あなたの会社は、サイバー攻撃を受けても大切なデータを守ることができますか?サイバー攻撃を防ぐための対策をとっていますか?サイバー攻撃を受けたときに、どれほどの影響が発生するか考えたことはありますか?本稿では、中小企業がサイバー攻撃を防止するために簡単に取り入れることができる8つの対策をまとめて紹介します。
目次
中小企業の経営者は、セキュリティ対策を計画するときにこれらの質問に回答できるようにしなければなりません。警視庁の調査によると、企業へのランサムウェア攻撃は2019年から2022年にかけて5.4倍に増加しており、標的となった組織の59%が中小企業でした。
つまり、大企業だけではなく、中小企業であってもサイバー攻撃の影響を受ける恐れが十分にあるということです。予防策を速やかに採用しておけば、セキュリティ侵害から組織を守り、万一攻撃を受けた場合でもその被害を軽減できます。
サイバー攻撃の対策方法について詳しく紹介する前にまず、サイバー攻撃とは何かを最初に理解しておきましょう。
サイバー攻撃とは?
ガートナーの定義によると、サイバー攻撃とは企業ネットワークにあるコンピュータシステム、リソース、またはデバイスに不正にアクセスする試みです。サイバー犯罪者は、マルウェア、フィッシング、ランサムウェアなど、さまざまな手法で攻撃を行います。
ハッカーは、メールを送信して銀行口座の詳細情報を提供するように求めたり、ソフトウェアをダウンロードするように提案したりする場合があります。標的となったユーザーがこのような要求に応じてしまうと、ユーザーのデバイスに保存されている情報や認証情報がハッカーに奪われてしまいます。
これらのサイバー脅威を防止するセキュリティ対策を講じていなければ、ランサムウェア攻撃による身代金の支払やビジネスメール詐欺による不正送金などの金銭的損失、特許、企業秘密、研究開発の成果などの機密データの漏洩といったリスクを負う恐れがあります。サイバー攻撃によって甚大な被害を受けて、廃業に追い込まれる廃業に追い込まれるケースも少なくありません。
サイバー攻撃を防止し、このような脅威を回避するために中小企業が講ずることができる8つの簡単な対策を以下に紹介します。これらの対策では、必ずしも新しいテクノロジーを購入する必要はなく、従業員のセキュリティ意識を向上し、内部統制を強化することに重点が置かれています。
1.サイバーセキュリティについて従業員を教育する
従業員のサイバーセキュリティに対する意識の低さは、サイバー攻撃を受ける大きな原因の一つです。サイバー攻撃の手法、攻撃の対象、攻撃を特定する方法を従業員が認識していなければ、ウイルスに感染したファイルをダウンロードするなどの不適切な行動をとってしまう可能性が高くなります。
修復にかかる膨大なコストを避けるためには、従業員にサイバーセキュリティに関する教育を行うことが大切です。従業員にセキュリティ教育を行うことで、さまざまな攻撃を未然に特定でき、適切な予防対策を講じることができます。
従業員へのセキュリティ教育には、以下の内容を含めるようにしてください。
- パスワードと認証:強力なセキュリティコードやパスワードを設定するコツや、多要素認証の利点を理解します。
- モバイルデバイスのセキュリティ:機密データが保存されているモバイルデバイスを悪意のあるアプリから保護する方法を理解します。
- ソーシャルメディアのプライバシー:ソーシャルメディアのプライバシーを適切に管理し、アカウントのハッキングを防止する方法を理解します。
- リモートワークにおける安全な行動:情報漏えいを防ぐための安全なリモートワークの方法を理解します。
- インターネットやメールの利用方法:攻撃が疑われるメール、Webサイト、広告を見分ける方法を理解します。
セキュリティ意識向上トレーニングのすすめ
入社時のオンボーディングで、セキュリティ意識向上トレーニングを開始すると効果的です。インシデントが発生してからトレーニングしても、時すでに遅しです。従業員が重要なシステムやリソースにアクセスする前に、トレーニングを実施しておく必要があります。
体験型学習を取り入れましょう。理論的なセッションを長々と実施しても、従業員に飽きられてしまうでしょう。セキュリティ対策について従業員に関心を持ってもらうために、体験型学習や実践的なトレーニング方法を取り入れましょう。また、セキュリティ意識向上のためのトレーニングソフトを使用することも検討してください。
