近年、中小規模の企業(SMB)が大企業と同じように、リモートワーク、生産、販売用のデジタル技術を採用する事例がますます増えています。しかし、これらの企業は、拡大したコンピューターネットワークによってサイバー脅威に対する新しい脆弱性が生じたとしても、必ずしも十分なサイバーセキュリティを使用して採用計画を最後までやり通しているわけではありません。これは失策です。なぜなら、サイバー攻撃は金銭面と評判面の両方で重大な損害をもたらす可能性があるからです。これは、小規模企業向けのサイバーセキュリティには真剣に検討するだけの価値があることを意味します。
サイバーセキュリティとは
サイバーセキュリティは、企業の重要なシステムと機密情報をサイバー攻撃やデータ侵害から保護する一連のプロセスと戦略です。サイバー攻撃は、脅威環境の発展に伴いますます高度化しています。サイバー犯罪者は、AIとソーシャルエンジニアリングを使用して攻撃の新しい手法を考案しています。この結果、企業はこれに応じてサイバーセキュリティ対策を強化する必要があります。
小規模企業がサイバー攻撃に対して脆弱である理由
サイバー犯罪者が取り組みの大半を大企業に集中するとお考えかもしれませんが、実際には、小規模企業の方がサイバー攻撃に対して脆弱であることを示す証拠があります。これはたいてい、大企業が持つサイバー脅威から保護するためのリソースが小規模企業にはないことが原因です。小規模企業は、サイバーセキュリティに対する支出が少なく、古くなってサポートされていないソフトウェアを使用している可能性も高くなります。このため、サイバー犯罪者の標的になりやすくなります。
また、小規模企業の方が、仕事に独自のデバイスを使用する従業員を採用する可能性が高いです。これによって時間とコストを節約できますが、個人的なデバイスの方が悪意のあるダウンロードに伴うリスクが生じる可能性が高いため、マルウェア攻撃を受ける可能性が増します。
サイバー犯罪者が小規模企業を標的にする動機には、以下があります。
金銭:主な動機は金銭の獲得です。一部のサイバー攻撃は破壊や復讐の欲求が原動力ですが、大半は利益を上げるために行われています。これが、ランサムウェアがこれほどまでに人気のある攻撃手法である理由です。いかなる攻撃手法であれ高い収益を上げることができるのであれば、ハッカーはそれを使用し続けます。
コンピューターの処理能力:ハッカーは、企業のコンピューターを徴用してボット部隊を編成し、分散型サービス拒否(DDoS)攻撃を実行する場合があります。DDoS攻撃は、大量のWebトラフィックを人工的に生成して企業へのサービスを混乱させることで機能します。ハイジャックされたボットは破壊的トラフィックの生成の役に立ちます。
その他の企業へのつながり:小規模企業は、取引、サプライチェーン、情報共有を介してその他の企業とデジタル的につながります。大企業の方が侵害しにくい可能性があるため、ハッカーは時に、大企業のシステムを攻撃する手段として小規模企業を標的にします。
小規模企業に影響を及ぼす可能性があるサイバー脅威の種類
ビジネス向けのサイバーセキュリティ戦略を策定する前に、脅威の環境を理解すると役に立ちます。小規模企業に影響を及ぼすサイバー脅威には、以下があります。
ソーシャルエンジニアリング:
これは、詐欺を目的として標的が機密情報を開示するよう騙したり、巧みに操ったりするサイバー犯罪の一種です。ソーシャルエンジニアリングは、以下を含むさまざまな形態をとる場合があります。
- フィッシング - ハッカーは、受信者がプライベート情報を渡すよう騙したり、被害者のデバイスまたはネットワークに悪意のあるソフトウェアをインストールしたりすることを目的とした偽メールを送信します。
- スピアフィッシング – 通常は知っている人物になりすまして、特定の個人を標的とするフィッシングの一種です。
- 偽Webサイト – ユーザーを騙して詐欺または悪意のある攻撃の標的とする詐欺Webサイト。
- なりすまし電話 - 詐欺師が発信者IDを変更して、発信元の人物の身元を詐称します。
- スミッシング – 攻撃プラットフォームとして携帯電話を使用するフィッシングの一種。
ランサムウェア:
ランサムウェアは、ハッカーが企業を標的とするときに使用する最も一般的な手法の一種です。ランサムウェアは、コンピューターをロックし、データを暗号化して、データを人質にします。所有者がデータへのアクセス権を取り戻すには、ハッカーに身代金を支払って復号化キーを解放してもらう必要があります。レポートによると、ランサムウェア攻撃の71%が小規模企業を標的としており、身代金要求の平均額は116,000ドルに及びます。SMBは往々にして、データがバックアップされていない可能性があり、できるだけ早く業務を元の状態に戻す必要があるため、身代金要求に対して支払う可能性が高くなります。
