サイバー脅威は、大企業や政府だけの問題ではありません。小規模企業もターゲットになり得ます。実際に、小規模企業の方がサイバー脅威に対して脆弱である証拠があります。小規模企業は往々にしてそれ自体を効果的に保護するリソースが欠如しているからなおさらです。
ビジネスをサイバー攻撃から保護することは重要ですが、サイバー攻撃の手法が常に進化し続ける中で、どこから始めればよいかを知ることは非常に困難です。小規模企業がサイバー脅威の世界を渡り歩くためのガイドを提供します。
小規模企業にとってサイバーセキュリティが非常に重要である理由
サイバー攻撃は、金銭、データ、IT設備を危険にさらします。ハッカーが貴社のネットワークへのアクセス権を取得した場合、以下のようなものを活用して大きなダメージを与えることが可能になります。
- 顧客リストへのアクセス
- 顧客のクレジットカード情報
- 貴社の銀行情報
- 価格設定構造
- 製品設計
- ビジネス成長計画
- 製造プロセス
- その他の種類の知的財産
こうした攻撃は、会社をリスクにさらすだけではありません。ハッカーは貴社のネットワークへのアクセスを、貴社のビジネスが属しているサプライチェーンの他企業のネットワークへの足掛かりとすることがあります。
世界中でリモートで働く人が増えるにつれ、ビジネスのサイバーセキュリティの重要性もさらに高まっています。多くの小規模企業が日々の業務のためにクラウドベースの技術とツールを使用しています。これには、オンライン会議、広告、売買、顧客やサプライヤーとの連絡、銀行取引などがあります。財務と評判の両方の理由により、不正な侵害やハッキングからデータとクラウドベースのシステムを保護することが極めて重要です。
小規模企業に対するサイバー攻撃の影響
サイバー攻撃は、ビジネスに壊滅的な影響を与えかねません。実際、攻撃の犠牲となった小規模企業の60%は、侵害を受けた後、6か月以内に廃業しています。これは企業への攻撃による結果としては最も劇的な例かもしれませんが、他にも以下のようなことがありえます。
- 銀行情報の盗難による財務上の損失
- 業務の停止による財務上の損失
- ネットワークから脅威を排除するための高額なコスト
- 顧客の情報が漏洩したことを顧客に伝えた後の自社の評判への悪影響
小規模企業向けのサイバーセキュリティに関するヒント
小規模企業として、サイバー攻撃に対して無力だと感じるかもしれません。幸いにも、ビジネスに関する最新のセキュリティのアイディアに対応することで、貴社を保護する措置を講じることができます。ビジネスにとって不可欠なサイバーセキュリティに関するヒントを以下に示します。
1:従業員をトレーニングする
従業員が会社を、攻撃に対して脆弱な状態にする可能性があります。正確な統計は国や業種によって異なりますが、データ侵害の大部分は、従業員が悪意を持って、または不注意によってサイバー犯罪者に自社ネットワークへのアクセスを提供してしまうことが原因であることに疑いの余地はありません。
攻撃の開始点が従業員となってしまうシナリオは多数あります。たとえば、従業員が業務用タブレットを紛失したり、ログイン資格情報を開示したりすることがあります。また、従業員が詐欺メールを誤って開き、自社のビジネスネットワークにウイルスが拡散する可能性もあります。
社内の脅威から保護するために、従業員に対するサイバーセキュリティトレーニングに投資しましょう。たとえば、強力なパスワードを使用することの重要性やフィッシングメールを見つける方法をスタッフに教えます。顧客情報やその他の重要なデータを処理および保護する方法を示す明確なポリシーを確立します。
2:リスク評価を実施する
会社のネットワーク、システム、情報のセキュリティを侵害する危険性のある潜在的なリスクを評価します。考えられる脅威を識別、分析することは、セキュリティのギャップを埋める計画を策定するのに役立ちます。
リスク評価の一環として、データの保存場所と保存方法、およびそれらのデータに誰がアクセスできるかについて確認します。そのデータにアクセスする可能性のあるユーザーとその取得方法を特定します。ビジネスデータがクラウド内に保管されている場合、クラウドストレージのプロバイダーにリスク評価の支援を依頼できる場合があります。発生する可能性のあるイベントのリスクレベルと、侵害がどのように会社に影響を与えるかを明らかにします。
この分析が完了して脅威を特定したら、収集した情報を使用してセキュリティ戦略を開発または改善します。定期的および情報の保管方法と使用方法を変更するたびに、この戦略を審査および更新します。これにより、自社の最大能力の範囲内でデータが常に保護されます。
3:アンチウイルスソフトウェアを導入する
すべてのデバイスをウイルス、スパイウェア、ランサムウェア、およびフィッシング詐欺から保護することができるアンチウイルスソフトウェアを選択します。保護を提供するだけでなく、必要に応じてデバイスをクリーンにし、感染前の状態にリセットするのに役立つテクノロジーを提供するソフトウェアを選択する必要があります。最新のサイバー脅威からの安全を確保するためにアンチウイルスソフトウェアを最新の状態に保ち、脆弱性にパッチを適用することが重要です。
4:ソフトウェアを最新の状態に保つ
