サイバーセキュリティというと、大企業や政府機関を標的にした派手な攻撃が注目されがちですが、実は中小企業や小規模事業者も深刻なリスクにさらされています。さらに重要なのは、一社のセキュリティ不備が取引先全体に波及する可能性が高いことです。
これは、空き巣被害と状況が似ています。一戸建て住宅が密集する地域で一軒だけ防犯対策が不十分な家があれば、その家を足がかりに周辺の住宅にも空き巣被害が広がることがあります。普段から馴染みはあるけれども、さすがに自分たちの管理と他人の管理が関係するなんてないだろうと思っていても、実際に一度だけでも悪影響を与えるようなことがあると、信頼関係は崩れますよね。
サイバーセキュリティも何事もなければ、あまりその対策がどう効果的かというのはわかりにくいものですが、いざ被害にあったときに、被害がないに越したことはないですが、サプライチェーンに影響が生じないように、もしくは生じたとしても、「そこまで対策をしていたのであれば仕方ないですね…」と思ってもらえるような、日常的な対策は必要です。
実際、本格的に狙いを定められてしまったら、どうやっても防ぎきれないものもあります。ただ、そんな状況でもどれだけ対策をしていたかというところは、被害に遭ったときの心証が変わってきます。
サプライチェーンを通じた被害事例
このような取引先を踏み台に、別の取引先を狙うような攻撃をサプライチェーン攻撃ともいいますが、被害事例も含めて、以下のサイトがわかりやすいのでご一読ください。
TD SYNNEX BLOG
サプライチェーン攻撃の被害事例と対策の紹介。攻撃手口を分類別に解説 – TD SYNNEX BLOG
近年、サイバー犯罪者によるサプライチェーンを狙った攻撃が頻発し、その脅威が増しています。セキュリティ対策に隙のある中小企業が標的となり、サプライチェーンでつなが...
中小企業のセキュリティ意識も全般的に上昇傾向にはありますが、まだまだ「うちは狙われない」という潜在意識がある経営者も多く、予算が組めないというご相談をいただくこともあります。しかし、攻撃者にとって脆弱性を抱えた中小企業は、「踏み台」として価値が出てきてしまいます。
身近なセキュリティリスク10選
本記事では、中小企業・小規模事業者が意外と見落としがちな身近なセキュリティリスク10項目を挙げてみました。踏み台という意味では、あまり高すぎる踏み台を踏み台にしたいとは、攻撃者も思いません。この踏み台を少しでも高い、登りづらい踏み台にするためには、身近なセキュリティリスクを最小限にしていく努力は非常に意味があります。
1. クラウドサービスの設定ミス
- 危険性
-
便利なクラウドストレージやサービスを導入したものの、適切に設定せず「誰でも閲覧可能」状態になっていることがあります。これにより、機密情報が意図せず公開されるリスクがあります。おそらくは「保存」ボタンを押し忘れて、設定が反映されていなかった状態が長く続いていたという事例も、私が知る事例としてありました。
- 推奨する対策
-
- クラウドサービスの共有設定を定期的に確認する
- 最小権限の原則(無用な権限は与えない)に基づいたアクセス権の設定
- クラウドサービス利用に関するガイドラインの作成
- コメント
-
これはあるあるですね。定期的に確認するしかないと思います。あまり人の異動がない会社であれば、初期設定ミス以外はあまり起きないのですが、異動が多い会社だと結構発生する事案です。
2. 使用していないアプリケーションやサービス
- 危険性
-
過去に使用していたが、現在は使われていないアプリケーションやクラウドサービスのアカウントが、そのまま放置されていることがあり、これは悪用リスクにつながります。特に前者の場合は、定期的な更新やパッチ適用がされないため、セキュリティホールとなることがあります。
- 推奨する対策
-
- 定期的なIT資産棚卸しの実施
- 不要なサービスやアカウントの削除
- 使用中のサービスの定期的な更新確認
- コメント
-
