現代はデジタル技術の進歩・発展に伴ってマルウェアや不正アクセスなどの手口が巧妙化しており、国内におけるセキュリティインシデントの件数は年々増加している傾向にあります。とくに近年になって増加しているのが中小企業を標的とするサイバー攻撃です。本記事では中小企業がサイバー攻撃の標的になる理由やリスク、対策について解説します。
サイバー攻撃で中小企業が狙われる理由
中小企業がサイバー攻撃の標的となる理由のひとつは、攻撃者が最終的なターゲットとする大企業のシステムへ侵入する踏み台として利用されるためです。大手企業は情報漏えいに対する危機意識が高く、セキュリティ対策に相応のIT投資を実施しているため、ネットワークへの侵入は容易ではありません。それに対して中小企業では、経営層が「自社に盗むほど価値のある情報はない」と考えるケースがあるほか、大企業と比べてリソースが不足しているためセキュリティ対策がおろそかになりがちです。従業員のセキュリティ意識も大企業の人材と比較すると低い傾向にあります。
そこで攻撃者は標的とする大企業のサプライチェーンを担う中小企業のネットワークに侵入し、大企業のシステムに侵入する踏み台として利用します。これがサイバー攻撃で中小企業が狙われやすい大きな理由です。実際に大阪商工会議所の調査(※1)によると、全国の中堅企業・大企業を対象にしたアンケートにおいて、25%の企業が「取引先が受けたサイバー攻撃の影響が自社に及んだ」と回答しています。
独立行政法人情報処理推進機構(IPA)が発行する「情報セキュリティ10大脅威 2023(※2)」によると、組織に仕掛けられるサイバー攻撃で最も多いのがランサムウェア攻撃です。次いで多いのがサプライチェーンの弱点を悪用した攻撃で、その後に標的型攻撃による機密情報の窃取、内部不正による情報漏えいと続きます。また、IPAは「中小企業等に対するサイバー攻撃の実態調査(※3)」のなかで、サイバー攻撃の契機や感染経路として「Eメールや不正サイトを介した感染」「アプリケーション内の不正プログラム」「情報システム部門の管理外にある業務システム」を挙げています。
(※1)参照元:「サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査」結果について|大阪商工会議所
(※2)参照元:情報セキュリティ10大脅威 2023|独立行政法人情報処理推進機構(IPA)
(※3)参照元:令和4年度中小企業等に対するサイバー攻撃の実態調査 調査実施報告書(p.33)|独立行政法人情報処理推進機構(IPA)
中小企業に使用されるサイバー攻撃の種類
近年、被害が増加しているサイバー攻撃の種類は以下の五つです。
ランサムウェア攻撃
ランサムウェアとは、不正なアクセスによってコンピュータやファイルを使用できない状態にし、制限の解除と引き換えに身代金を要求するマルウェアの一種です。近年、最も被害の多いサイバー攻撃といっても過言ではありません。警察庁の調査(※4)(※5)によると国内におけるランサムウェアの被害件数はここ数年右肩上がりで増加しており、2023年上半期も引き続き高い水準で推移しています。ランサムウェアの主な感染経路はEメールの添付ファイルや偽装サイトの閲覧、不正広告のクリック、海賊版の音楽・動画ファイル、アプリケーションに隠された不正なプログラムなどです。
(※4)参照元:令和4年におけるサイバー空間をめぐる脅威の情勢等について(p.3)|警察庁
(※5)参照元:令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について(p.3)|警察庁
標的型攻撃
標的型攻撃は特定のターゲットを対象とするサイバー攻撃です。具体的には対象企業の顧客や取引先を装い、マルウェアが仕込まれたファイル付きのEメールを送付します。そのファイルを開いたコンピュータを踏み台にして社内ネットワークに侵入し、機密情報を窃取・改ざんするというのが主な手口です。2015年に日本年金機構が標的型攻撃の被害を受け、約125万件の年金情報が流出するという事案が大きな話題となりました(※6)。主に政府機関や大企業をターゲットとする攻撃でしたが、近年では中小企業を標的とするケースも少なくありません。
