セキュリティー対策は優先度が低い

――セキュリティーに関する意識は、中小企業と大企業で、どこが違うのでしょうか。

江島：経営リソースの違いという風に見ています。どこにお金をかけるかということです。

ある程度の大きな組織ができて、社会的責任や影響力を考えるようになると、企業は対策にもお金を払いますし、事業継続に関する意識もやはり高いのでお金を費やします。その点、優先順位で中小企業はやはり低くなるのでしょう。

以前、コンサルティング会社に勤めていましたが、中小企業からスタートして、会社が大きくなり、上場するというタイミングになると、内部統制の仕組みの有無や、セキュリティー対策を考えるような会社が目立ちました。それらがないと、上場の足かせになるからです。

セキュリティー投資「必要ない」が約4割

――中小企業の経営者にとって、セキュリティー意識はどのように位置付けられるのですか。

江島：IPAが2016年度、2021年度に実施したセキュリティーの実態調査があります。

約4千の中小企業を対象にしたアンケートではセキュリティーに対する意識の低さが浮き彫りになりました。2回目の調査の方が若干伸びてはいますが、まだまだ低い状況にあります。

「直近3年間で、セキュリティー投資を行ったか」の問いに対し、約3割が投資をしていませんでした。

うち、最も多い理由が「必要性を感じていない」で4割に上っています。次いで「費用対効果が見えない」「コストがかかりすぎる」がそれぞれ2割ぐらいです。

対策① 相手の脅威や攻撃を知る

――従業員レベルで実際に取り組める点は、どういったことでしょうか。

江島： まずは、OSやソフトウェアのアップデートです。そして、ウイルス対策ソフトを導入し、パスワードの強化をしてもらいたいです。

共有設定の見直しも大事ですし、脅威や攻撃の方法をぜひ知っておいてほしいです。

脆弱性を突くサイバー攻撃と、ウイルス感染を狙う攻撃の2つがインターネットの普及とともに出現しました。

最近では、クラウドの利用で、パスワードを狙った攻撃も増えています。中小企業だけでなく、個人でも気を付けるべきかと思っています。

共有設定の見直しは、なかなか理解いただけないのですが、ビジネスの場でもSNSで公開したくない範囲まで公開してしまったようなことが起きています。

外部から、会社の複合機でスキャンして作ったPDFが、ハードディスクに残ったままで、外部からのぞかれてしまうケースも報告されています。

迷惑メール・ショートメールも巧妙になっています。

人をだますという手口は昔から古典的にありますが、脅威や攻撃の手口を知るのは非常に重要です。

オレオレ詐欺に、引っかかる人はかなり減ったかと思いますが、ショートメールで「不在通知」などと送られてくることがありますよね。

そうしたパターンを知っていれば、「最近よく聞くあの攻撃だな」と気付くことができます。

対策② 3つキーワードと10桁以上でPW強化

――パスワード強化で、お勧めの方法はありますか。

江島：3つのキーワードを長く複雑にしつつ、使い回さないことを推奨しています。

長さは、以前は8桁を勧めていましたが、今は10桁ぐらいあってほしい。複雑さでは、数字や記号をできるだけ混ぜてもらいたいです。

使い回さない、というのは、1つのサイトからIDやパスワードが漏れると、それを使って別のサイトにログインする「パスワードリスト攻撃」が増えているためです。

IDは、大体がメールアドレスですので、同じパスワードを使い回すと、本当に危ないです。

1つのパターンとしてお勧めするのは、いつも使っているパスワード、「マスターパスワード」に変化をつけることです。

例えば、いつも使う8桁のパスワードがあれば、その後ろに「-」をつけて、ヤフーだったら「-Y」、アマゾンだったら「-A」とかを加えれば、記号も入りますし、使い回しにもなりません。

ただ、私がよく話しているので、攻撃者もそのパターンを織り込んでいるかもしれませんが、「‐」を「!」に変更するとか、頭に持ってくるなどして、自分で分かるようなパスワードルールを作ってしまえばいいと思います。

対策③ 理想はワンタイムPWや顔認証・指紋認証

――ブラウザーが自動生成するパスワードや、ワンタイムパスワード、顔認証などもあります。

江島：自動生成パスワードは推奨していません。その情報を盗まれて、不正ログインされた事例が報告されていますし、そもそもパソコンなどを紛失して、誰かがログインしたら不正利用される可能性があります。

ワンタイムパスワードの活用は理想的です。顔認証や指紋認証もお勧めしています。セキュリティーレベルは、一般的なパスワードよりも高いです。

誤検知とか誤認証はかなり少ないと認識しています。もちろん、20桁などの長いパスワードとか使っていれば別かもしれませんが。

懸念するChatGPTの浸透

――ChatGPTとパスワードが、今後悪い方向性で関連付くような恐れはありますか。

江島：ChatGPTは、ネットから情報をかき集めてきます。

私が、先ほど申し上げたパスワードの作り方のお勧めなどの情報も引っ張ってきて、パスワード解析に関する知識も、どんどん蓄積されることでしょう。それを悪用するケースが出てくることは想像できます。

――この先、どのような手立てで警鐘を鳴らしていく考えですか。

江島：銀の弾（解決が困難な諸問題を一撃で解決するような万能な解決策）と言いますが、これをやればうまくいくというのは、なかなかないのが実態ですので、多方面で多角的に取り組んでいこうと考えています。

インシデントを巡る実態調査を行い、被害事例集を作って、啓発ツールとして使っていく方法もあります。IPAは今後も中小企業の皆様のセキュリティー意識向上に取り組んでいきたいと考えています。

サイバー攻撃に限らず、犯罪をすべて止めることはできません。いくら気を付けても、交通事故はなくならないのと同じです。

ガイドラインを活用していただき、「自分たちは被害にあわない」と考えず、できるところから自衛していただければと思います。

IPAが掲げた「情報セキュリティー５か条」
１．OSやソフトウェアは常に最新の状態にしよう！
２．ウイルス対策ソフトを導入しよう！
３．パスワードを強化しよう！
４．共有設定を見直そう！
５．脅威や攻撃の手口を知ろう！

この記事はドコモビジネスとNewsPicksが共同で運営するメディアサービスNewsPicks ＋ｄより転載しております 。
取材・文：小西一禎
デザイン：山口言悟（Gengo Design Studio）
編集：比嘉太一、野上英文