サイバー攻撃が年々急増し、その手口は高度化、巧妙化しています。最近の傾向を見ると、大企業本体だけでなく、サプライチェーン全体を標的にするケースが目立ち、セキュリティレベルの低い小規模企業こそ、サイバー攻撃の標的になるリスクが高まっています。企業をサイバー攻撃から守るために、どのような対策をすればいいのでしょうか。

大きな被害を及ぼすサプライチェーンへの攻撃

サプライチェーンへのサイバー攻撃が大きな被害を及ぼすことを再認識したのが、3月に発生した日本を代表する大企業・トヨタ自動車が、一時的に生産停止に追い込まれたサイバー攻撃事件です。

不正アクセスによってシステム障害が発生したトヨタ自動車の仕入れ先・小島プレス工業の調査報告書によると、不正アクセスの原因は「リモート接続のための機器に存在した脆弱性」としています。

企業へのサイバー攻撃といえば、顧客情報や機密情報を盗み出すものから、システムに侵入して操作ができなくなるように勝手にデータを暗号化し、制限を解除するために身代金を要求するのがサイバー犯罪の代表的手口といえるでしょう。

ターゲットはセキュリティ対策の甘い小規模企業

身代金要求のサイバー攻撃であれば、資金力のある大企業が狙われると思うのが一般的な認識です。しかし、トヨタのサプライチェーンへのサイバー攻撃は、企業規模にかかわらず、甘いセキュリティ対策の企業がターゲットになる可能性が高いことを示しています。

「うちは名もなき小さな会社だから」と、これまでのようにのんびりと構えているわけにはいきません。サイバー攻撃による被害が、顧客や取引先に及ぶこともあるため、被害の程度によっては、事業存続が困難になることも想定しておかなければなりません。

つまり、小規模企業こそ、セキュリティ対策に積極的に取り組むことが重要です。しかし、セキュリティ対策の重要性を認識しつつも、具体的に何をどのようにすべきか、何から手をつけるべきかがわからない、という小規模事業者も多いのではないでしょうか。

ウイルス対策ソフトやファイアウォールだけでは守れない

セキュリティ対策といえば、ウイルス対策ソフトやファイアウォールなどが真っ先に思い浮かびます。しかし、これだけでは、手口が高度化・巧妙化しているサイバー攻撃から、会社を守ることはできません。

基本的なセキュリティを施すことはもちろんですが、注目すべきは小島プレス工業の調査報告書に「リモート接続のための機器に存在した脆弱性」が、不正アクセスの原因としている点です。

とくに、コロナ禍で急遽テレワークを導入した企業や、会社間ネットワークでVPNを利用している企業は要注意です。VPNの脆弱性を狙ったサイバー攻撃が増加しており、脆弱性情報を確認して対策を講じる必要があります。

アカウント管理の見直しが必要

アカウント管理の見直しも必要です。テレワークのために、すべてのネットワークやサーバーにアクセスできるようになっていませんか?
また、退職や異動した社員のアカウントはどのように管理されていますか?

サイバー攻撃者は、フィッシングなど、さまざまな方法で正規のアカウントとパスワードを盗もうとしています。正規のアカウントを使ってのアクセスなら、不正アクセスかどうかを検知することは難しくなりますので、アカウントの管理は直ちに見直しましょう。

有効なセキュリティ対策を講じるためには、サイバー攻撃の被害や手口の最新情報を収集することも大切です。経済産業省の情報処理推進機構(IPA)、内閣サイバーセキュリティセンター(NISC)などを活用することや、サイバーセキュリティ基本法についても、再確認しておくことが、サイバー攻撃から会社を守ることにつながります。

まとめ

セキュリティ対策がなかなか進まない要因としの一つに、人材不足が挙げられています。たしかにITに詳しい人材を確保することは、小規模企業にとっては、人件費が大きな負担となります。もし、費用負担と人材不足が原因でセキュリティ対策に取り組めないとすれば、アウトソーシングを利用するという方法もあるでしょう。いずれにしても、サイバー攻撃のリスクが高まっている今、自社のセキュリティ対策を見直してみましょう。