(※6)参照元:不正アクセスによる情報流出事案に間する調査結果報告について|日本年金機構
サプライチェーン攻撃
サプライチェーン攻撃とは、関連会社や取引先などのサプライチェーンを経由して間接的に大企業を狙うサイバー攻撃です。冒頭で述べたように、中小企業を踏み台にして大企業のシステムに侵入する手口を一般的にサプライチェーン攻撃と呼びます。サプライチェーン攻撃の標的になった場合、自社の機密情報が窃取・改ざんされるリスクがあるのはもちろん、自社を足掛かりとしてサプライチェーンに関与する企業が損害を被る可能性があります。自社のセキュリティに重大な落ち度があった場合、賠償責任を問われる可能性も否定できません。
ゼロデイ攻撃
ゼロデイ攻撃はシステムの脆弱性が修復される前に仕掛けられるサイバー攻撃です。OSやアプリケーションなどにセキュリティの脆弱性が発見された場合、サービス事業者はセキュリティパッチを配布してプログラムの更新・修復を図ります。しかし脆弱性の修正には一定のタイムラグがあり、その間はサイバー攻撃に対して無防備な状態です。この脆弱性の発見から修正に至るまでの僅かな期間「0日(ゼロデイ)」を狙うことからゼロデイ攻撃と呼ばれています。
外部からの不正アクセス
不正アクセスとは、アクセス権限を持たない第三者が不正な手段でコンピュータやシステムに侵入するサイバー攻撃です。不正アクセスの代表的な攻撃としては、Webサイトの検索ボックスやお問い合わせフォームなどに不正なSQL文を書き込み、データベースに侵入する「SQLインジェクション」が挙げられます。不正アクセスの契機となりやすいのは、フィッシングサイトへのアクセスや杜撰なパスワード管理、アプリケーション特有の脆弱性やシャドーITなどです。
サイバー攻撃が中小企業に与える影響やリスク
セキュリティインシデントの発生によって生じ得る主な影響やリスクは以下の四つです。
情報漏えい・金銭の損失
企業のデータベースには顧客情報や従業員の個人情報、製品開発資料など、決して流出してはならない機密情報が保管されています。たとえば不正アクセスによってデータベースに侵入された場合、こうした機密情報の漏えいリスクがあるのはもちろん、自社の顧客や取引先のシステムに侵入する踏み台にされる可能性も否定できません。また、マルウェアが仕込まれたEメールを開封してスパイウェアに感染し、インターネットバンキングのIDとパスワードを窃取され、不正送金の被害に遭うといった直接的な金銭の損失も懸念されます。
法的責任・個人情報保護違反
サイバー攻撃によって個人情報が漏えいした場合、事業者は法的責任を問われる可能性があります。2022年4月に改正個人情報保護法が施行され、個人情報取扱事業者に対する責務が追加されました。たとえば個人情報が漏えいした場合、本人への通知が義務化されるとともに、個人情報保護委員会への報告も必須事項となっています。個人情報保護法違反の罰則も強化されており、法人は最大で1億円の罰金が科されます。また、個人情報が漏えいした場合、損害を受けた相手から損害賠償請求を受ける可能性も否定できません。
企業の信頼低下・経済的損失
信頼性の低下もリスクのひとつです。サイバー攻撃によって個人情報が漏えいした場合、事業者は顧客や消費者からの信用を失うおそれがあります。さらに自社の社会的信用が失墜するのみならず、信頼低下による顧客の流出や取引先の受発注の停止といった経済的損失を招く可能性もあるでしょう。一度失った信用を取り戻すのは極めて困難であり、経営基盤の脆弱な中小企業は一度のセキュリティインシデントによって経営危機に陥るリスクがあります。
営業活動への悪影響
マルウェアや不正アクセスなどのサイバー攻撃によってシステムがダウンした場合、営業活動に悪影響を及ぼすリスクをはらんでいます。現代はデジタル化の進展とともにさまざまな分野でITが活用されており、いまや業務システムの安定稼働なくして事業活動は成り立たないといっても過言ではありません。たとえばランサムウェアの感染によってシステムやコンピュータがロックされた場合、通常業務に支障をきたすのはもちろん、事業活動の継続そのものが困難となり、莫大な経済的損失を被る可能性があります。
