情報セキュリティ対策はガイドラインが参考に
中小企業にとって情報セキュリティ対策は、事業継続に不可欠な経営課題となっています。しかし、何から手をつければよいか分からないケースも少なくありません。そこで役立つのが、IPA(情報処理推進機構)が公開している「中小企業のための情報セキュリティ対策ガイドライン」です。このガイドラインは、専門家でなくても理解できるよう中小企業向けに策定されています。実践的なセキュリティ対策を進める上での指針となるでしょう。
INDEX
1.中小企業がサイバー攻撃の標的になる3つの理由
2.IPA策定「情報セキュリティ対策ガイドライン」の概要
3.全従業員で実践すべき「情報セキュリティ5か条」
4.ガイドラインに基づく具体的なセキュリティ強化策
5.サイバー攻撃は進化を続けている
6.万が一に備える対策ソリューション
7.従業員のセキュリティリテラシーを向上させる教育方法
8.まとめ
中小企業がサイバー攻撃の標的になる3つの理由
自社は規模が小さいから狙われないという考えは非常に危険です。近年のサイバーセキュリティに関する調査では、中小企業を標的とした攻撃の被害事例が増加傾向にあります。
なぜ中小企業が標的となるのでしょうか?攻撃者が中小企業を狙うのには明確な理由があり、その背景を理解することが対策の第一歩となります。
その主な理由を具体的に見ていきましょう。
理由1:セキュリティ対策に脆弱性を抱えているケースが多い
多くの中小企業では、セキュリティ対策に充てる予算や専門知識を持つ人材が限られているという課題があります。その結果、OSやソフトウェアのアップデートが後回しにされたり、最新の脅威に対応したセキュリティ製品の導入が遅れたりすることが少なくありません。
攻撃者は、このような脆弱性を持つシステムを効率的な攻撃対象として認識しています。限られたリソースの中で、事業の根幹に関わる情報資産を守るために、どこに優先順位を置いて対策を進めるべきかを見極める必要があります。
理由2:取引先である大企業への攻撃の踏み台にされる
直接の標的が取引先の大企業であっても、その侵入口としてセキュリティ対策が比較的緩やかな中小企業が狙われることがあります。これは「サプライチェーン攻撃」と呼ばれ、企業間の信頼関係を悪用する手口です。自社が意図せず攻撃の踏み台となり、取引先に甚大な被害を与えてしまうと、事業継続に関わる深刻な事態に発展しかねません。
自社のセキュリティレベルを向上させることは、サプライチェーン全体の安全性を高め、企業の社会的責任を果たすことにも直結します。
理由3:従業員一人ひとりのセキュリティ意識に差がある
情報セキュリティは、システムやツールだけで完結するものではなく、それを利用する人間の行動が大きく影響します。特に中小企業では、専門の情報システム部門が存在しないことも多く、全社的なセキュリティ教育が行き届きにくい傾向が見られます。その結果、従業員一人ひとりのセキュリティ意識にばらつきが生じ、不審なメールの添付ファイルを不用意に開いたり、簡単なパスワードを使い回したりといったリスクの高い行動につながりやすくなります。
IPA策定「情報セキュリティ対策ガイドライン」の概要
IPA(情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」は、専門的な知識がない担当者でも理解しやすいように構成されたハンドブック形式の資料です。このガイドラインは、中小企業が直面しやすいセキュリティ上のリスクと、それに対する具体的な対策を網羅しており、自社の状況に合わせて活用できる実践的な支援ツールとなっています。経営者、管理者、一般従業員それぞれの立場に応じた指針が示されているのが特徴です。
経営者が最初に理解すべき3つの原則
IPAのガイドラインでは、経営者が情報セキュリティを重要な経営課題として捉え、主導的に取り組むことの必要性を強調しています。その核となるのが、「情報セキュリティ対策は経営者のリーダーシップで進める」という考え方です。
具体的には、下記の3原則が示されています。IPAのガイドラインに付属しているチェックリストを使えば、自社の現状把握から始められます。
①自社が守るべき情報資産を明確にし、関連するリスクを認識すること
②対策の実行に必要な体制や予算を確保すること
③対策の実施状況を定期的に確認し、改善を続けること
全従業員で実践すべき「情報セキュリティ5か条」
IPAのガイドラインでは、専門的な知識がなくても全ての従業員が実践すべき基本的な対策として「情報セキュリティ5か条」を提唱しています。
①OSやソフトウェアは常に最新の状態にする
②ウイルス対策ソフトを導入する
③パスワードを強化する
④共有設定を見直す
⑤脅威や手口を知る
これらの対策を組織の全従業員が習慣として実践するだけで、多くのサイバー攻撃を防ぐことが可能になります。
ガイドラインに基づく具体的なセキュリティ強化策
IPAのガイドラインを基に、組織として取り組むべき具体的なセキュリティ強化策は、ルール作りから始まります。まず、組織としての情報セキュリティに関する基本方針やルールを明確にした「情報セキュリティポリシー」を策定し、全ての従業員に周知徹底させることが不可欠です。その上で、技術的な防御策を導入し、万が一の事態に備えた対応計画を立て、新しい働き方に合わせた環境を整備していくという段階的なアプローチが求められます。
情報セキュリティポリシーを策定し社内で共有する
情報セキュリティポリシーは、企業が情報資産をどのように保護するかを定めた社内ルールです。このポリシーには、データの取り扱い方法、アクセス権限の管理基準、パスワードの最低文字数や複雑さの要件、社内ネットワークやクラウドサービスの利用ルールなどを具体的に定めます。重要なのは、ポリシーを策定するだけでなく、研修などを通じて全従業員にその内容を周知し、理解を促すことです。これにより、従業員一人ひとりが共通の判断基準を持ち、組織全体として一貫したセキュリティ行動をとれるようになります。
ウイルス対策ソフトやファイアウォールを導入する
マルウェア感染や不正アクセスといった脅威から社内の情報資産を守るため、技術的な対策は不可欠です。その最も基本的なものが、ウイルス対策ソフトとファイアウォールの導入です。ウイルス対策ソフトは、PCやサーバーをマルウェアから保護し、常に定義ファイルを最新の状態に保つことが重要です。ファイアウォールは、外部ネットワークからの不審な通信を遮断し、内部ネットワークへの不正侵入を防ぐ役割を果たします。
これらの対策を適切に講じることで、多くのセキュリティインシデントの発生を未然に防げます。
サイバー攻撃を受けた際の対応手順を決めておく
セキュリティ対策を万全にしても、サイバー攻撃を受けるリスクをゼロにすることは困難です。そのため、実際にインシデントが発生した際に、被害を最小限に抑えるための対応手順をあらかじめ文書化し、関係者で共有しておくことが重要になります。
この手順には、インシデント発見時の報告体制、感染拡大を防ぐための初動対応、影響範囲の特定方法、外部専門機関への連絡手順、そして復旧までの流れなどを具体的に定めておきます。事前の準備が、有事の際に冷静かつ迅速な行動を可能にします。
安全なテレワーク環境を整備する
テレワークを安全に実施するためには、オフィス内と同等のセキュリティレベルを確保する環境整備が必要です。基本となるのは、VPN(Virtual Private Network)を導入し、社内システムへの通信経路を暗号化することです。また、会社が貸与するPCには、ウイルス対策ソフトの導入やハードディスクの暗号化を徹底します。私物端末の業務利用(BYOD)を認める場合は、端末のセキュリティ要件や利用可能な業務範囲を明確に定めたルール作りも必要になるでしょう。従業員に対して、自宅のWi-Fiルーターのパスワード設定強化などを啓発することも大切です。
サイバー攻撃は進化を続けている
近年は様々な分野でAIが活用されるようになってきましたが、サイバー攻撃においても例外ではなく、生成AIにより作成されたランサムウェアを使った攻撃の事例が世界中で報告されています。検出されたBEC(ビジネスメール詐欺)メッセージの40%がAIにより作成されたものだったという報告もあります。また、技術力の低い攻撃者でも生成AIを使うことで容易に攻撃することが可能になるため、サイバー攻撃がさらに増加していくことが想定されます。
現在実施している対策で安心することなく、定期的に自社の防御策を見直していくことが大切です。
万が一に備える対策ソリューション
攻撃への備えとしては、攻撃を受けても被害を出さないようにするものと、被害を受けてしまった場合でも重要なデータは守られている・復旧可能な状態にしておくものが考えられます。前者は、マルウェア感染や自社ネットワークへの侵入を防ぐためのソリューションです。後者は感染を許してしまいデータが暗号化や破壊されてしまっても、早期に復旧するための備えをしておくためのソリューションになります。ここではそれぞれのソリューションをご紹介します。
1.企業向けエンドポイントプロテクション「OpenText™ Core Endpoint Protection」
2.クラウドバックアップサービス「UC+(ユクタス)バックアップ」
OpenText™ Core Endpoint Protection
「OpenText™ Core Endpoint Protection」は電子メールやブラウザ、ファイル、広告、アプリなどの複数方向からの脅威からリアルタイムで保護する法人向けセキュリティソフトです。機械学習(AI)を用いたクラウド技術を活用し、他のアプローチに比べて、リアルタイムでより効果的に既知の脅威に対応することが可能です。また、未知の脅威に対しても革新的なファイル形式&行動認証テクノロジーを採用することで識別して対応します。システム競合もないため、現在お使いのセキュリティ製品との併用も可能です。
■主な特徴
・フルクラウド型の次世代セキュリティ
・未知のマルウェアに対する最大限の防御
・社内ネットワーク外のユーザーも保護
▼OpenText™ Core Endpoint Protectionの詳細はこちら
https://www.uchida-it.co.jp/product/endpoint-protection/
UC+(ユクタス)バックアップ
「UC+バックアップ」は大事な基幹システムのデータを、自動的にバックアップするクラウド型バックアップサービスです。マルウェア感染などで基幹システムのデータが破損・暗号化されてしまったとしても、バックアップデータから早期の復旧が可能になります。また、ハードウェアの障害や自然災害などの不測の事態に備えるBCP対策としてもご活用いただけます。
■主な特徴
・リアルタイムで把握できるバックアップ状況
・「復元できない」を未然に防ぐ異常時アラート
・複数のセキュリティ対策で安全性を確保
▼UC+バックアップの詳細はこちら
https://www.uchida-it.co.jp/product/uc_series/cloudbackup/
▼「UC+バックアップ」カタログダウンロード
「UC+バックアップ」の製品カタログをPDFにてダウンロードいただけます。
従業員のセキュリティリテラシーを向上させる教育方法
組織全体のセキュリティレベルは、従業員一人ひとりの意識と知識に大きく左右されます。そのため、全従業員を対象とした継続的なセキュリティ教育は不可欠といえるでしょう。
例えば、情報セキュリティポリシーの内容を解説する定期的な研修会や、最新のサイバー攻撃の手口を紹介する勉強会などが有効です。また、実際の攻撃メールに似せたメールを送信し、従業員の対応を訓練する「標的型攻撃メール訓練」は、実践的な知識と危機意識を高める上で効果が高い手法です。内田洋行ITソリューションズでも定期的にこうした訓練が実施されています。
一度きりで終わらせず、繰り返し実施することで、組織にセキュリティ文化を根付かせます。
まとめ
中小企業にとって情報セキュリティ対策は、事業を継続するための重要な経営課題のひとつです。どこから手をつけるべきか不明確な場合、IPAが公開する「中小企業のための情報セキュリティ対策ガイドライン」が具体的な指針となるでしょう。まずは経営者が主導し、自社の状況に合わせた情報セキュリティポリシーを策定することが基本です。その上で、ウイルス対策ソフトの導入といった技術的な対策と、全従業員への継続的な教育を両輪で進める必要があります。これらの取り組みを組織的に実践することで、サイバー攻撃の脅威から企業の情報資産を守り、事業の安定性を高めることができます。
中小企業のためのランサムウェア対策ソリューション
今回の記事に関連するPDF資料「中小企業のためのランサムウェア対策ソリューション」をご用意しました。
中堅・中小企業へのランサムウェア攻撃が増える中、なぜ中小企業こそサイバーセキュリティに注力する必要があるのか、感染経路や対策ソリューションについて解説した資料です。
無料でダウンロードいただけますので、ぜひ貴社の課題解決にお役立てください!
【参考】
・独立行政法人情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン」
・VIPRE Security Group「The New Face of Fraud: 40% of Business Email Compromise (BEC) Emails Are AI-Generated」」
