株式会社CISO代表 那須氏に聞く中小企業の情報セキュリティ対策のはじめ方 第三回 サイバー攻撃対策でよくある誤解と正しい知識

2021年12月22日掲載

情報セキュリティ対策は大手企業だけでなく中小企業でも欠かせませんが、なかなか手が回らないのが実情です。そうした中小企業が抱える課題にセキュリティの専門家 CISO代表 那須氏が指南。自動車部品の製造業を営むA氏が情報セキュリティ対策について那須氏に相談した内容をシリーズでお届けします。第三回の本記事ではありがちなサイバー攻撃対策の誤解と正しい知識を解説します。

【前回までの内容】
第一回記事:迫り来るサイバー攻撃
第二回記事:企業を脅かすサイバー攻撃の手口

目次

ナビゲーター

那須 慎二 氏

株式会社 CISO 代表取締役

中小企業経営者A氏の悩み

A氏は都内で自動車部品の製造業を営んでいます。会社の規模は大きくないのですが、独自の加工技術を持っており、大手の自動車メーカと安定的な取引が出来ています。A氏が参加したある会合で、サイバー攻撃を受け機密情報が流出したことにより、大きな被害を被った同業他社の話を聞きました。その会社はA氏の会社と同じく中小規模であったため、A氏は自社も狙われるのではないか? 情報セキュリティは大丈夫なのか?と不安を感じ、企業セキュリティの専門家である株式会社CISO代表取締役の那須 慎二 氏に相談を持ち掛けました。

中小企業経営者 A氏

中小企業経営者 A氏

情報セキュリティの専門家 那須氏

サイバー攻撃対策は必要ない?

A氏:ううん....

那須氏:おやどうしましたAさん、浮かない顔をして。

A氏:先日、うちの会社のセキュリティも見直す必要があるんじゃないかと言ったら、「費用もかかるしそんな大げさなものは必要ないのでは」という声が社員から上がったんです。私はサイバー攻撃への対策が必要だと思っているんですが、うまく伝えることができず...那須さん、彼らにわかりやすく伝えたいので相談に乗っていただけませんか?

那須氏:もちろんです!企業のセキュリティ関連施策は、それ自体が利益を生むものではないし色々誤解されている点があるので社員に理解してもらうのは大変ですよね。今日はそうしたよくある誤解を解いていきましょう。

誤解①ウイルス対策ソフトを入れていればサイバー攻撃を防げる

那須氏:セキュリティへの誤解の中でも一番よくあるのが、「ウイルス対策ソフトを入れていればサイバー攻撃はなんでも防げる」です。

A氏:はい、うちの社員もまさにそう言っていました。もうウイルス対策ソフトは導入済だからこれ以上の対策はいらない!と。

那須氏:残念ながら、ウイルス対策ソフトで全てのサイバー攻撃やウイルスを防げるわけではありません。ウイルス対策ソフトは一般的に、出回っているウイルスを捕まえて解析し、そのウイルスに対処するプログラムを作る「パターンマッチング」という手法で作成されています。しかしこの手法では既存のウイルスは防ぐことは出来ても、新種のウイルスを防ぐことは困難です。

また、サイバー攻撃にはファイルレス攻撃など、ウイルスを使用せずに端末やネットワークに侵入する手法もあり、こちらもウイルス対策ソフトでは防ぐことが出来ません。

*ファイルレス攻撃:OSに標準的に搭載されている機能を悪用して侵入する攻撃手法

誤解②怪しいWebサイトを見なければよい

那須氏:次の誤解は「怪しいWebサイトを見なければよい」です。確かに、Webサイトには明らかに怪しく危険な感じがする所もあります。しかし、そうしたWebサイトだけが危険なのではありません。

A氏:これは先日教えてもらいましたね。一見普通のWebサイトが攻撃者に乗っ取られているんでしたっけ?

