予算・人員確保が難しい中小企業が、今すぐできるセキュリティ - ペンタPRO：ペンタセキュリティが提供するセキュリティ情報まとめサイト

企業や組織を対象としたサイバー攻撃が多発している昨今、その被害は大企業だけでなく、企業規模・業種を問わず多くの中小企業にまで広がっています。中小企業でも、従業員のマイナンバーや住所や給与明細、顧客情報、新製品の設計図、取引先から預かっている情報など、守るべき情報は必ずあります。

また、サイバー攻撃の被害規模は多くの場合想定以上で、被害者への損害賠償だけでなく、企業の信用低下や従業員の士気低下、取引停止や顧客流出など、企業の経済活動に多大な損害をもたらします。

本記事では、そんな中小企業に対するサイバー攻撃事例と被害実態、基本的なセキュリティ対策方法から、予算・人員確保が難しい企業がやるべき対策について解説していきます。

狙われる中小企業、サイバー攻撃被害の実態とは

一昔前まで「サイバー攻撃」といえば、大規模なサービスを展開していたり、多くの機密情報を抱える大企業が被害に遭いやすく、そうでない中小企業には縁のないものと思われていました。

しかし昨今、中小企業に対するサイバー攻撃被害が急激に増加しており、一件当たりの被害規模も増加傾向にあります。例えば近年話題の「ランサムウェア」の被害状況においては被害企業の54%が中小企業であることがわかっています。また、被害にあった企業の約70%は復旧までに1週間以上の期間を要し、75%以上が総額100万円以上の被害を受けていることが分かっています。

画像出典：警察庁｜令和3年におけるサイバー空間をめぐる脅威の情勢等について

直近で最も注目を集めたサイバー攻撃被害事例としては、株式会社メタップスペイメントの決済システムから約240万件のクレジットカード情報が漏洩した事件が挙げられます。この事件では、クロスサイトスクリプティング攻撃、SQLインジェクション攻撃、ディレクトリトラバーサル攻撃など、古くから知られる有名な脆弱性を利用した複合的なサイバー攻撃が行われ、結果として当時データベースに保存されていた全ての情報が漏洩するに至りました。

ランサムウェアによる被害事例としては、2021年10月に発生した徳島県半田病院に対するサイバー攻撃事例が挙げられます。この事件では、同病院の院内システムの保守に利用されていたVPNの脆弱性が悪用され、バックアップを含めた全ての電子カルテや会計システムがランサムウェアに感染し暗号化されました。

犯人グループからは身代金の要求がありましたが、同病院は金銭の支払いを拒み、約2億円を投じて新たなシステムを構築しました。しかし、新たなシステムが出来るまでの約2か月間は通常診療を行えず、一部新規患者の受け入れ停止や手術中止、カルテを手作業で作り直すなどの身代金以上の甚大な被害を受けることとなりました。

なぜ中小企業が狙われやすいのか？

中小企業がサイバー攻撃の標的になり始めた背景としては、ITの促進とともに中小企業も「多くの個人情報・クレジットカード情報を扱い始めたこと」や「セキュリティが堅牢な大企業への攻撃の足掛かりにするため」などが考えられます。

また、日本の中小企業は特に「セキュリティ投資の難しさ」「セキュリティ意識の薄さ」などが原因でセキュリティ対策が進みづらい傾向にあり、攻撃者にとっては格好の的ともいえる状況にあります。

3割以上の企業がセキュリティ投資を行っていない

IPA（情報処理推進機構）が中小企業を対象に行った調査では、「直近過去3期の情報セキュリティ対策投資額」に関する質問において、33.1%もの企業が「投資していない」と回答しており、49.2%の企業が「100万円未満の投資」に留まっています。

画像出典：2021年度中小企業における情報セキュリティ対策に関する実態調査｜情報処理推進機構

また、情報セキュリティ対策投資を行わなかった理由として最も割合が高いものが「必要性を感じていない（40.5%）」となっており、セキュリティ対策に対する意識・理解の薄さが現れています。

その他の理由としては「費用対効果がみえない（24.9%）」「コストがかかり過ぎる（22.0%）」などがあり、多くの経営者がセキュリティ対策のコストパフォーマンスに懸念を抱いていることが分かりました。

画像出典：2021年度中小企業における情報セキュリティ対策に関する実態調査｜情報処理推進機構

セキュリティ対策におけるコストパフォーマンスは判断の難しいポイントであり、社内に専門家がいない場合は特に予算配分や方針決定が困難になりがちです。セキュリティ対策の始め方がわからなかったり導入後の手間が懸念される場合は、外部の専門家に相談したり、運用を丸投げできるセキュリティソリューションの導入を検討すると良いでしょう。

セキュリティ意識の低さが顕著に

先ほどと同様、IPAが中小企業を対象に行った調査では、中小企業におけるセキュリティ意識の低さが顕著に表れています。

例えば「組織的なセキュリティ対策の実施の有無」に関する質問では、半分以上の企業が「組織的には対策を行っていない・わからない」と回答しており、多くの企業で積極的なセキュリティ対策が行われていないことが分かります。

