サイバー攻撃は中小企業が狙い目？動向や被害事例と対策のまとめ

法人向けOCNサービスTOP
OCNとは
お役立ちコンテンツ
サイバー攻撃は中小企業が狙い目？動向や被害事例と対策のまとめ

近年、金融機関や大手企業がサイバー攻撃の被害に遭うケースが増えています。一方、中小企業を狙ったサイバー犯罪も多く発生しているのです。この記事では、中小企業を狙ったサイバー攻撃の被害事例や対策についてまとめました。

この記事の目次

・サイバー攻撃被害の動向
・社員がとるべき対策をしっかり教育
・会社としてもしっかり対策を
・まとめ

従来のPPPoE方式に比べて大容量で、通信が混雑することなくスムーズに行われ、快適で安定した接続環境のため、法人向け回線としても大きなメリットがあります。IPoEは、いったいどのようなサービスなのか、詳しくご紹介します。

【IPoE接続とPPPoE接続】改善とヒント
Case Studies
◆Case1:サービス業　◆Case2:製造業
◆Case3:建築業　◆Case4:小売業

PDF 資料ダウンロード ※アンケートに回答いただくとダウンロードボタンが現れます。

サイバー攻撃被害の動向

サイバー攻撃と一口に言っても、その手口や被害はさまざまです。まずは、漏洩の原因や被害事例などを見ていきましょう。

漏洩の原因

JNSA（日本ネットワークセキュリティ協会）の調査によれば、情報漏洩の原因として最も多いのは、社内の人間のミスであることがわかっています。漏洩の原因で最も多いのは、メールの設定ミスや誤送信などの『誤操作』であり、次いで情報の入ったメモリの紛失、不正アクセスや管理ミスと続きます。過失によるものはもちろんですが、意図的に起こされた不正アクセスなどについても、警戒しなければなりません。
JNSA「2017年情報セキュリティインシデントに関する調査報告書」

中小企業の被害事例

中小企業で実際に遭ったサイバー攻撃の事例としては、次のようなものがあります。従業員数が10名程度の健康食品の会社では、外部サーバーに不正プログラムが仕掛けられ、顧客のクレジットカードや名前といった情報が漏洩する事件が起こりました。これによりサイトは閉鎖し、現在も復旧の目処は立っていないそうです。加工食品会社の役員のPCがウイルスに感染し、取引先の顧客情報まで漏れた例などもあります。いずれのケースでも中小企業では立ち直るだけの余力を絞り出すことが難しく、その後長期にわたって業務に影響を受けることになってしまうのです。

中小企業が踏み台として狙われるケースも

大手企業はセキュリティ対策をしっかりと施しているところも多く、サイバー攻撃を仕掛けようにもなかなかうまくいきません。そこで犯罪者が目をつけるのが、大手企業と取引実績のある中小企業です。中小企業のセキュリティレベルは大手と比較して甘いところも多いのが実情のようです。中小企業のネットワークから大手企業のネットワークへと侵入し、攻撃を仕掛ける事例も報告されています。中小企業は損害賠償を求められ、大口の取引先を失うことにもなりかねません。企業として大きな痛手を被ってしまったケースも少なくないようです。

社員がとるべき対策をしっかり教育

昨今はエンドポイント（ネットワークの末端）である社員が利用するノートPCやスマホから、企業の情報が漏洩するといったケースも発生しています。特に中小企業では、社員の管理権限が大きい場合やクラウドサービスでデータベースへのアクセスが容易な場合も多いでしょう。しっかりとした教育が求められていると言えるのです。

社員の意識改革が大切

セキュリティに関する教育の一環として、セキュリティに対する意識改革もしっかりとしていきましょう。 A10 Networksの世界10カ国2000人を対象とした調査によれば、日本の従業員は他国と比較してセキュリティ意識が低いことが判明しています。「ビジネスアプリや個人情報の管理責任はIT部門にある」という回答が多いことからも、社員自身のセキュリティ管理に対する姿勢の甘さがうかがい知れるでしょう。実際にサイバー攻撃の被害に遭えば、会社はもちろん情報漏洩した社員も責任を問われかねません。そういった重大な情報を扱っているという意識を持たせることが、教育の第一歩と言えます。

1人ひとりが意識すべき基本対策

もちろん社員1人ひとりでセキュリティをすべて賄うことは不可能です。しかし、やれるべき最低限の基準は定めなければなりません。PCやスマホなどの端末にアンチウイルスソフトを導入することや、OSを最新のバージョンに保つだけでもだいぶ違います。また、どのようなサイバー攻撃の手口と経路があるかを知ることもポイントです。不審なメールやWebサイトを開かないようになれば、それだけで入手経路を遮断できます。会社とのデータベースの共有も適切にすることも習慣化させましょう。

会社としてもしっかり対策を

社員個人にセキュリティについて任せきりにしてしまうと、社員同士でセキュリティレベルに格差が生まれます。この状況は好ましくはありません。会社全体としても、しっかりとしたセキュリティ対策をしていきましょう。

PCやスマホのセキュリティ対策

サイバー攻撃はなりすましメールやWebサイトを仲介して行われる場合があります。そのため、社員1人ひとりのセキュリティ意識を高めることも、十分な対策になり得るのです。まずは、どのような攻撃の手口があるかを社員が認知するのもポイントでしょう。無警戒に不審メールやWebサイトへアクセスしなくなれば、その分サイバー攻撃の経路が遮断されます。また、会社のデータベースと社員の持つ端末において、不要なときはリンクを切っておくなど、共有設定について見直すことも有効です。

企業単位でとるべき対策の遂行

会社で利用するPCやスマホに対しては、セキュリティソフトや暗号化の導入をしていきましょう。セキュリティ関連のクラウドサービスを利用するという方法もあります。中には、セキュリティに対する予算を低く見積もってしまう中小企業経営者もいるかもしれません。しかし、実際に問題が発生した場合の被害を考えれば、対策は万全を持って臨むべきでしょう。予算よりも十分なセキュリティを選ぶことが重要です。無線LANを利用する場合には、そちらに対してもユーザー認証や暗号化をしっかりと施しましょう。

IPAのガイドラインを参考にしよう

セキュリティに対するノウハウがなく、どのような対策をとって良いかわからない担当者もいるのではないでしょうか？ IPA（独立行政法人情報処理推進機構）が経済産業省と共同で策定したセキュリティガイドラインを発表しています。リスク管理の体制の構築や、緊急時の対応など、法人レベルでのするべき施策が記載されていますので、こちらを参考にしてみてください。