サイバー攻撃の標的にされるのは、大企業だけではありません。最近は中小企業を狙うサイバー犯罪が増えており、金銭の損失や信用の喪失など、さまざまな問題が発生しています。中小企業がサイバー攻撃のターゲットにされる理由は、何なのでしょうか？また、恐るべき事態に備えて、どのようなセキュリティ対策をとったらよいのでしょうか？中小企業がとるべきセキュリティ対策について解説します。

セキュリティの重要性

中小企業が自社のセキュリティを甘くしていると、次のような危機的事態が発生することがあります。企業の存続に関わる一大事に発展するケースもあるので、セキュリティ対策は中小企業にとって必要不可欠といえます。

【関連記事】セキュリティソフトでは見抜けない！？巧妙化するサイバー犯罪

身代金を要求される可能性がある

中小企業が直面するマルウェア（悪意のあるソフトウェア）の中でも、最もリスクが高いのは「ランサムウェア（身代金要求型ウイルス）」です。ランサムウェアに感染すると、社内のデータにロックをかけられ、解除と引き換えに身代金を要求されることになります。

個人情報や機密情報が流出する恐れがある

マルウェアに感染すると、顧客の個人情報や企業の機密情報などが抜き取られ、不正利用されるリスクがあります。こうしたリスクは組織の内部だけでなく、中小企業を踏み台にして取引先の大企業に及ぶ可能性もあり、社会的な責任を問われかねません。個人情報の漏洩によって、損害賠償の請求を受けるケースもあります。

会社の信用を失い、顧客を喪失する危険性がある

サイバー攻撃などによって顧客の情報が漏れたり、業務が一時停止してしまうといった事態が起こると、会社は信用をなくし、顧客離れにもつながります。たった1通のメールから、会社の経営を揺るがす事態に発展する危険性すらあるのが、サイバー攻撃の非常に恐ろしい点です。

大企業よりもセキュリティ対策が甘く、狙いやすい

大企業は強固なセキュリティ対策を行っているので、サイバー攻撃を行う側は、侵入したくてもなかなか入り込むことができません。それに対して中小企業は、セキュリティ対策の甘い企業が多く、犯罪者も狙いやすいのです。従業員のセキュリティ意識も低いので、必然的に攻撃の成功率も高くなります。そのため、サイバー攻撃者の最終的な標的が大企業だったとしても、まずは中小企業に入り、そこから大企業に侵入するといった手口に及びます。その場合は、自社が被害を受けるのみならず、取引先である大企業にも多大な損害を与えることになります。

中小企業の3社に1社がセキュリティ投資を行っていない

情報処理推進機構（IPA）が発表した「2021年度中小企業における情報セキュリティ対策の実態調査報告書」によると、直近の過去3期においてセキュリティ投資を行っていない中小企業は33.1%と、3社に1社がセキュリティ対策を行っていないという結果が出ました。
その理由として最も多かったのが「必要性を感じていない（40.5％）」となっており、サイバー攻撃の魔の手が自社に迫っているにもかかわらず、現実の脅威を感じていない中小企業が多いことがわかります。

【参考】「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

中小企業が直面する主なセキュリティリスク

フィッシング詐欺・ランサムウェア

フィッシング詐欺は昔からある詐欺のひとつですが、メールボックスに届くので従業員が騙される可能性が高く、十分に注意が必要です。たとえばGoogleになりすましたメールが届き、「重要なお知らせがあります。続きはリンク先のGoogleドキュメントから確認をお願いします」と書かれていることがあります。これに間違ってクリックすると、IDとパスワードの入力画面が出て、思わず入力するとログイン情報を抜き取られるといったケースです。
メールに添付されたファイルを開くことで、ランサムウェアに感染してしまうこともあります。こうした手口は年々巧妙になっており、感染することで復旧費用に多額の費用と期間を要する場合もあります。

内部者脅威

組織の内部者が会社の重要情報を持ち出したり、情報を漏洩したりするリスクもあります。重要な顧客情報や製品情報が盗まれてしまうと、企業の根幹を揺るがす事態となります。