画像出典：2021年度中小企業における情報セキュリティ対策に関する実態調査｜情報処理推進機構

また、取引先との契約締結時における情報セキュリティに関する条項・取引上の義務・要請に関する質問では、63.2%が「義務・要請はない」と回答しており、企業間の活動においてもセキュリティに対する意識の低さが見て取れます。

画像出典：2021年度中小企業における情報セキュリティ対策に関する実態調査｜情報処理推進機構

企業がセキュリティ対策を行う上で常時・非常時の組織的な連携はとても重要ですし、取引先との契約締結時にセキュリティに関する条項を盛り込むことで、セキュリティ事故発生時の責任範囲や非常時の役割分担を明確化することができます。逆に言えばこの2点に対する意識の薄さは「非常時の被害拡大」や「企業間トラブル」などにつながり、企業の経済活動には大きな損失を、悪意ある攻撃者には多くの利得をもたらすことになります。

中小企業が今すぐ実践できる5つのセキュリティ対策

社内にセキュリティの専門家がいない場合、まずは「基本的なセキュリティ対策」を1つ1つ確実に行うことがとても大切です。基本的な対策をきっちり行うことで、ある程度のセキュリティ事故を防ぐことができるようになります。

ここでは、中小企業が専門家なしで行える対策として、IPA（情報処理推進機構）が公表している「情報セキュリティ5か条」を紹介します。

1．OSやソフトウェアは常に最新の状態にする

OSやソフトウェアはセキュリティ脆弱性が見つかるたびに修正プログラムが配布され、更新を促されます。修正プログラムを適用せずに放置していると、それを悪用したウィルスに感染してしまう可能性があるため、修正プログラムはかならず適用し、できれば常に最新バージョンのOS/ソフトウェアを利用するようにしましょう。

2．ウィルス対策ソフトを導入する

昨今、IDやパスワードを盗んだり、不正侵入して遠隔操作を行ったり、ファイルを暗号化して身代金を要求するコンピュータウィルスが急増しています。ウィルスは感染を拡大する性質があるので、業務で使用するすべてのパソコンにウィルス対策ソフトを導入し、最新の状態を保つようにしましょう。

3．パスワードを強化する

パスワードが推測されたり、1つのウェブサービスから流出したID・パスワードが悪用されたりすることで、不正ログインされる被害が増えています。パスワードを作る際は「長く」「複雑に」「使いまわさないように」の3つを意識しましょう。名前・電話番号・誕生日など、推測されやすい英数字はパスワードに使用するべきではありません。

4．共有設定を見直す

IT化が進んだことで、社内等で簡単に権限やデータの共有を行えるようになりましたが、共有設定を間違えたことで、本来データを見ることができない人にまでサービスや機器を使用させてしまうトラブルが増えています。Webサービス等の共有範囲設定は厳密に行い、社員の退社・異動があった際には、権限の削除等を忘れずに行うようにしましょう。

5．脅威や攻撃の手口を知る

セキュリティ対策の出発地点は「攻撃の手口を知ること」です。サイバー攻撃の手口は年々巧妙化していますが、実はよく注意すれば罠だと気づけるものも多いです。関係者を装ってウィルス付メールを送ってくる「なりすまし」や、偽のウェブサイトに誘導しようとする「フィッシングメール」など、基本的な攻撃方法を中心に手口を把握し、対策を進めていきましょう。

中小企業のセキュリティ対策、「予算・人材確保」問題を解決するには

先ほど紹介した「情報セキュリティ5か条（IPA）」で防げるのはオフィスワークレベルのセキュリティ脅威だけであり、高度なセキュリティが求められるシーン、例えば自社でWebサイト/サービスを運用している場合などにおいては、対策として不十分です。

しかし一般的に、社内で高度なセキュリティ対策を実施しようとすれば、相応の予算とセキュリティ人材の確保が必要となります。IPAの調査報告書からも、多くの経営者が「コスト」「人材確保」「導入後の手間」などを理由に、セキュリティ対策投資を行っていないことが分かります。

では、予算や人員の確保が難しい中小企業はどのようにして高度なセキュリティ対策を実施すれば良いのでしょうか？様々なクライアントを抱えているセキュリティ専門企業の弊社としては、低価格で運用を丸投げできる「専門家いらずのセキュリティソリューション」の導入を強くお勧めいたします。

中小企業のセキュリティ課題を解決する「Cloudbric WAF+」

弊社では、企業のWebシステムを守るセキュリティソリューションとして「Cloudbric WAF+（クラウドブリック・ワフ・プラス）」を提供しています。

Cloudbric WAF+は、社内にセキュリティの専門家がいなくても簡単に導入・運用できるセキュリティサービスで、企業のWebセキュリティに必須とされる「WAF」「DDoS対策」「SSL証明」「脅威IP遮断」「悪性Bot遮断」の5つのサービスを、1つのプラットフォーム上で利用することができます。また高いセキュリティ性能だけでなく、専門家ではない人でも使いやすいユーザインターフェースや、分かりやすさを追求した運用レポ―トなども魅力です。

システムの導入は簡単3STEPで完了し、システム規模・環境条件・セキュリティ要件などのニーズに合わせて月々28,000円から柔軟に料金プランを選択できます。

「低価格・高機能・丸投げ可能」なセキュリティ対策として、ぜひ御社でも「Cloudbric WAF+」の導入を検討してみてください。