マルウェア:
マルウェアは、ユーザーのデバイスまたはネットワークに被害を及ぼすことを目的とした悪意のあるソフトウェアの総称です。マルウェアには、トロイの木馬やウイルスなどの多様なサイバー脅威が含まれます(実際に、ランサムウェアはマルウェアの1形態です)。マルウェア攻撃は、デバイスに不具合を生じさせ、高価な修理や交換が必要になるため、小規模企業に被害をもたらします。また、マルウェアによって攻撃者はデータにアクセスするためのバックドアを手に入れることができるため、顧客と従業員の両方がリスクに曝されます。
ボットネット:
ボットネットは、マルウェアに侵害されて感染し、処理能力を集約してサイバー攻撃を実行できるようになったコンピューターのネットワークです。ボットネットはしばらくの間は大企業に対する脅威だと見なされていましたが、近年は、中小規模の企業も標的となっています。
分散型サービス拒否攻撃:
分散型サービス拒否(DDoS)攻撃は、多数の異なるソースからのトラフィックでWebサイトを溢れさせて停止することを狙います。DDoS攻撃が成功すると、Webサイトが全体的にオフラインになり、顧客がアクセスできなくなります。
SQLインジェクション:
企業にSQL(構造化照会言語を意味します)上のデータベースがある場合、SQLインジェクションに対して脆弱である可能性があります。SQLインジェクションとは、悪意のあるコードをSQLデータベースに挿入することを意味します。悪意のあるコードの性質によっては、その結果が非常に深刻なものになる場合があります。たとえば、データを削除したり、ユーザーの機密情報を侵害したり、極端な場合はシステム全体を停止させます。これは、Webサイト攻撃の最も一般的な形態です。
SMBのサイバーセキュリティが不可欠である理由
一般的に小規模企業向けのサイバーセキュリティとSMBのセキュリティを真剣に検討する必要がある理由はさまざまです。
経済損失の可能性:
サイバーインシデントにより、小規模企業の財務が、場合によっては末期的に破壊される可能性があります。復旧のコスト、ダウンタイム中の収入の損失、および規制への非準拠に対する違約金の支払いにより、最終的な収益に重大な影響が及ぶ可能性があります。
世評の悪化:
顧客の詳細に影響を及ぼすデータ侵害の被害を事業が受けている場合、攻撃の規模や攻撃への対処方法に応じて、会社の評判に重大な影響が及ぶ可能性があります。これは、新しい顧客や従業員を引き付けて維持する能力に影響を及ぼす可能性があります。
リスクに曝される従業員:
機密のHRファイル、誕生日、財務情報などの従業員の機密情報がサイバー犯罪者によって盗まれると、これらの従業員が個人情報の盗難やその他のサイバー犯罪に遭うリスクが生じます。
事業を継続する能力:
特に新型コロナウイルス感染症の大流行以降、あらゆる規模の企業がコンピューターシステムに大きく依存するようになりました。クラウドサービス、スマートフォン、モノのインターネット、およびAIに依存することは、サイバー攻撃に起因する混乱により、通常どおりに事業を営んで取引する能力が大きく損なわれることを意味します。
規制への準拠:
世界中の法域でインターネットに関連する規制が強化されています。たとえば、欧州では一般データ保護規則(GDPR)、カリフォルニア州ではカリフォルニア州の消費者プライバシー法が存在します。これらの規制は、データを収集して保管する組織に義務を課し、準拠しない場合は処罰を科し、あらゆる規模の企業に対してデータのプライバシーに真剣に取り組む必要性を強調しています。インターネットを規制する法律について詳しくはこちらをお読みください。
進化し続ける脅威環境:
サイバー脅威はその量と複雑さを増しています。世界中で、30,000を超えるWebサイトが毎日ハッキングされており、300,000を超える新しいマルウェアが毎日作成されていると想定されています。サイバー犯罪は常に、あらゆる規模の企業を搾取および攻撃する方法を模索しています。貴社がこれまでに攻撃を受けなかったからと言って、貴社が今後も影響を受けないことを意味するわけではありません。
小規模企業がサイバー脅威の影響を受ける頻度
SMBに対するサイバー攻撃のリスク(既に一般的に大企業のリスクより高い)は、近年高まっています。たとえば、企業のサイバーセキュリティのリスクを評価するMasterCardの1部門であるRiskReconによると、2020年と2021年には、小規模企業でのデータ侵害は過去2年間と比べて世界的に152%増加しました。この数字は、同じ期間における大企業と同等の数値を倍にしたものになります。
IBMによる2021年の調査によると、小規模企業の52%が前年にサイバー攻撃を受けたことが判明しました。しかし、この事実にもかかわらず、多くの企業は準備が整っていません。米国のビジネスサービスプロバイダーであるUpCityによる調査では、2022年にサイバーセキュリティ計画を実施している企業はわずか50%であることが明らかになりました。
経済環境が厳しい場合、企業が日々の業務と当面の生き残りに集中するのは当然です。しかし、サイバー脅威の環境を鑑みると、サイバーセキュリティは企業が長期的に生き残る上で重要な要素になります。
小規模企業をサイバー脅威から保護する方法
SMBをサイバー脅威から保護するには、サイバーセキュリティ戦略を立てる必要があります。堅牢なサイバーセキュリティ戦略には、以下が含まれる必要があります。
- 従業員のトレーニングと意識向上
- ネットワークセキュリティ
- インフラストラクチャセキュリティ
- アプリケーションセキュリティ
- 情報セキュリティ
- クラウドセキュリティ
- 重大な攻撃発生時の災害復旧または事業継続性
社内でセキュリティの文化を醸成することが極めて重要です。従業員と管理者は、優れた基本的なセキュリティ対策を学習してこれに従う必要があります。ただし、セキュリティ意識だけでは十分だと言えません。SMBは、ビジネスを保護するために適切なセキュリティツールにも投資する必要があります。
小規模企業のネットワークの保護
サイバーセキュリティの専門家はネットワークセキュリティについてよく言及します。これは、大規模企業だけにかかわる問題のように聞こえますが、2台以上のコンピューターを所有していればそれは既にビジネスネットワークです。また、従業員が業務でスマートフォンを利用する場合、1台のデスクトップコンピューターとそのスマートフォンによってビジネスネットワークが構築されます。
インターネットセキュリティに対する「認識」こそが最初に実施すべき重要なセキュリティ対策です。ネットワークへのアクセスは、定期的に変更する必要がある強力なパスワードによって保護する必要があります。
加えて、社内ネットワークへのアクセス権を持つユーザーは、メールも警戒する必要があります。既知の信頼のおける人/組織からのメールであると確信できる場合以外は、本文に記載されているリンクをクリックしないでください。同僚と称して送られてくるメールであっても、怪しいメッセージを含むメールには疑ってかかる必要があります。また、銀行やその他の企業であるとして、口座情報を問い合わせてくるメールにも注意してください。これらはいずれも「フィッシング」と呼ばれる、受信者を欺こうとする詐欺である可能性があるため、警戒が必要です。
効果的な保護対策への投資
基本的なセキュリティ対策を効果的に実施することによって、サイバー犯罪者が企業ネットワークに侵入する機会を減らすことができます。たとえ小規模企業であってもセキュリティを確保するためには適切なビジネスソリューションが必要です。
無料の小規模企業向けセキュリティソフトウェアでは十分に保護できるとは限りません。無料のセキュリティソフトウェアは、基本的に販促を目的として配布されています。購入前に試すことができるので、実際に購入するかどうかの判断材料にはなるかもしれませんが、本質的にその機能や期限には限界があります。一方、効果的な小規模企業向けのセキュリティソフトウェアは、良心的な価格で購入することができます。
効果的なビジネスソリューションは、以下に記載する5つの基本的な機能を備えている必要があります。
- コンピューターウイルスとその他のマルウェアに対する保護機能。
- モバイルセキュリティ(モバイルネットワークアクセスは現在、実質的に誰もが使用しているため)。
- 個々のファイルやフォルダー、またはデータディスク全体の暗号化機能。
- ネットワークにアクセス可能なさまざまなデバイスを含むエンドポイントの保護機能。
- 最後に、システム管理ツール(保護機能を更新するパッチ管理など)。これは効果的なビジネスセキュリティ製品で必要不可欠な機能です。
効果的なセキュリティ対策機能とインターネットセキュリティに対する意識改善により、小規模企業もサイバー犯罪から自社を保護できます。サイバー犯罪者は企業内ネットワークへのアクセスを試みるでしょうが、ドアが開かなければ、侵入をあきらめ、他の犠牲者を探すことでしょう。
セキュリティに関するその他の記事とリンク: