うちは中小企業だから大丈夫。
うちは重要なデータはないから大丈夫。
そのように考えている経営者は少なくなってきたとは思いますが、セキュリティ対策は進んでいるかというとそうではないのが実情です。サイバー攻撃に遭うのは仕方ないにしても、どれだけ対策をして、被害を最小限に抑える努力をしているかは重要な経営施策といえます。
「セキュリティ対策はしていますか?」と尋ねると大抵の答えが
「うちはPCをお願いしている会社に任せています。」「システムベンダーが見てくれています。」という回答です。
このベンダーは御社がセキュリティ被害に遭った時にどれだけ責任を持ってくれるのか考えたことはありますでしょうか。おそらく被害後に新しいセキュリティソフトいれましょう、UTMを導入しましょう、で終わってしまうことが想像されます。
では、自社で何ができるのか。以下に最低限やっておくべきセキュリティ対策を記載してみます。
セキュリティ対策にはキリがないと言われます。守る側は一つの穴も許されませんが、攻撃側はたった一つ穴を見つければいいからです。完璧なセキュリティ対策を考えるとお金も人もどれだけあっても足りません。
では、どうすればよいか。
自社の情報資産を可視化し、優先順位をつけて対策することが重要です。またサイバー攻撃の中でも最も事業に与える影響が大きいランサムウェア対策を重点的に講じることも重要だと考えます。
このランサムウェア攻撃にはある傾向があります。
上記の図のように令和4年下期をピークに高止まりが続いています。また、企業規模や業種に関係なくランサムウェア被害に遭っていることがわかります。また侵入経路を見ると
1.VPN機器からの侵入
2.リモートデスクトップからの侵入
3.メールや添付ファイルからの感染
4.その他
と、ある程度の感染に至る傾向が見られます。
逆に言うと、上記の侵入経路の対策ができれば可能な限りランサムウェアの被害を回避することができるということです。
ここでは、3つの攻撃パターンへの対策を記します。
VPN機器からの侵入は、認証情報の流出が一番の原因になっています。いわゆるアップデートされず、ログイン情報が漏れた状態になっている脆弱性を狙った攻撃です。
以上のことさえ気をつけておけば、ランサムウェアの被害は回避できる確率があがります。
リモートワークが増え、社外からのファイルへのアクセスにNASサーバーを利用する企業も増えています。
ここもVPN機器の対策と同じです。
メールの開封は人がすることです。ここでは人に関する対策が重要になってきます。
このように日頃から従業員等へ意識付けをすることが非常に大事です。
前項で無料の対策を記しましたが、人が関わるメールや高度なサイバー攻撃には対処できない場合も当然あります。人の不注意や攻撃の進化は完璧には防ぐことはできないからです。
ここでは2つの対策をお薦めします。
EDRについての詳細はこちらで説明していますが、セキュリティの専門家による検知・運用・対応のアウトソーシングサービスで、万一不用意にメールを開封してしまった場合でも、直前で監視アナリストが食い止めてくれます。また、高度なサイバー攻撃に遭い感染してしまった場合でも、タイムリーに感染の事実を把握できるため、被害を最小限に食い止めることができます。
非常に安価で、人材不足にも対応する中小企業には強い味方だと考えます。
サイバー保険はサイバー攻撃や情報漏洩による賠償や費用を補償してくれる保険です。
サイバー事故に遭った際、原因調査や外部対応等に非常に金銭がかかることはあまり知られておりませんが、例を挙げるとPC1台の詳細調査には100万〜200万円以上かかるケースも見られます。速やかに感染の事実を把握できたとしても、その調査へのお金の捻出で苦労してしまえば、せっかくの対策も活きません。
信頼できる保険代理店に一度話を聞いてみてはいかがでしょうか。
以上、有償、無償の対策について述べてきましたが、無理をせずに対策の優先順位をつけ、できることから始めることが重要です。最悪なのは何もせず放っておくことで、被害に遭ってからではすでに手遅れです。サイバー攻撃は、自然災害や感染症と並ぶ、企業にとって大きなリスクになっています。何から始めてよいかわからない場合もお気軽にお問合せ下さい。
サイバー攻撃は「もし来たら」ではなくて、「いつ来ても」という心構えが肝心です。