2.ソフトウェア、システム、デバイスを定期的にアップデートする
開発者は、最新のセキュリティトレンドに対応するセキュリティ機能をソフトウェア、OS、デバイスに実装して、不正アクセスを防止しています。セキュリティシステムが古くなると、サイバー攻撃に対して脆弱となることが多いことから、定期的に更新する必要があります。
攻撃者は常にセキュリティシステムの弱点を探しています。セキュリティアップデートを行っていないと、脆弱性が残ったままとなり、攻撃を受ける恐れがあります。セキュリティシステムを最新の状態で維持していないと、攻撃者が簡単にソフトウェアやシステムに侵入して、情報を窃取できます。
多くのシステムを導入しており、アップデートの管理が難しい場合には、以下のような方法を取り入れることができます。
- ソフトウェアやシステムのアップデートを管理するパッチ管理ツールを導入する。キャプテラのディレクトリでは、いくつかの無料ツールも掲載されていますので、お試しください。
- すべてのソフトウェア、システム、デバイス、Webブラウザの自動アップデートをオンにする。
- FlashやJavaなどのWebブラウザのプラグインを常に最新の状態で維持する。
3.エンドポイントのセキュリティを確保する
エンドポイントとは、企業ネットワーク内で情報を送受信するあらゆるデバイスを指します。モバイルデバイス、デスクトップ、ノートパソコン、スマートフォンなどがエンドポイントに含まれます。エンドポイントのセキュリティ対策では、シークレットコードによる暗号化などの方法が利用されます。デバイスを手動で保護することはできませんが、エンドポイントセキュリティソフトを利用することで、セキュリティを大幅に強化して、侵害を防止できます。
エンドポイントセキュリティソフトは、シークレットコードやシークレットキーを使用してデバイスを暗号化し、不正アクセスから保護します。攻撃者はシークレットコードやシークレットキーを解読できませんので、デバイスに侵入することができなくなります。
また、オンプレミス、データセンター、クラウドなど、資産がある場所に関係なく、さまざまなセキュリティ製品を管理および統合し、多層防御を強化するサイバーセキュリティメッシュと呼ばれる最新のアーキテクチャを利用することもできます。これは、アクセスポイントごとに個別のセキュリティパラメータを設定し、分散している全てのアクセスポイントをセキュリティおよびリスク対応チームが包括的に管理する方法です。
サイバーセキュリティメッシュは、従業員が在宅などのさまざまな場所から多様なデバイスを使用してリソースやシステムにアクセスしているリモートワーク環境に適しています。また、厳格なユーザー検証と認証プロセスを経てアクセスを許可するため、データをさらに安全に保護できます。
4.ウイルス対策とファイアウォールを使用する
ウイルス対策とファイアウォールは、セキュリティを強化する一般的なサイバー攻撃対策の一つです。ウイルス対策ソフトを使用すると、業務で使用しているコンピュータやパソコンからウイルスを検出して除去できます。
また、ファイアウォールソフトを使用すれば、デバイスや企業ネットワークに侵入しようとするウイルスを監視しブロックできます。ファイアウォールは、不正アクセスを防止し、攻撃を早期の段階で防ぐネットワークセキュリティ技術です。MacやWindowsなどの主要なOSには、WindowsファイアウォールやMacファイアウォールという独自のファイアウォールが搭載されています。
5.データをバックアップする
データのバックアップは、サイバーセキュリティにおいて最も軽視されている対策の一つです。適切なバックアップ計画を策定し、実際に復元できることを定期的に検証していないと、大切なデータを喪失し、膨大な損失が発生する恐れがあります。そのため、業務に欠かすことができない重要なデータは、クラウドストレージなどのオンラインストレージだけでなく、外部のハードディスクなどオフラインのストレージにも常にバックアップしておくと良いでしょう。
データを定期的にバックアップする習慣を付けるように、従業員を指導しましょう。バックアップがあれば、万が一サイバー攻撃を受けても、失われたデータを復元して、業務をスムーズに再開できます。