全部を追い切れないというのが実情という会社もあります。以前、某会社から、これに類するものを、従業員からヒヤリングをして探索して、消せるだけ消してくれという依頼がありました。従業員にこつこつヒヤリングして、利用していたであろうメールアカウントを時限的に転送専用アドレスとして復活させて、一つひとつ削除していくという地道な作業でした。それでもすべて消せたかわかりませんが、案外見つかるものだなと思ったものです。嫌いじゃないので楽しかったですけど。
3. バックアップデータの検証不足
- 危険性
-
多くの企業がバックアップを取得していますが、そのバックアップが実際に機能するかを検証していないケースが多いです。ランサムウェア攻撃などの際に、復旧できないという事態に陥る可能性があります。
- 推奨する対策
-
- 定期的なバックアップ復元テストの実施(特にバックアップソフトのメジャーバージョンアップ時や変更時)
- オフラインバックアップの保管
- バックアップ手順のマニュアル化とトレーニング
- コメント
-
復元テストって結構面倒なんです…だからやりたくない気持ちはわかるんですが、やっておいたほうがいいです。絶対に。
4. シャドーITの存在
- 危険性
-
部門単位や従業員個々が、会社のICT関連所管部門の許可なく、個人的に導入したクラウドサービスやアプリ(シャドーIT)は、所管部門の管理外で使用されるため、セキュリティリスクとなります。
- 推奨する対策
-
- 従業員への啓発活動
- 代替となる安全なツールの提供
- クラウドアクセスセキュリティブローカー(CASB)の導入検討(まぁまぁいい値段するので、一定規模以上でのみ推奨)
- コメント
-
ICT関連所管部門に申請しても、なかなか許可が下りなくて仕方なく…なんて話もよく耳にします。シャドーITの存在は、結局ICT所管部門のコミュニケーション力欠如が生み出す事例も少なくないと思っています。なぜその部門は必要としているのか、その費用は合理的なのかという話を、IT部門側が一方的に決めるのではなく、きちんと対話をして決めたらどうかと思うことは多々あります。
5. 取引先や委託先のセキュリティ管理
- 危険性
-
自社のセキュリティ対策が万全でも、データを共有する取引先や業務委託先のセキュリティが脆弱だと、そこからの侵入や情報漏洩のリスクがあります。
- 推奨する対策
-
- 取引先とのセキュリティ状況の共有(特にシステム連携しているところ)
- 委託契約におけるセキュリティ要件の明確化
- 情報共有時の暗号化の徹底など、情報のやり取りルートの明確化
- コメント
-
「おたくのセキュリティ対策の状況教えてや」なんて聞いても、ウソ言われることも少なくないです。ウソというと聞こえが悪いですが、セキュリティチェックシートにとりあえずチェックしましたってな感じで、共有することもあります。現実には、正しく共有というのは難しいですが、特に自社が影響を受けそうな、かつ、この会社はセキュリティ意識が危ういと思うところとは、積極的に共有を仕掛けた方がいいです。それだけでも、いざ巻き込まれたときの免罪符にはなります。
6. 古いネットワーク機器の放置
- 危険性
-
長年使用しているルータやスイッチなどのネットワーク機器は、メーカーのサポートが終了しているにも関わらず使用され続けていることが多いです。一見、利用上の違和感を覚えないことも多く、しかも、工事になることも少なくないので。ですが、これらの機器はセキュリティアップデートが提供されないため、危険です。
- 推奨する対策
-
- ネットワーク機器の定期的な棚卸しと更新計画
- メーカーサポート期間の確認
- 後継機種への計画的な移行
- コメント
-
ガスファンヒーターが火を噴く可能性があると、これでもかというくらいWeb広告が流れたりしますが、ネットワーク機器はそこまでのWeb広告が流れることはないですね。なので、使い続けられるかぎり使い続けてしまうというのが現状です。個人的には、これが実は一番管理が難しいと思っているんですが…どうでしょう。
7. IoT機器のセキュリティ管理
- 危険性
-
オフィスのスマートデバイス(監視カメラ、スマートスピーカー、プリンタなど)は、設定時にデフォルトのパスワードのまま使用されていたり、ファームウェアの更新もおこなわれていなかったりと、案外セキュリティホールになっていることもあります。侵入経路となりやすいです。
- 推奨する対策
-
