組織体制と社員のリテラシーでセキュリティを実現

中小企業のためのサイバーセキュリティ対策セミナー

ISICOは12月8日、サイバーセキュリティ対策セミナーをオンライン開催し、県内企業の経営者やIT担当者ら約30人が参加しました。当日は情報処理安全確保支援士で宮永セキュアコンサル代表の宮永博文氏が、サイバーセキュリティのポイントについて解説しました。セミナーの内容をダイジェストで紹介します。​​

機密性、完全性、可用性の確保が重要

宮永セキュアコンサル代表
宮永 博文氏
（情報処理安全確保支援士/IPAセキュリティプレゼンター/ITコーディネータ）

　現在、サイバー攻撃が右肩上がりで増え続けています。JPCERTコーディネーションセンター(※１)に報告されたインシデント件数を見ると、2018年は16,398件でしたが、23年9月末時点では55,000件を突破しています。
　こうしたサイバー攻撃の標的は会社経営に影響する重要な情報です。具体的には財務や製造、設計のノウハウ、特許などの知的財産、取引先などの営業情報、社員の個人情報などが該当します。
　これらの情報を守るためにセキュリティ対策が必要で、その考え方はいわゆるCIAに基づきます。CIAとは、Confidentiality（機密性）、Integrity（完全性）、Availability（可用性）を確保することです。つまり、許可された人（機密性）が正しいデータ（完全性）に対して、いつでも利用できる環境(可用性)を維持するために情報セキュリティ対策を施すことが大切です。
　中小企業の場合、このセキュリティが維持できないケースは大きく3つに分けられます。１つ目は社外からの攻撃で、これはサイバー攻撃が該当します。２つ目は社員のふるまいで、うっかりミスや個人的な妥協、意図的な犯行なども含まれます。３つ目が自然災害や物理的破損です。ここでは、１つ目と２つ目の事例について解説します。

企業の規模に関わらず被害も損害も甚大

　情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2023（組織）」によると、トップ3は1位がランサムウェアによる被害、２位がサプライチェーンの弱点を悪用した攻撃、３位が標的型攻撃による機密情報の窃取でした。
　ランサムウェアとは、パソコンやサーバー上のデータを暗号化して使えないようにし、データの復旧と引き換えに身代金を要求するマルウェア(※2)です。
　ランサムウェアには事前対策が重要です。オンラインだけでなくオフラインでも定期的にバックアップを取り、OS、プログラム、セキュリティソフトの定義ファイルを最新状態に保つようにしてください。サイバー保険への加入、被害発生時の連絡網の整備と演習、身代金支払いの意思決定ポリシーなども事前に検討しておくべきでしょう。なお、個人的に身代金を払うべきではないと考えますが、そこは経営者の判断です。
　サプライチェーン攻撃は、ターゲットが大手企業で正面突破が難しいため、セキュリティ対策が手薄な取引先を経由する攻撃です。有名なのが22年3月に起きた大手自動車メーカーの事例です。
　実際に攻撃を受けたのは、内外装部品を担当する協力会社でしたが、部品の受発注システムが使えなくなったため、攻撃が発覚した翌日に海外を含めグループ全工場の操業を停止しました。翌々日には再稼働しましたが、1日だけで13,000台の生産に影響が出ました。
　標的型攻撃ではEmotet(エモテット)ウイルスが猛威を振るいました。Emotetはメールの添付ファイルや本文に表示されたURLから感染し、気づかないうちにEmotetウイルス自身をメールで送信してしまいます。
　Emotetが厄介なのは、過去にやりとりした実在のメールからアドレス・標題・本文を引用して、正規のメールを装うことです。
　一旦感染すると、アドレス帳にある宛先へ同様のメールを勝手に送りつけます。Emotetへの対策は、メールに少しでも違和感があれば添付ファイルやリンクを開かないことです。業務上どうしても開く必要がある場合は、送信元にメールを送ったか電話で確認してからにしてください。

社員のふるまいやWi-Fiにも注意が必要

　社員のふるまいによるセキュリティ事故も見逃せません。よくあるのがうっかりミスで、一番多い事例がパソコンの盗難・紛失です。
　簡単なパスワードの設定と使い回しにも気を付けましょう。生年月日や「111111」「abcdef」などは簡単に推測できます。業務画面をそのままにして離席すれば、権限のない人が重要情報を目にすることになります。
　こうしたうっかりミスをゼロにすることは不可能ですが、対策がないわけではありません。例えば、5S活動やチェックリストの活用、時間に余裕を持った業務の遂行などが効果的です。端末持ち出しの厳重管理、パスワードの文字量・複雑さの徹底、離席時の自動スクリーンセーバーなども有効でしょう。
　気に入ったソフトやクラウドサービスを業務用パソコンで許可なく利用することや、業務と無関係なウェブページやSNSへのアクセス、安全が確認されていないUSBメモリの利用などは、マルウェアなどの攻撃を受けるリスクを高めます。
　また、フリーWi-Fiの利用にも注意が必要です。フリーWi-Fiは通信を暗号化していないケースが多く、同じWi-Fiに接続している第三者が通信内容をのぞき見ることはそれほど難しくありません。駅構内やコーヒーチェーン店等のフリーWi-Fiは暗号化されていない場合があるので注意が必要です。

攻撃されやすいルーター 対策は一歩ずつ

　ネットワーク機器のセキュリティ対策も考えなければなりません。社内のネットワークはルーターを通じてインターネットとつながっています。逆に言えば、ルーターはインターネットから丸見えで、攻撃者にとっては格好のターゲットです。
　23年夏には、宇宙関連組織がルーターを攻撃され、社内ネットワークに侵入されました。ルーターのメーカーは6月に修正プログラムを提供していましたが、同組織はこれを適用していなかった可能性があります。
　ネットワーク機器のセキュリティ対策では、「IDとパスワードを初期設定から変える」「管理ソフトは最新にアップデート」が基本です。保守をベンダーに依頼していたとしても、作業履歴の確認は必須と言えます。
　セキュリティ対策はまずできることから始めましょう。お勧めは、IPAが公開している「新5分でできる！情報セキュリティ自社診断」の活用や「中小企業の情報セキュリティガイドライン」の情報セキュリティ5カ条のチェックです。
　次のステップとして、セキュリティ維持体制の組織化、情報セキュリティ基本方針の作成と周知、「新5分でできる！情報セキュリティ自社診断」の結果を受けての改善策の検討と実施を進めるとよいでしょう。

※1 JPCERTコーディネーションセンター
インターネットによる侵入や不正アクセスの被害に対応するため、政府機関や企業から独立した中立的な組織として設立された情報提供機関。

※2 マルウェア
悪意を意味するMalicious（マリシャス）とSoftware（ソフトウェア）を組み合わせた造語で、デバイスに不利益をもたらす悪意あるプログラムを総称する言葉。