不適切なセキュリティ設定とアップデートの遅れ

企業の情報管理の担当者が不適切なセキュリティ設定を行っていると、たとえセキュリティ対策をしていても、トラブルに巻き込まれることがあります。また、OSやソフトウェアをアップデートせず、古い状態のままにしておくと、ウイルス感染の危険性が高まります。

セキュリティ対策の基本

セキュリティ教育・トレーニングの実施

サイバー攻撃などの脅威に対して、従業員が罠にかからないために、セキュリティ教育やトレーニングを行うことが非常に重要です。ランサムウェア攻撃の多くは、悪意のあるたった1通のメールからスタートします。それを従業員が警戒心なく開いてしまうことで、攻撃者は組織の内部に侵入し、やりたい放題の悪事を仕掛けてくるのです。身代金を要求されたり、データを盗み取られたりと、組織が攻撃者から受けるダメージは図り知れません。
こうした事態を防ぐために、企業は従業員に向けてしっかりとセキュリティ対策のトレーニングを行い、教育ビデオを見せるなどして意識を高める必要があります。そのためにはまず、社内のIT管理者がしっかりとしたサイバーリテラシーを持つことが、非常に重要です。

パスワードポリシーの見直しと強化

セキュリティ対策をしっかりと行うためには、パスワードの安全な管理を行う必要があります。安全なパスワードの作成方法や保管方法など、パスワードポリシーの見直しを徹底しましょう。

システム・アプリケーションの定期的なアップデート

サイバー攻撃者は常にシステムの弱点を探しているため、セキュリティシステムが古くなると、サイバー攻撃に対して脆弱になります。自社のOSやソフトウェアの定期的なアップデートを行うことが大切です。

より高度なセキュリティ対策

セキュリティ監査・コンサルタントの協力

より高度なセキュリティ対策として、セキュリティ監査サービスを利用するなど、外部コンサルタントに協力を委ねる方法があります。コンサルタントはさまざまなサイバー攻撃の手口や対策を熟知しているので、自社のセキュリティにおける課題がはっきりとし、そのために何をしたらよいのかも明確になります。
中途半端なセキュリティ対策に終わらせず、プロの目からしっかりとしたアドバイスを受けることで、サイバー攻撃の魔の手から組織を守ることができます。予算に限りがある場合でも、どの対策を取捨選択したら良いかがわかり、自社にとってベストのセキュリティ対策を選ぶことができます。

社内ネットワーク・クラウドサービスの最適化

社内ネットワークはインターネットにつながっているため、サイバー攻撃やマルウェア、不正アクセスなどの脅威に常にさらされています。インターネットを通じて、どんな悪質なサイバー攻撃が忍び込むかわかりません。そのため、安全な社内ネットワークを構築することは、自社をサイバー攻撃から守る上で必須の事項といえます。
社内ネットワークは会社の規模や業種、拠点の数などによっても違うため、自社に最も合ったネットワークやクラウドサービスを選ぶことが大切です。

緊急時の対応計画

万が一サイバー攻撃を受けたときのために、緊急対応用マニュアルを作成し、従業員に浸透させましょう。マニュアルを作成する際には、サイバー攻撃によって起こり得る危険を洗い出した上で、優先順位をつけていきます。さらに具体的な被害状況をシミュレーションし、そのために何をすべきかを、全社一丸となって考えていく必要があります。

XITのコンサルティングサービス

 XITのコンサルティングサービスでは、中小・中堅企業のセキュリティ監査から、実際のセキュリティ対策の構築まで、一気通貫の支援を実現しています。経験豊かなコンサルタントが、お客様のセキュリティレベルを評価し、セキュリティ課題を見える化します。リスクを洗い出し、今後の対策につなげることによって、企業のセキュリティレベルを向上します。

 「従業員のセキュリティ意識が薄くて困っている」といったお悩みのご相談から、「サイバー攻撃に負けない安全な社内システムをつくりたい」という具体的な施策まで、セキュリティ対策に関することは何でもご相談ください。

コンサルティングサービス　ギグワークスクロスアイティ株式会社