中小企業が把握しておくべきサイバーセキュリティリスクとは? | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > コンサルティング > 中小企業が把握しておくべきサイバーセキュリティリスクとは?

中小企業が把握しておくべきサイバーセキュリティリスクとは?

近年、サイバーセキュリティ(情報セキュリティ)は世界中の企業にとって大きな懸念点となっています。「不正アクセス」や「ランサムウェア」といった言葉がニュースで流れてくることも増えてきました。このようなサイバー攻撃で狙われるのは有名企業や大企業だけだと思われがちですが、実際には中小企業が標的になるケースも多々あります。

 

とはいえ、具体的にはどのようなサイバーセキュリティリスクに警戒が必要なのでしょうか?今回の記事では、一般的な業務やクラウドサービスに関わるリスク、委託先管理に関するリスクなど、いくつかのカテゴリーに分けてさまざまなリスクを紹介し、対策実施のポイントについても説明します。

目次

1,中小企業でもリスク対策は必要

2,リスクの具体例

日常的な業務に関わるリスク

クラウドサービスに関わるリスク

テレワークに関わるリスク

委託先に関わるリスク(サードパーティーリスク)

3,リスク対策の実施

自社のみで実施するのは大変?

セキュリティコンサルティングサービスの利用

4,最後に

 

中小企業でもリスク対策は必要

サイバー攻撃の標的になるのは、大企業だけではありません。中小企業も被害に遭うリスクがあります。経済産業省が2020年度に実施した事業「中小企業向けサイバーセキュリティ対策支援体制構築事業」では、参加した中小企業1,117社にセキュリティ機器を設置したところ、ほとんどの企業で不正アクセスの試みや不正プログラムへの感染、フィッシングサイトへのアクセスなど、何らかの脅威・攻撃が検知されました(※)。このことから、攻撃者が中小企業をも攻撃対象であるとみなしていることがわかります。したがって、「いつ攻撃を受けてもおかしくない」という前提のもと、対策を行う必要があります。

 

※参考:日本政策金融公庫調査月報2「中小企業におけるサイバーセキュリティ対策の現状と課題」

 

また、以下に該当する企業は特に、インシデント(セキュリティ事故)が発生した場合のリスクが大きいため、確実に対策を実施しなければなりません。

 

・大手企業を顧客とするB2B企業(特にクラウドサービスで事業を展開している企業)

・エンドユーザーの個人情報や金融決済情報を取り扱うB2C企業

・IPOを検討している企業

 

リスクの具体例

以下では、中小企業が把握しておくべき主なサイバーセキュリティリスクを、次の4つのカテゴリーごとに紹介します。

 

✔️日常的な業務に関わるリスク

✔️クラウドサービスに関わるリスク

✔️テレワークに関わるリスク

✔️委託先管理に関わるリスク(サードパーティーリスク)

 

日常的な業務に関わるリスク

まずは、日常的な業務の中に潜むリスクを紹介します。特にEメールはサイバー犯罪者に悪用されることが多いため、どのようなリスクがあるのかを把握して対策につなげることが非常に大切です。

メールからのランサムウェア感染リスク

従業員が不審なメールの添付ファイルやメール本文中のリンクを開くことで、ランサムウェアに感染してしまう場合があります。

標的型攻撃を受けるリスク

業務関連の連絡に見せかけたメールの添付ファイルや本文中のリンクからマルウェアに感染させ、機密性の高い情報を盗み取る攻撃です。メールのやり取りを複数回行って油断させる手口が使われることがあります(やり取り型攻撃)。

ビジネスメール詐欺に遭うリスク

取引先や経営者になりすますなど、巧妙な騙しの手口を駆使して偽のメールを企業に送り付け、従業員を騙して資金を詐取する等の金銭被害をもたらすサイバー攻撃です。従業員のメールアカウントが窃取されて利用されるケースもあります。

不注意による情報漏洩リスク

メールの誤送信やファイルの公開設定の不備、USBメモリの紛失など、従業員の不注意が原因で情報が漏洩してしまうことがあります。

 

クラウドサービスに関わるリスク

テレワーク・在宅勤務の拡大も相まって、企業のクラウド利用の比率は近年高まっており、これに伴うセキュリティリスクも増えています。クラウド導入後の対策も重要ですが、導入前の段階で、以下のようなリスクを考慮して慎重に選定を行うことも求められます。

