こんにちは、オフィス電話本舗Mです。
今回はIPA NEWS 6月号『セキュリティのすゝめ』のコーナーを基に、中小企業の被害事例とセキュリティ対策についてご紹介します。
参考:IPA NEWS 6月号
情報セキュリティ対策に投資をしていない中小企業は約3割!
IPAが公表した「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によると、過去3期に情報セキュリティ対策に投資をしていないという中小企業は33.1%にのぼっています。
この中で「親会社が投資しているため自社負担がない」という理由はその他(8.2%)の一部しかなく、多くは「必要性を感じていない」、「コストがかかりすぎる」、「費用対効果が見えない」という、情報セキュリティ対策に投資する価値をあまり感じていないことが理由となっています。
画像引用元:「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について:IPA 独立行政法人 情報処理推進機構
情報セキュリティ対策は、中小企業には不要?
「狙われるのは大手だけ」
「うちみたいな規模のところは狙われない」
そういう声もよく聞かれますが、実際サイバー攻撃は企業規模に関係なく行われています。
また、中小企業を足がかりにし、大規模企業や社会インフラに攻撃を与えるという手口もあり、大きな問題となりました。(こちらについて詳しくは「中小企業が足がかりに!? 社会インフラの制御システムを狙うサイバー攻撃!」の記事をご覧ください)
インターネットを利用している以上、サイバー攻撃の脅威は常にあります。
インターネットは広く普及し、一切使っていないという企業の方が少数です。
また、紙で情報管理している場合にも、紛失など不注意による情報漏えい、災害による損失などの危険性があり、適切な管理体制が作れれば、ITツールを導入した方が安全な場合もあります。
したがって、情報セキュリティ対策は、すべての企業にとって必要と言えます。
被害例と、必要な情報セキュリティ対策
実際にどんな被害があり、どんな情報セキュリティ対策が必要かをご紹介いたします。
一人ひとりのセキュリティリテラシーの向上
従業員に対する情報セキュリティ教育の実施については、「特に実施していない」という回答が55.1%でした。
回答した中小企業の半数以上が情報セキュリティ教育を行っていないということになります。
しかし、マルウェア(ランサムウェア、トロイの木馬、他ウイルスなど)の想定される主な侵入経路は以下の3つです。
- 電子メール
- インターネットの閲覧
- ダウンロードしたファイル
これらは、不審な電子メールを開く、不審なURLやファイルをクリック、ダウンロードするなど、ほとんどが従業員の操作により侵入を許してしまっています。
マルウェアの手口はどんどん巧妙になっています。
基礎的なITリテラシーはもちろん、最新のサイバー攻撃の手口を知ることも重要です。
また、情報セキュリティ対策としてツールを導入した際も、ツールの使い方やID、パスワードの保管方法等個人のセキュリティリテラシーは必要になります。
そのため、組織全体の情報セキュリティの底上げには、従業員一人ひとりのセキュリティリテラシーの向上が非常に効果的です。
安全なウェブサイト作り
インターネットの普及が広がり、企業のウェブサイトは今や大きな窓口となっています。サービスを利用する前にウェブサイトを調べるという人、企業も多く、ウェブサイトは企業の顔ともいえる存在です。
しかし、インターネット上に公開しているため、サイバー攻撃などの標的にもなりやすくなっています。
- 不正アクセスにより、サイトが改ざんされてしまった、個人情報が流出してしまった
- DoS攻撃によりサーバーがダウン、閲覧できない情報になってしまった
こうした被害は数多く報告されています。
そのため、ウェブサイトを作る際に安全に保守・管理できるかという視点が必要です。
IPAでは安全なウェブサイトの作り方や、チェックリストなどを公開しています。
是非一度チェックしてみてください。
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
内部不正を防止する環境づくり
情報セキュリティというとウイルス感染や、ミスによる情報漏えいなどを思い浮かべる方が多いかと思います。
しかし、意外と多いのが内部不正による情報漏えいです。
従業員や、退職した元従業員などが情報を不正に流出したり、持ち出してしまう事を指します。
IPAが決定した「情報セキュリティ10大脅威 2022」でも内部不正による情報漏えいが第5位にランクインしています。
情報セキュリティ10大脅威 2022とは
「情報セキュリティ10大脅威 2022」は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
内部不正による情報漏えいを防ぐためには、情報にアクセスするための適切な権限の管理や、パソコンやスマートフォン、USBなど端末の認証、ログの保管などが有効です。
管理のための機器の導入など投資は必要になってきますが、内部不正を防止する環境が作られることで、抑止効果も期待できます。
おすすめのセキュリティ対策
中小企業の情報セキュリティ対策ガイドラインを利用する
IPAが公開している「中小企業の情報セキュリティガイドライン」を利用することで、情報セキュリティ対策ができるかどうかのチェックや、企業内のガイドラインを策定する際にやるべきことなどが見えてきます。
中小企業の情報セキュリティガイドラインについて詳しくは「中小企業経営者必見!中小企業の情報セキュリティ対策ガイドラインを解説!」の記事をご覧ください。
UTMを導入する ~サクサUTM SS7000~
UTMとは、複数のセキュリティ機能を一台で行ってくれる機器のことです。
LANとインターネットの間に設置し、セキュリティゲートの役割をします。
UTMがまとめてセキュリティ対策を粉うため、LANに接続されている端末に個別にセキュリティソフトなどを入れる手間はありません。
今何もセキュリティ対策をしていないという企業には、導入するコストが少なく済むため非常におすすめです。
その中でも特におすすめしたい機種が、サクサUTM SS7000です。
外部からの脅威にも、内部からの脅威にも対応してくれます。
詳しくは以下の記事をご覧ください。
ウイルスやネットワーク攻撃など脅威の備えに!「サクサUTM(統合脅威管理アプライアンス)SS7000」
メリットがいっぱい!「サクサUTMSS7000」についてもっと詳しく!
被害が出る前に、情報セキュリティ対策を
サイバー攻撃などの被害にあってしまうと、業務を行うための復旧作業に時間も費用も掛かってしまいます。
また、企業の信用にも影響があり、個人情報など機密情報の流出が起こってしまえば取引先や顧客離れにもつながってしまいます。
「自社は大丈夫だろう」と油断せず、被害が出る前にしっかり情報セキュリティ対策を行っておく必要があります。
情報セキュリティ対策を何から始めようとお悩みの場合には、お気軽にオフィス電話本舗までご相談ください。
