失わないためにも、万が一の事態に備えて社内ファイナルサーバのバックアップを取りましょう。

 

 

社員の意識向上

企業内に「取り扱っているデータは資産であり、外部への流出が許されない機密情報」という意識を根付かせる必要があります。
十分な予算を確保できるように、経営陣にはセキュリティリスクを数字で示すことが大切です。
また、テレワークが普及している現在では、従業員一人ひとりの日常的なセキュリティ意識が求められます。

 

まとめ

サイバー攻撃のリスクや中小企業が取り組むべきセキュリティ対策についてご案内しました。

スターティアでは、ウイルス・スパイウェア対策ソフトやネットワーク構築・保守のサポートを提供しています。
急速にテレワークが必要になった現在、セキュリティ体制の構築に困っている企業様は多いかもしれません。
サイバー攻撃による被害を回避するために、ぜひスターティアのサービスをご利用ください。

おすすめ資料ランキング

お問い合わせはこちら