保存されていたデータが失われるリスク

クラウドサービスプロバイダーが誤ってデータを削除してしまう、地震や火災などの物理的災害でハードウェアが破損する、といった理由で、クラウド上に保存されていたデータが失われてしまうことがあり得ます。

ユーザーのクレデンシャル(認証情報)が盗まれ、悪用されるリスク

クラウド認証情報を入手した攻撃者は、クラウドサービスプロバイダーのサービスにアクセスし、企業の資産を狙うことができるようになります。

シャドーITが侵害されるリスク

従業員がIT部門から承認されていないクラウドサービス(=シャドーIT)を独断で利用している可能性があります。こういったシャドーITには企業の監視の目が行き届いていないため、簡単に不正利用されやすく、侵害されてしまう恐れがあります。

クラウドサービスプロバイダーのサプライチェーンが侵害されるリスク

クラウドサービスプロバイダーは、インフラや運用、メンテナンスなどを、外部に委託している場合があります。この委託先(サードパーティー)が十分なセキュリティ要件を満たしていない場合、サービス利用企業にとってのセキュリティ上のリスクは増大することになります。

 

関連記事:「クラウドサービスを利用する企業が取るべきセキュリティ対策とは?」

 

テレワークに関わるリスク

テレワークにおいては、オフィス勤務時とは異なる条件下で業務を行うことになるため、テレワークならではのリスクが生じる場合があります。以下では、テレワーク用機器(端末)に関連するものとテレワーク環境に関連するものに分けて、主要なリスクを表にまとめました。

テレワーク用機器(端末)に関連するリスク

リスク内容
紛失・盗難テレワークやハイブリッド勤務の環境においては、機器を持ち運ぶことが増えるため、紛失したり盗まれたりするリスクもその分高まります。
マルウェア感染テレワーカーが、私用PCなどの最新のウイルス対策ソフトウェアが導入されていない機器を使用する場合、マルウェア感染のリスクが高まります。
不正アクセスOSやアプリケーションに最新のセキュリティアップデートを適用していない場合、製品の脆弱性を利用した不正アクセスを受けるリスクが増大します。
セキュリティ対策の実施漏れどの機器やアプリケーションをどの従業員が利用しているのかを把握できていない場合、各種セキュリティ対策が施されていない機器をテレワーカーが利用していた、などという事態が起こり得ます。
なりすまし・不正アクセス従業員が利用する機器のアカウントや、テレワークで利用するシステムのアカウントのパスワードが、破られやすい容易なものに設定されている場合、悪意ある第三者にパスワードが把握されやすくなり、なりすましによる不正アクセスが行われるリスクが増大します。

(​​総務省「中小企業等担当者向けテレワークセキュリティの手引き」を参考に作成)

 

テレワークの作業環境に関連するリスク

リスク内容
オンライン会議での盗聴・情報漏洩会議参加のためのURLやパスワードが、必要ないユーザーに知られてしまい、不適切なユーザーが会議を盗聴したり、会話内容から不正に情報を得たりする可能性があります。
のぞき見(ショルダーハッキング)オフィス環境に比べて、家族などの業務と関係ない人物からテレワーク用機器をのぞき見されやすいです。
不正アクセス自宅に設置するWi-Fiルーター等のネットワーク機器を、メーカーによるサポート切れの状態やファームウェアが古い状態で利用している場合、ファームウェアの脆弱性を狙った攻撃による不正アクセスが行われる危険があります。
マルウェア感染VPN機器やリモートデスクトップがマルウェアやランサムウェアの感染経路となる場合があります。
通信内容の漏洩・盗聴Wi-Fiを利用したり、自宅外でテレワークを行ったりするときに、通信内容が暗号化されていない場合、悪意ある第三者が通信を傍受し、情報が漏洩するリスクがあります。

(​​総務省「中小企業等担当者向けテレワークセキュリティの手引き」を参考に作成)

 

委託先に関わるリスク(サードパーティーリスク)

