お問い合わせ

中小企業のセキュリティリスクと最新ガイドライン ~ランサムウェアとサプライチェーン攻撃への対策~

公開日 : 2023年06月28日
更新日 : 2024年06月05日
中小企業のセキュリティリスクと最新ガイドライン

目次

  1. 昨今の情勢について
  2. 4年ぶりに改訂された3.1版のポイント
  3. まとめ

1. 昨今の情勢について

中小企業のITの利活用が進む一方、サイバー攻撃手法の巧妙化、悪質化などにより事業に影響を及ぼすリスクが高まってきています。

独立行政法人情報処理推進機構(以下、IPA)が公開した「情報セキュリティ10大脅威 2023」*では、「ランサムウェアによる被害」と「サプライチェーンの弱点を悪用した攻撃」がそれぞれ第一位と第二位となっています。

*「情報セキュリティ10大脅威 2023」とは、2022年に発生した情報セキュリティの事案から、特に影響が大きいと考えられる脅威についてIPAが独自に選定したもの。

ランサムウェアとは、感染したパソコンなどのデバイスに保存されているファイルを暗号化したり、端末をロックしたりして特定の制限をかけ、その制限の解除と引き換えに金銭を要求するサイバー攻撃のことです。ランサムウェアに感染すると、同一ネットワーク上のファイルサーバーや接続している記録媒体など、感染が広範囲に及ぶ可能性があります。日本でも多くの感染事例が報告されており、その対策は急務です。

また「サプライチェーンの弱点を悪用した攻撃」については、以前からそのリスクは語られていました。経済産業省が2015年に公表した「サイバーセキュリティ経営ガイドライン Ver1.0」でも「自社のみならず、系列企業やサプライチェーンのビジネスパートナーなどを含めたセキュリティ対策が必要」と警告しています。しかしサイバー攻撃は激化しており、2022年には実際に系列企業や海外子会社がランサムウェア被害に遭い、本社の業務が停止する例がありました。このように、その懸念は現実のものとなってしまったのです。

これまでのセキュリティ対策は、大企業を中心に進められてきました。重要な資産となる情報を守るため、多大なコストをかけてセキュリティ対策を講じることができたのです。しかし中小企業は大企業ほどセキュリティにコストをかけることができず、セキュリティ意識もそこまで高くないというのが実状です。そのため、十分な対策が取られず、攻撃者のターゲットとなってしまいました。実際に中小企業を踏み台としたサプライチェーン全体のセキュリティインシデントが頻繁に発生しているため、早急な対策が求められています。

2. 4年ぶりに改訂された3.1版のポイント

そこでIPAは、2023年4月26日「中小企業の情報セキュリティ対策ガイドライン第3.1版」(以下、ガイドライン)を公開しました。

このガイドラインは、個人事業主や小規模事業者を含む中小企業の経営者が情報セキュリティ対策に取り組む際に認識し実施すべき指針や、社内において対策を実践する際の手順や手法をまとめたものとなっています。3.1版では「テレワークの情報セキュリティ」や「セキュリティインシデント対応」に関する開設が追加されており、コロナ禍によって利用が増加したリモートワークを想定したセキュリティ対策の情報も追加されています。

「テレワークの情報セキュリティ」では、①テレワークの方針検討、②テレワークのセキュリティ対策、③テレワークの運用に分け、それぞれのポイントについてわかりやすく解説されています。また「セキュリティインシデント対応」では、①検知・初動対応、②報告・公表、③復旧・再発防止のそれぞれのポイントに置ける検討事項などが開設されています。

3. まとめ

これまでセキュリティ対策は大企業を中心に対策が行われてきました。しかしこれからは、サプライチェーンで繋がる中小企業であっても、セキュリティ対策は必須になっています。取引先からも強固なセキュリティ対策が求められるようになり、大企業と同様のセキュリティ対策を構築しなければいけなくなるでしょう。DXやリモートワークが推進されているなか、それらを安心して進めるためのセキュリティ対策も重要になっているのです。

しかし、中小企業にとって日々進化し続けているサイバー攻撃への対応の負荷は大きい上、多重投資になっているセキュリティ対策があったり、そもそも対策ができていない範囲の整理などができていなかったりするケースも少なくありません。さらに、情報システム部門だけではどこまでセキュリティ対策に投資すべきか判断が難しいというケースもあるでしょう。セキュリティ対策の重要性は理解しつつも、何から手を付けていいのか分からないという企業は多いのです。

JBCCは、企業ごとに適切なセキュリティ対策を行うために脅威を可視化する「見える化サービス」を提供しています。こういったサービスを活用しながら、ガイドラインに現実的に対応できるセキュリティ対策を実施していくといいでしょう。

お客様ごとに適切なセキュリティ対策を行うために脅威を可視化「見える化サービス」

https://www.jbcc.co.jp/products/solution/sec/visual/

JBCC株式会社ロゴ

JBCC株式会社

JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援するITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,411社、超高速開発による基幹システム構築 480社、セキュリティ 1,110社の実績があります。
お客様の環境に合わせた最適なITシステムを、クラウド、超高速開発、セキュリティ、データ連携等を活用し、企業のDX実現と経営変革に貢献します。

コラム
警視庁が注意喚起、家庭用Wi-Fiルーターのサイバー攻撃被害を防ぐためには定期的な確認を

警視庁が注意喚起、家庭用Wi-Fiルーターのサイバー攻撃被害を防ぐためには定期的な確認を

テレワークの普及により家庭用Wi-Fiルーターに会社用PCを接続している方も多いのではないでしょうか。 昨今、サイバー攻撃者が家庭用Wi-Fiルーターへ外部から不正アクセスし、ルーターを乗っ取り家庭内のPCへの攻撃(情報搾取)に利用するケースが相次いでいます。今回確認された手法は、一般家庭で利用されているルーターを、サイバー攻撃者が外部から不正に操作して搭載機能を有効化するというものでした。一度設定を変更されると従来の対策のみでは不正な状態は解消されず、永続的に不正利用可能な状態となってしまう手法です。この事例のように、家庭用Wi-Fiルーターがセキュリティホールとなり、業務で取り扱っているデータが情報漏洩へと繋がる可能性もあります。警視庁が注意喚起を発表していますので、ご家庭で使用されているルーターのセキュリティ対策を確認してみましょう。

見える化サービス
見える化サービス

見える化サービス

お客様ごとの最適なセキュリティ対策を導き出すため、セキュリティの現状と課題を「見える化」する各種サービスのご紹介です。