中小企業が行うべきサイバー攻撃対策
サイバー攻撃の被害を最小限に抑えるために、中小企業が取り組むべき主な対策は以下の五つです。
基本的なセキュリティ対策
IPAは「中小企業の情報セキュリティ対策ガイドライン(※7)」のなかで、企業規模に関わらず必ず実行すべきセキュリティ対策として、「OSやソフトウェアを常に最新の状態に保つ」「ウイルス対策ソフトを導入する」「パスワードを強化する」「共有設定を見直す」「脅威や攻撃の手口を知る」の五つを挙げています。ただし近年はサイバー攻撃の手口も巧妙化しているため、こうした基本的なセキュリティ対策のみでは十分とはいえません。たとえばエンドポイントの挙動を常時監視するEDRやWebアプリケーション層の脆弱性を保護するWAFの導入、複数のセキュリティ機能を単一のデバイスに統合するUTMの設置など、可能な範囲でより高度なセキュリティ対策を実施していく必要があります。
(※7)参照元:中小企業の情報セキュリティ対策ガイドライン第3.1版|独立行政法人情報処理推進機構(IPA)
組織でのセキュリティ教育
中小企業のサイバー攻撃対策における重要課題のひとつは、組織全体におけるセキュリティ意識の向上です。冒頭で述べたように、中小企業は大企業と比較して従業員のセキュリティ意識が低い傾向にあります。とくに近年ではテレワークを導入する企業が増加しており、外部ネットワークからの盗聴やデバイスの紛失・盗難、シャドーITやセキュリティの脆弱な公共Wi-Fiからの情報漏洩といったセキュリティリスクが懸念されます。こうしたリスクを最小限に抑えるためには、サイバー攻撃の脅威に関して周知徹底を図るとともに、従業員のセキュリティ意識を高める教育・研修制度の確立が必要です。
IT-BCP対策
BCP(Business continuity plan)は「事業継続計画」と直訳される概念であり、緊急時において事業活動の継続を確保する取り組みの総称です。そしてIT-BCP対策とは、地震や火災、テロ攻撃、情報漏えいなど、有事の際における業務システムの稼働を担保する仕組みを指します。現代の事業活動において業務システムの安定稼働は必須事項であり、緊急事態に備えてIT-BCP対策の対応プロセスを整備しなくてはなりません。IT-BCP対策は極めて重要な経営課題となるため、政府機関や経済産業省、IPAなどが発行しているガイドラインを参考にするのがおすすめです。
参考:政府機関等における情報システム運用継続計画ガイドライン|内閣サイバーセキュリティセンター
参考:サイバーセキュリティ経営ガイドライン Ver 3.0|経済産業省・IPA
参考:サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 第4版|経済産業省・IPA
サイバーセキュリティの専門家との連携
中小企業が実施すべきサイバー攻撃対策のひとつは専門家との連携です。セキュリティ対策は重要度の高い経営課題ではあるものの、経営資源には限りがあるため、自社のリソースは可能な限り企業価値の向上に直結するコア業務へ投入すべきです。サイバーセキュリティの専門家に知見を借りることで、自社のリソース投入量を最小限に抑えつつ、セキュリティ対策のノウハウや高度な知見を取り入れられます。IPAが推進する「中小企業向け情報セキュリティ対策(※8)」や「サイバーセキュリティお助け隊サービス制度(※9)」といったコンテンツを利用するのもおすすめです。
(※8)参照元:中小企業向け情報セキュリティ対策|独立行政法人情報処理推進機構(IPA)
(※9)参照元:サイバーセキュリティお助け隊サービス制度|独立行政法人情報処理推進機構(IPA)
外部サービス(クラウド)の活用
中小企業が厳格なセキュリティ性を確保するためには、外部のセキュリティソリューションの導入を検討する必要があります。とくにおすすめしたいのがクラウドコンピューティングの活用です。オンプレミス環境でITインフラを運用する場合、人的資源と資金に乏しい中小企業ではセキュリティ要件を満たせないケースが少なくありません。詳しくは後述しますが、クラウドサービスは導入費用と管理コストを抑えながら、常に最新のセキュリティ機能を利用できるため、大企業のように豊富な経営資源を確保できない中小企業に適したサービスです。
中小企業のサイバー攻撃対策としてクラウドがおすすめな理由
近年、さまざまな産業でクラウドファーストの潮流が加速しており、政府も「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針(※10)」のなかで、クラウド・バイ・デフォルトの原則を提唱しています。中小企業のサイバー攻撃対策において、クラウドサービスの活用を推奨する主な理由は以下の四つです。
(※10)参照元:政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針|デジタル庁
1. コストメリットが大きい
クラウドコンピューティングの最大の特徴は物理的なITインフラを必要としない点です。物理的なサーバーやネットワーク機器などを実装する必要がないため、システム環境の構築における初期費用と導入時間を大幅に削減できます。また、ハードウェアの保守・運用が不要となるため、ITインフラの管理コストを大幅に軽減できる点も大きなメリットです。そして浮いた資金をIT投資や人材育成に回すことで、より厳格なセキュリティのシステム環境を構築する一助となります。
2. セキュリティ性能が高い
クラウドサービスはパブリック環境でITリソースを共有するため、オンプレミス型のシステムと比較してセキュリティの脆弱性を危惧する声が少なくありません。しかし近年では国際的なセキュリティ認証のISO規格を取得しているサービスも多く、自社の要件に最適化されていない中途半端なオンプレミス型のシステムよりも高いセキュリティが期待できます。また、クラウドサービスはアップデートによって常に最新のセキュリティ機能を利用できる点もメリットのひとつです。
3. 柔軟性・拡張性が高い
クラウドサービスはオンプレミス型のシステムと比較して、柔軟性と拡張性に優れる点が大きなメリットです。たとえばオンプレミス環境で運用しているファイルサーバーの容量を追加する場合、新たにハードウェアを増設しなくてはなりません。しかしクラウド型のファイルサーバーであれば、管理画面からプランを変更するだけで簡単に容量を追加できます。自社の要件に合わせてITリソースを柔軟に拡張・縮小できるため、サイバー攻撃対策の試行運用を容易に実行可能です。
4. 可用性が高い
可用性の高さも、クラウドコンピューティングを利用するメリットのひとつです。オンプレミス環境で物理的なITインフラを運用する場合、地震や火災などの発生時にシステムがダウンし、重大なセキュリティインシデントにつながりかねません。それに対してクラウドサービスのデータやファイルはサービス事業者のデータセンターで管理されており、万が一オフィスに災害が発生してもシステムの可用性を確保できます。そのため、有事の際にもシステムの安定稼働を担保するIT-BCP対策として機能します。
まとめ
中小企業は大企業と比較してセキュリティ意識が低い傾向にあり、大企業のシステムへ侵入する踏み台として利用されるケースが少なくありません。
代表的なサイバー攻撃としては、「ランサムウェア攻撃」「標的型攻撃」「サプライチェーン攻撃」「ゼロデイ攻撃」「不正アクセス」が挙げられます。それによって生じ得るリスクは、「情報漏えい・金銭の損失」「法的責任・個人情報保護違反」「企業の信頼低下・経済的損失」「営業活動への悪影響」の四つです。
こうしたリスクを回避するためには、基本的なセキュリティ対策に取り組むとともに、従業員のセキュリティ意識を高める教育・研修制度を確立しなくてはなりません。また、経営資源に乏しい中小企業ではサイバーセキュリティの専門家との連携を図りながら、クラウドコンピューティングの戦略的活用を推進するといった対策も必要です。