アンチウイルスソフトウェア以外にも、ビジネスを運営するために使用するすべてのソフトウェアを最新の状態に保つ必要があります。ベンダーは、ソフトウェアを定期的に更新して強化したり、セキュリティの脆弱性を解消するパッチを追加します。Wi-Fiルーターのファームウェアなどの一部のソフトウェアは手動更新が必要な場合があることを念頭に置いておいてください。新しいセキュリティパッチを適用しない場合、ルーター(およびこれに接続されているデバイス)は脆弱なままです。
5:ファイルを定期的にバックアップする
あなたの会社はファイルをバックアップしていますか?サイバー攻撃が発生した場合、データは漏洩または削除される可能性があります。そうなったとき、引き続きビジネスを行うことはできますか?ノートPCや携帯電話に格納されているデータの量を検討することを忘れないでください。そうしないと、多くのビジネスが機能しなくなります。
その場合に役立つのは、ファイルをストレージに自動的にコピーするバックアッププログラムを使用することです。攻撃があった場合にすべてのファイルをバックアップから復元できます。バックアッププロセスのスケジュールまたは自動化が可能なプログラムを選択します。そうすれば、バックアップを実行するのを覚えておく必要はありません。システムがランサムウェア攻撃を受けても、暗号化されたり、アクセス不能になったりしないように、バックアップのコピーをオフラインに保存しておきましょう。
6:重要な情報を暗号化する
業務上、クレジットカード、銀行口座、その他の機密情報を定期的に扱っている場合、暗号化プログラムを使用することをお勧めします。暗号化により、デバイス上の情報が読み取れない形式のコードに変換されるため、データの安全性が保たれます。
暗号化は、最悪のシナリオを念頭に置いて設計されています。データが盗まれたとしても、ハッカーはデータの復号化や情報の複合化を行うための鍵が持っていないため、データは役に立ちません。これは、何十億ものレコードが毎年公開される世界では賢明な予防策です。
7:機密データへのアクセスを制限する
業務上、重要なデータにアクセスできるユーザーの数を最小限に制限します。これにより、データ侵害の影響が最小限に抑えられ、社内の不誠実な人物にデータに対する正規のアクセス権が付与される可能性を下げることができます。特定のレベルの情報に誰がアクセスできるかを概説する計画を策定することで、役割と責任が関係者全員に対して明確になるようにします。
8:Wi-Fiネットワークをセキュリティで保護する
業務上、WEP(Wired Equivalent Privacy)ネットワークを使用している場合、よりセキュリティが高いWPA2以降に切り替えてください。貴社は既にWPA2を使用している可能性が高いでしょうが、一部の企業は、インフラストラクチャのアップグレードを怠っています。このため、確認して万全を期することをお勧めします。弊社ガイドのWEPとWPAに関する説明をお読みください。
無線アクセスポイントまたはルーターの名前(SSID:サービスセット識別子)を変更することで、ハッカーによる侵害からWi-Fiネットワークを保護できます。また、複雑なPSK(事前共有鍵)パスフレーズを使用してセキュリティを強化することもできます。
9:強力なパスワードポリシーを徹底する
機密情報が含まれるデバイスすべてで従業員が強力なパスワードを使用するよう徹底します。強力なパスワードは、少なくとも長さ15文字(理想としてはさらに多く)の文字であり、大文字と小文字、数字、および記号を混用したものです。パスワードの特定が難しくなるほど、 総当たり攻撃が成功する確率が低くなります。
また、パスワードを定期的に変更するポリシーも実施する必要があります(少なくとも四半期ごと)。さらなる対策として、小規模企業は従業員のデバイスとアプリで多要素認証(MFA)を有効にする必要があります。
10:パスワードマネージャーを使用する
すべてのデバイスまたはアカウントに対して一意の強力なパスワードを使用するとすぐに、パスワードを覚えにくくなります。長いパスワードを毎回思い出して入力する必要があるため、従業員の作業が遅くなる可能性もあります。このため、多くの企業はパスワード管理ツールを使用しています。
パスワードマネージャーは、ユーザーに代わってパスワードを保存し、Webサイトやアプリにログインするときに必要な正しいユーザー名、パスワード、さらにセキュリティ上の質問の回答さえも自動的に生成します。つまり、ユーザーは、ログイン情報の保管庫にアクセスするために単一のPINまたはマスターパスワードを覚えるだけですみます。また、パスワードマネージャーの多くは、弱いパスワードや再使用されたパスワードを使用しないようユーザーにアドバイスし、パスワードを定期的に変更するよう促します。
11:ファイアウォールを使用する
ファイアウォールは、ハードウェアだけでなくソフトウェアも保護します。これは、独自の物理サーバーも運用している企業にとってメリットとなります。また、ファイアウォールは、ウイルスがネットワークに侵入するのをブロックまたは抑止することで機能します。これは、既にネットワークに侵入したウイルスに感染したソフトウェアをターゲットとして機能するアンチウイルスとは対照的です。
ファイアウォールを確実に配置することで、ビジネスのネットワークトラフィックが内部と外部の両方で保護されます。特定のWebサイトをブロックすることで、ハッカーによるネットワークへの攻撃を阻止できます。また、機密データや機密メールを企業のネットワークから外部に送信することを制限するようプログラムすることもできます。