企業は、自社内で生じたインシデントだけでなく、委託先などで生じた事案に関しても選定責任や管理監督責任を問われます。また、サプライチェーン攻撃(※)の被害は近年増加しており、IPAの「情報セキュリティ10大脅威 2022」(組織編)で3位に入るなど、リスクの見直しが求められている状況です。したがって、慎重な委託先選定を行うためにも、どのようなリスクがあるのかを把握しておく必要があります。

 

※サプライチェーン攻撃:サプライチェーン(商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群)の中でセキュリティ対策が手薄な関連組織や利用サービスの脆弱性等を最初の標的とし、そこを踏み台として本命の標的である組織を狙う攻撃のこと。(参考:IPA「情報セキュリティ10大脅威 2022」

取引先や委託先が保有していた自社に関連する情報が漏洩するリスク

取引先や委託先のセキュリティが脆弱だと、そこでサイバー攻撃被害などのインシデントが発生する可能性があります。その結果、取引先/委託先が関連業務のために保有していた自社の情報や、自社と関連のある情報が窃取されたり漏洩したりするリスクがあります。

ソフトウェアの開発元などへの攻撃が、自社への攻撃につながるリスク

ソフトウェアの開発元やサービス提供元、企業システムの運用・監視等を請け負う事業者(MSP)などが攻撃されることで生じるリスクです。これらの事業者から提供されているソフトウェアアップデートに、攻撃者がマルウェアを仕込むことがあります。その後、自社でこのアップデートを適用してしまうとマルウェアに感染し、攻撃者の侵入を許してしまう恐れがあるのです。

 

関連記事:「サプライチェーン攻撃の事例から学ぶセキュリティ見直しポイント」

 

リスク対策の実施

自社のみで実施するのは大変?

上記のような一般的なリスクに関しては、IPAなど政府関連組織のサイトや民間セキュリティ企業のサイト、書籍、各種セミナーといった、さまざまな情報源から対策法を学ぶことが可能です。ただ、ここで紹介したリスクはあくまで無限に存在するリスクの一部であり、抜け目なく徹底的に対策を行うためには、自社ならではのリスクの洗い出し(特定)を行わなければなりません。リスクは、事業内容や取り扱う情報、職場環境、ITの利用状況などによって異なる場合があるからです。

 

リスクを特定するためには、所有する情報資産1つ1つについてどのようなリスクがあるのかを確認する作業が必要になります。そして、リスクのある情報資産に関しては、被害が発生した場合の影響度合い、発生し得る頻度、復旧に要する時間などについて評価し、対策を決めていくことになります。

 

こういった工程には時間も手間もかかる上、専門的な知識が必要になる場面も多くなるため、自社のみで徹底したリスクマネジメント(特定、分析、評価から対策までの一連のプロセス)を実施するのはなかなか大変かもしれません。

セキュリティコンサルティングサービスの利用

自社のみでリスクを洗い出すのが難しい場合やセキュリティに詳しい社員がいないといった場合には、セキュリティコンサルティングサービスの利用をお勧めします。専門的な知識を持つコンサルタントに依頼すれば、現状を確認した上で、自社に合ったやり方で問題点やリスクを洗い出し、必要な対策を指示してくれます。

 

また、ある程度のセキュリティ体制が整っていて自社のみでリスクマネジメントを実施できるという場合でも、セキュリティ顧問などのサービスを利用すれば、何か問題が生じたり困ったりした際、すぐに専門家に相談することができます。

 

マキナレコードのコンサルティングサービス

弊社マキナレコードでも、セキュリティの問題点やリスクの洗い出しから対策の検討までを支援する「Fit&Gap」というサービスを提供しています。お客様の組織のセキュリティ状況をしっかりと分析し、本当に必要な対策・支援を予算や現状に沿ったやり方で提案いたします。

 

このほかにも、規程・ガイドライン策定支援や従業員教育、ISMSやPマークなどの認証取得支援など幅広い支援サービスがございます。詳しくは、弊社のホームページをご覧ください。

 

最後に

ここまで見てきた通り、中小企業を取り巻くサイバーセキュリティリスクは多様です。上記のような一般的なリスクに対してしっかりと対策を講じた上で、自社独自のリスクの洗い出しも行いましょう。何から始めればいいのかわからないといった場合には、コンサルサービスの利用も検討してみてください。