那須氏:その通りです。Webサイトのセキュリティは課題が多く、ごく普通に見えるWebサイトが乗っ取られてサイバー攻撃の足掛かりになっています。ほかにも、Webサイト自体には問題がなくとも、表示されている広告バナーにウイルスが仕込まれている場合もあります。

いずれの場合も、PCなど端末にセキュリティ上の脆弱性がある場合、Webサイトを表示しただけで瞬間的にウイルスに感染してしまいます。業務端末でのWebサイト閲覧は、必要最低限にとどめた方がよいでしょう。

誤解③いざとなったらインターネットを使わなければよい

那須氏:ほかにも、「いざとなればインターネットを使わなければよい」と言う人がいます。サイバー攻撃の大部分はネット経由なのでこの意見はある意味正しいです。しかし、現代の企業活動にインターネットは必要不可欠であり、これを遮断してしまうことは経営に大きな問題をもたらします。

A氏:たしかに、メールが使えないだけでも大きな問題になりますね。

那須氏:加えて、仮にインターネットを遮断したとしても完璧にサイバー攻撃を防げるとは限りません。例えば、USBメモリやCDなどにウイルスを仕込んで企業に送り付け、PCに接続させることで攻撃するなどの手法もあります。

A氏:インターネットのリスクと利便性のバランスを取りながら、攻撃を防ぐように考えることが大事ですね。

誤解④取られて困るような情報はない

那須氏:「うちは大企業ではないから、サイバー攻撃者に狙われるような情報はない」と考えている人もいます。

A氏:いますね~!うちの会社にも何人かそういう事を言っている社員がいます。

那須氏:大企業でないからといって、重要な情報を持っていないとは限りません。中小規模の企業でも、攻撃者から見ればお宝のような技術データを持っているケースはたくさんあります。

A氏:取引先の顧客データなども狙われそうですね。

那須氏:まさにその通りです。また、大企業はセキュリティが堅いため、セキュリティの脆弱な中小企業にサイバー攻撃をしかけ、そこを足掛かりとして取引関係のある大企業を攻撃する「サプライチェーン攻撃」と呼ばれる手法もあります。この場合、中小企業は攻撃の被害者であるだけでなく、大企業に対しては加害者にもなってしまいます。

誤解⑤被害に遭っても銀行が補償してくれる

那須氏:最後にご紹介する誤解は、「サイバー攻撃の被害に遭っても銀行が補償してくれる」です。

A氏:私もそう思っていたのですが、銀行は補償してくれないんですか?

那須氏:銀行が補償可能なケースと、そうでないケースがあります。例えば攻撃者に騙されてお金を送金してしまった場合は、被害者が自分の意思で行動しているため銀行の補償を受けられない場合があります。ほかにも、ウイルス対策ソフトを使用しているか、端末のOSは適切にアップデートしているかなど、銀行が認めるセキュリティ対策を企業側が実施しているかどうかが、補償の可否を分けます。

A氏:サイバー攻撃の被害に遭ったからといって、銀行はなんでも補償してくれる訳ではないんですね。一度、銀行に基準を確認してみます。

基本的なセキュリティ対策を実施しよう

那須氏:今日ご紹介したような誤解が社内で解けても、大掛かりな対策をいきなり実施するのは難しいと思います。そのため、まずは基本的なセキュリティ対策の実施からはじめましょう。例えば業務PCのOSやインターネットブラウザは古いものを使用していると新しいウイルスに対して脆弱性がありますので、最新の物を使用されることをお勧めします。

また、OSはメーカから脆弱性を解消するアップデートファイルが定期的に配信されているのですが、PCをシャットダウンしないとファイルが適用されず脆弱性が残ってしまうので、終業時にはPCを必ずシャットダウンすることを社内で呼びかけましょう。これはテレワークなど、社員がオフィス外で働いている場合に目が届きにくくなるので、特に注意喚起する必要があります。

A氏:なるほど!私も伺ったお話しを整理して、早速社員に伝えます。今日もありがとうございました!

那須氏:こちらこそありがとうございました!また宜しくお願いします!

当連載記事もいよいよ次回が最終回となります。記事でご紹介した「基本的なセキュリティ対策」については連載第二回でより詳しく触れておりますので、宜しければそちらもご参照ください。

また記事ではご紹介しきれなかった、「管理者が気を付けるべきセキュリティ対策」は下記フォームより資料をダウンロード頂けます。貴社のセキュリティ強化のため、社内回覧などにもお役立ていただければ幸いです。

~情報セキュリティ入門資料~
すぐに出来る!情報セキュリティ3つのポイント

おすすめの記事

条件に該当するページがございません