消費者と事業者の信頼の中心に
2024年8月23日
サイバー攻撃の被害に関する報道が相次いでいます。現在猛威を振るっているランサムウェア攻撃について、警察庁サイバー企画課の資料によれば、令和4年から被害件数が高止まりしており、令和5年の被害について、中小企業の被害が半数を超えています。
令和5年におけるサイバー空間をめぐる脅威の情勢等について(警察庁サイバー企画課 令和6年3月14日)より 図表19,23
また、IPA(情報処理推進機構)による情報セキュリティ10大脅威2024においては、大企業を直接ねらうのではなく、サプライチェーンを構成する中小企業をねらうサプライチェーン攻撃の脅威が2位に順位づけられています。
中小企業であっても、情報セキュリティ対策を適切に実施する必要があります。今回当機構では「増加するサイバー攻撃 中小企業にも求められる情勢把握と対策」と題して無料WEBセミナーの実施を決定しました。
セミナーでは最近のサイバー攻撃の傾向や、その背景にあるビジネス環境と攻撃者側の状況の変化をご説明した上で、まず実施するべき基本的な対策や参考にするべきガイドラインをご紹介します。ぜひお気軽にご利用ください。
▶ 【無料WEBセミナー】増加するサイバー攻撃 中小企業にも求められる情勢把握と対策 詳細、ご予約ページ ◀
中小企業がまず確認するべきガイドラインとして、IPA(情報処理推進機構)による「中小企業の情報セキュリティ対策ガイドライン」があげられるかと思われます。
このガイドラインの本編は経営者向けの「経営者編」と情報システム担当者等の実務者向けの「実践編」に分かれています。対策には経営者によるコミットメントが欠かせないものではありますが、本ブログでは、「実践編」より、どんな規模の企業でも必ず実行するべき重要な5点の対策を挙げさせていただきます。
いずれも一度実施すればよいのものではなく、継続的な実施が欠かせません。すでに実施されているかと思いますが、徹底できていないことも多いかと思います。中小企業もサイバー攻撃の被害を受けるリスクが高まっている今、あらためてご確認ください。
OSやソフトウェアには頻繁に新しい脆弱性(サイバー攻撃で利用される欠陥)が発見されており、脆弱性を放置することは大変危険です。脆弱性が発見されるとソフトウェアの開発元が修正プログラム(パッチ)を開発し、配信します。修正プログラムの通知が届いたら、迅速に適用(パッチ当て)しなければなりません。
同様に、OSやソフトウェアは最新のバージョンを利用する必要があります。開発元のサポートが終了した古いバージョンのソフトウェアは修正プログラムが配信されず、脆弱性が放置されることになります。インターネットに接続しているさまざまな機器を検索できるシステムがあり、攻撃者は古いバージョンのまま使用されている機器等を探すこともできます。
また、新型コロナウイルス感染拡大の影響で急遽テレワークを実施することになった組織も多いかと思いますが、VPN機器のセキュリティ対策が不十分なケースがあったようです。
上述の警察庁の統計では、令和5年に発生したランサムウェア攻撃被害において、感染経路の63%がVPN機器であることが分かっており、最優先で確認するべきと言えます。
令和5年におけるサイバー空間をめぐる脅威の情勢等について(警察庁サイバー企画課 令和6年3月14日)より 図表25
サイバー攻撃の常套手段として、パスワード等による認証を破る不正ログイン(なりすましログイン)があります。特にVPNやリモートデスクトップ、クラウドサービスが普及した現在、インターネットを通じて攻撃者がログインページにアクセスできる場合が増えており、リスクが高まっています。
IDとパスワードによる認証ではなく、多要素認証(特に生体認証の利用)を導入することが望ましいと言えます。
多要素認証の導入が難しい場合、パスワードについて、「必要文字数を増やす」「必要な文字の種類を増やす(大文字、小文字、数字、記号)」「使い回しをしない」といった対策が必要です。
システムの設定でパスワードの登録条件を厳格化することが望まれますが、不可能な場合は組織としてパスワードポリシーを策定し周知するといった対策も考えられます。
ウイルス対策ソフトにはウイルスの検知・無害化、メールフィルタリングといった結果があり、サイバーリスクを低減することができます。少なくとも、無料で使用可能なマイクロソフトディフェンダー等を利用するべきと言えます。
ただし、ウイルス対策ソフトは万能ではないことにはご注意ください。また、ウイルスの検知に必要となるパターンファイルの更新も必要です。
インターネットに接続可能なシステム等において、情報の公開設定や共有設定に誤りがあり、意図せずに無関係な人が情報を閲覧できるような事案が増えています。
典型的には、クラウドストレージサービスにおける共有設定のミスをあげることができるかと思います。多数の従業者が共有設定を変更することができるような場合は、クラウドの利用について適切に従業者教育を実施する必要があります。
サイバー攻撃の手口は常に変化しているため、その時々の手口を知り対策を実施することが求められます。日々の報道におけるサイバー攻撃被害の情報や脆弱性に関する情報を収集することはもちろんですが、IPAが毎年発表している情報セキュリティ10大脅威の確認を推奨します。
情報セキュリティ10大脅威はIPAが選出した脅威候補から、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーが審議・投票を行い決定したものです。
当機構ブログにて情報セキュリティ10大脅威2024であげられた脅威について、過去の順位の推移も掲載しております。合わせてご参考になさってください。
以上となります。無料WEBセミナー「増加するサイバー攻撃 中小企業にも求められる情勢把握と対策」では、上記対策についても丁寧にご説明します。ぜひご利用ください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。