- IoT機器の管理台帳作成
- デフォルトパスワードの変更
- 定期的なファームウェア更新
- IoT機器専用のネットワークセグメント作成
- コメント
-
そもそも電源も外れたまま放置されているなんていうIoT機器もあったりしますが…それはそれで安全ですけど。ただ古いまま「使えているんだからいいじゃん」っていう方は多いです。それを若手が苦々しく見ているなんて構図も結構あります。
8. 退職者アカウントの放置
- 危険性
-
従業員が退職した後も、そのアカウントや権限が削除されず残っていることがあります。これらの使われていないアカウントは、不正アクセスの経路となる可能性があります。大企業の場合、退職と同時にメールアドレスを使用できなくする企業が大半ですが、中小企業の場合、1年くらいは残しておこうと考えて、残してあげたりするのですが、そのまま削除を忘れてしまうなんて事例もあります。これが危険を生みます。
- 推奨する対策
-
- 退職プロセスにおけるIT資産回収とアカウント削除手順の明確化
- 定期的なアクセス権限の棚卸し
- 共有アカウントの使用制限とパスワード変更ルールの徹底
- コメント
-
中小企業は、特に定年退職者に対してはアカウントを残してあげようとすることが多いです。だいたい、会社メールでプライベートなやりとりをしている方も多いので。気持ちはわかるのですが、せめて転送専用にすると良いでしょう。送信にその会社のメールアドレスを使わせることは避けた方がいいです。どうしても、残してあげるのであれば、期限は区切るべきです。
9. セキュリティ意識の地域・世代格差
- 危険性
-
日本の中小企業では、経営者や従業員の年齢層や地域によって、セキュリティに対する意識や知識に大きな差があります。このギャップが、対策の遅れや不十分な投資につながっています。
- 推奨する対策
-
- 経営者向けのセキュリティ啓発プログラム
- 世代間でのセキュリティ知識共有の促進
- 予算に対する認識の共通化
- コメント
-
私もこの仕事を16年やっていますが、ずっとセキュリティリスクに侵されていない人は、意識は低いなぁとは思います。それはそれで幸せなことだとは思います。いまだに「オレは運が良いから、そういうものは寄せ付けない」と本気でおっしゃる経営者もおられます…まぁ、本当に寄せ付けていないんですが、いまのところは。
10. 従業員の私物デバイス利用(BYOD)の管理不足
- 危険性
-
業種にも依りますが、中小企業では、コスト削減のために従業員の私物スマートフォンやノートPCの業務利用(BYOD: Bring Your Own Device)を許可しているところも少なくありません。しかし、これらのデバイスの利用は会社に登録されていたとしても、システム的に会社の管理下にないため、セキュリティリスクとなることも少なくありません。少なくとも項目4で挙げたシャドーITは満載な状態になります。
- 推奨する対策
-
- 私物デバイス用のセキュリティポリシーの策定と定期的なチェック
- デバイス管理ツール(MDM)の導入
- 業務データと個人データの分離を可能にするコンテナ化技術の活用
- コメント
-
BYODはどうしてもプライバシーに関与されている感が生まれるので、会社が負担を減らすために、BYODを原則にすることは避けた方が良いでしょう。
まとめ
いかがでしょうか。上記に挙げた以外にも最近だと、生成AIの適切な利活用の確認というのもあると思います。本文の出だしからすると、結構大がかりなものをイメージされたかもしれませんが、案外身近な対策ばかりと思った方も多いのではないでしょうか。これらの対策において、「うちは大丈夫だろう」と思い込まず、チェック対象項目も含めて定期的にチェックすることが大切です。何かの拍子にセキュリティ設定が変わっていることも少なくありません。そういう意味では、身近だけれども見落としがちなものでもあります(やっとタイトル回収…)。
セキュリティ対策は、もはや事業継続のための必須投資であることはいうまでもなく、まずは自社の現状を把握し、優先度の高いリスクから対策を進めていくことをお勧めします。「うちは大丈夫」という思い込みこそが、最大のセキュリティリスクだと私は思います。
コメント