データのバックアッププロセスを管理するときに役に立つヒントを以下に紹介します。
- バックアップソフトを導入する。
- いくつかのストレージプラットフォームといくつかのクラウドベンダーを使用してデータをバックアップする。
- システムおよびリソースのデータの自動バックアップ機能をオンにする。
- データストレージのプラットフォームは、必ずセキュリティキーで暗号化する。
- ストレージプラットフォームからデータを復旧する訓練を行う。復旧までにかかる時間を把握するこのような訓練は攻撃を受けたときに役立ちます。
6.リソースのアクセスコントロールを設定する
関連するチームが必要とするリソースのみにアクセスできる安全なディレクトリを確立する必要があります。例えば、人事部門の担当者は法令遵守関連のデータにアクセスする必要はありません。これらの情報にはアクセスする必要があるのは法務チームだけであり、全従業員に共有する必要はありません。
PAMツールやID管理システムを使用して、従業員と情報を共有する方法を規制および追跡することをお勧めします。システムおよびリソースにアクセスできる許可されたユーザーのリストを作成します。不正なアクセスがあると、ソフトウェアからアラートが発行され、ユーザー権限を速やかに変更または更新でき、セキュリティ侵害を防ぐことができます。
7.アカウントのパスワードを一意にする
単純なログインパスワードは、攻撃者に簡単に推測されます。また、多くの従業員が複数のビジネスアカウントでパスワードを使い回しているため、一つのアカウントのパスワードが漏洩すると、すべてのアカウントが攻撃を受けてしまう危険な状態に陥ります。「複数のアカウントでパスワードを使い回すことにセキュリティ上のリスクはない」と考えている日本人は11.6%しかいませんが、実際、87.6%のユーザーが複数のアカウントでパスワードを使い回していることが調査で明らかになっています。
機密情報を扱うアカウントやリソースには、一意で複雑なログインパスワードを設定するように従業員にアドバイスしましょう。パスワードには文字と数字を組み合わせた複雑で一意な文字列を使用します。また、パスワードを定期的に変更することで、セキュリティを強化できます。
いくつもの複雑なパスワードを覚えておくことは、従業員にとっても大変なことです。パスワード管理ツールは複数のパスワードを記録しておき、必要なときに呼び出すことができます。
ログイン時のセキュリティを向上するためのヒント
多要素認証ソフトを導入すると、セキュリティをさらに強化できます。多要素認証とは、ユーザー名とパスワードの他に、セキュリティキーやプッシュ通知を使って、アクセスしているユーザーの本人確認を行うテクノロジです。多要素認証により、個人情報の窃取を防ぎ、許可されたユーザーのみが企業のシステムやリソースにアクセスできるようになります。
8.ファイル共有やアプリケーションのダウンロードを制限する
ファイル共有やアプリケーションのダウンロードは従業員も業務のために一般的に行っています。そのため、サイバー犯罪者がウイルスを仕込む格好の方法にもなっています。このような操作によって、システムやリソースがウイルスやマルウェアに感染しないように、従業員の行動を制限してください。
Webブラウザなど外部からのファイルやアプリケーションの共有やダウンロードをブロックします。代わりに、自社のクラウドストレージなどの社内プラットフォームでファイルやアプリケーションを利用できるようにします。また、必要なファイルやアプリをあらかじめダウンロードして保存し、全ての従業員がアクセスできる場所で一元的に管理することも可能です。
この目的のために、クラウドストレージソリューションやグループウェアを使用して、従業員が安全にファイルを共有およびダウンロードできるようにすることをお勧めします。また、フィッシング攻撃の多くは、ファイルのダウンロードリンクをクリックさせる手口になっていますので、危険なリンクを見分ける方法も知っておくと良いでしょう。
セキュリティ対策のための複数のアプリケーションやコンピュータ・ネットワークを制御および監視するために最適なIT管理ツールの使用をおすすめします。システム全体のアクティビティの管理に加えて、容量、ユーザー・アクティビティ、ソフトウェアのインベントリとインストール、サーバの可用性、ウイルスやマルウェア対策や評価を行うことができます。