ファイアウォールをインストールしたら、最新の状態に保つことを忘れないでください。ソフトウェアまたはファームウェア用の最新の更新プログラムが適用されていることを定期的に確認してください。
12:VPN(仮想プライベートネットワーク)を使用する
仮想プライベートネットワークは、ビジネスに対して別のセキュリティレイヤを提供します。VPNを使用すると、従業員は、リモートや移動中での作業時に会社のネットワークに安全にアクセスできます。これを行うには、会社独自のインターネット接続と、アクセスする必要がある実際のWebサイトやオンラインサービスとの間の別のセキュア接続を介してデータとIPアドレスをやり取りします。これは、ハッカーに対して脆弱である可能性がある喫茶店、空港、Airbnbなどで公共のインターネット接続を使用する場合に特に有用です。VPNは、ハッカーが盗もうとしているデータとハッカーを分離するセキュア接続をユーザーに提供します。
13:物理的な盗難から保護する
ネットワークに侵入しようとするハッカーに注意すると同時に、ハードウェアは盗まれる可能性があることも忘れないでください。不正な個人がノートパソコン、PC、スキャナーなどのビジネスデバイスにアクセスするのを防止する必要があります。これには、デバイスを物理的に保護する方法や、物理的な追跡機能を追加して紛失または盗難が発生した際にデバイスを取り戻す方法などがあります。外出中に携帯電話やノートPCに保管されている可能性があるデータの重要性を従業員全員が理解するよう徹底してください。
複数の従業員が使用しているデバイスについては、個別のユーザーアカウントやプロファイルを作成して保護を強化することを検討してください。リモートデータ消去を設定することもお勧めします。これにより、紛失したデバイスや盗まれたデバイス上のデータをリモートで消去できるようになります。
14:モバイルデバイスを見逃さない
モバイルデバイスは、特に機密情報が保管されていたり、企業ネットワークにアクセスできる場合に、セキュリティ上の課題が生じます。しかし、これらはしばしば、企業がサイバーセキュリティを計画するときに見逃されがちです。モバイルデバイスをパスワードで保護すること、セキュリティアプリをインストールすること、携帯電話がパブリックネットワークにつながっているときに犯罪者による情報の盗難を防止するためにデータを暗号化することを従業員に求めてください。携帯電話やタブレットが紛失したか盗まれた場合に報告する手順を必ず定めてください。
15:貴社と取引する第三者もセキュリティで保護されるよう徹底する
貴社のシステムへのアクセス権を付与する可能性があるパートナーやサプライヤーなどのその他の企業に注意します。これらの企業が貴社と同様の手法に従うよう徹底してください。誰かにアクセス権を付与する前に確認することを恐れないでください。
サイバーセキュリティ企業のどこを見るべきか
多くの小規模企業では、サイバーセキュリティが必ずしも中核的に重視されているわけではありません。サイバーセキュリティに関して支援が必要なのは当然です。最も大事なのはビジネス運営です。しかし、サイバーセキュリティ企業のどこを見るべきか、どうすれば分かるのでしょうか。ここでは、確認すべき重要な要素を紹介します。
第三者評価機関によるテストとレビュー:
サイバーセキュリティ企業は、技術的な専門用語や印象的なマーケティングキャンペーンでアピールすることがあるため、第三者評価機関によるテストとレビューを確認することが重要です。優れたサイバーセキュリティ企業は、その製品をテストしたいと考え、その結果を喜んで共有するものです。
格安のオプションは避ける:
来社し、ソフトウェアをインストールして帰っていく、それだけの企業は避けてください。また、1つの分野の専門であることを主張して、その他の製品やサポートを提供しないような企業では、貴社が必要とする保護は提供できません。
追加のサポート:
脅威を検知した場合、またはファイルのバックアップに問題がある場合には、適切なレベルのサポートを提供する企業が必要です。脅威の識別やソリューションの選択を支援し、サイバーセキュリティに関する手間を省いてくれる企業を選びましょう。
成長の可能性:
ビジネスは成長するため、貴社とともに成長できるサイバーセキュリティ企業が必要です。将来に必要になる可能性があるものを含め、企業に対して包括的なセキュリティシステムを提供する企業に焦点を当てます。
小規模企業の事業主には常にやるべきことがたくさんありますが、その最優先事項はサイバーセキュリティです。幸いにも、小規模企業を保護するための対策があります。適切なサイバーセキュリティ企業がリスクの軽減を支援します。
Kaspersky Endpoint Securityは、2021年に企業向けエンドポイントセキュリティ製品に関してベストパフォーマンス、ベストプロテクション、ベストユーザビリティの3つのAV-TEST賞を受賞しました。すべてのテストで、Kaspersky Endpoint Securityは、企業向けの優れたパフォーマンス、保護機能、使いやすさを示しました。
モノのインターネット(IoT)に関するその他の記事とリンク
製品とソリューション: