中小企業・中堅企業における情報セキュリティ対策--"サイバー攻撃"って何?

こんにちは、合同会社たいがの小西です。皆様は、いかがお過ごしのことでしょうか。

さて、今回からは、しばらくの間、前回ご紹介した
「小さな中小企業とNPO向け情報セキュリティハンドブック」
について、章ごとにかいつまんで、ポイントをご説明させていただきます。

サイバー攻撃の「自社に与える影響」を知ること

このハンドブックのプロローグは「サイバー攻撃ってなに?」と称するものです。
攻撃の具体例や、誰が、どのように攻撃するのかなどを書いた章ですが、
ここでポイントとなるのは「会社や団体が狙われるとどうなる?」と書かれた段落です。

ご多忙な中小企業・中堅企業の経営管理者層の方におかれても、この
「会社や団体が狙われるとどうなる?」
だけは、ご理解することをお勧めします。

端的には、
  1. お金を騙し取られたりなどして、自社が経済的被害を出す
  2. お客様(お取引先様)の情報を漏洩させて、お客様に被害をもたらす加害者になる→自社の信用が揺らぐ
がありえることです。

1についての典型例は、
  • ウイルス(マルウェア)に重要な業務PCを感染させ、、PCをロック/暗号化して使用不能にさせられる。そして「使用不能を解除したければ、金を払え」という、その名の通り「ランサム」(身代金)を要求されるもの
  • お取引様から「今月から銀行口座を変えたので、今後はXX銀行○○支店にお振込みください」と書かれたメールが送られた。差出人やメールのタイトルなども普段のお取引様からのメールと変わらなかったので、管理者/経理担当者が、そこに振り込みをした-----しかし、実はそのメールは全くのなりすまし偽メール、口座も偽口座で、振り込んだお金を騙し取られた。
などのパターンです。

これは前者はランサムウェアというウイルスで、まさに「ランサム」=身代金を要求する手口、後者は標的型攻撃メール(これはメールを起点として、様々な攻撃方法がある)と呼ばれるものです。

2についての典型例は、
  • ウイルスに(マルウェア)に自社の一部のPCやスマホ、複合機など---複合機も今は立派なコンピュータです----に感染させ、それを起点としてウイルスを機密情報の入ったサーバなどのコンピュータまで感染させ、結果、自動で重要な機密情報を盗み取り、その情報を業者に売ったり拡散することで、犯人は利益を得る。一方、被害に遭った会社は、被害者であるにもかかわらず、機密情報がお客様や、お取引様から得た情報だった場合は、信用を失墜する
というパターンです。

これは
自社は被害者であるが、一方で、お客様やお取引様に対しては加害者となる
という点で、辛いですよね。信用を失い、お取引様を失うという経済的な損失にもつながりますから。

さて、前回私は多くの経営者の方が「いやあ、ウチのような会社にはセキュリティなんて、全く関係ないですよ」と仰るということを書きました。

このハンドブックでは、以下の記載があります。
"例えばそういった情報(注:お得意先様である大企業の機密情報のこと) を大企業から直接盗めなくても、 セキュリティの甘い関連企業があれば、そこから盗んで、売ればいいと考えるかもしれません"
 大企業では、かなりセキュリティ対策はITレベルだけでなく、従業員教育という観点からも、お金も力も注いでやっています。
<私共がお付き合いさせて頂いたことのある企業様でも、怪しいメールについては常にチェックし、従業員に「メール自体を開けないように」と注意喚起する専任担当者がいました>

ですので、悪意ある者たちは、手間がかかる大企業よりも、それよりセキュリティが甘いと考えられる中堅・中小企業様をターゲットにする可能性が高いことを、上の文では示唆しています。

サイバー攻撃のパターンは、手を変え品を変えとばかりにいろいろあるので、全てのパターンを学ぶことは時間もコストもかかりますが、せめて経営者の方におかれては、
「サイバー攻撃の自社に与える影響」だけは、是非ともご理解いただきたいと思います。

また、これら攻撃はマルウェアなどの技術的攻撃がベースになっていますが、先のなりすまし偽メールなどは「お得意様からのメールだから安全だ」という心理的側面をついた攻撃でもあります。

逆に言うと、担当者が「振込先口座の変更なんて、急にメールでなんて、おかしいぞ」と思い、お取引様に確認の電話なりメール---この時のメールは、もちろん、送られてきた偽メールへの返信ではないことが前提ですが---をすれば、わかることですよね。

こうしたことがある可能性をを知っているか、知っていないかで、対処の方法も変わり、担当者も用心します。
従って、ハンドブックのプロローグである「サイバー攻撃ってなに?」を全従業員に周知するだけでも、効果はあるはずです。

それがつまり自社における「セキュリティ教育」の重要性なのです。

正直、セキュリティ対策については、自社の防衛のためで売上/利益も、経費削減にもつながらず、却って経費負担につながるので、中小企業の経営者の方においては、及び腰になる気持ちは非常に理解できます。弊社自体、零細企業ですから(苦笑)。

私は、このブログで、なるべくお金のかからない方法もご提示していきますが、その一環として、自社の従業員に対するセキュリティ教育は有効だと思います。

何事もそうですが「知っているか知らないか」で、行動に差が出るのですから。

次回は、このハンドブックの第1章「まずは情報セキュリティの基礎を固めよう」で書かれたポイントをご説明いたします。

それでは次回も、よろしくお願い申し上げます。