サイバー攻撃は年々高度化しその勢いを増しています。
ニュースに出るような大規模な顧客情報流出などの事件は、中小企業にとっては対岸の火事のようなものですが、他人事ではありません。
中小企業でも同じようなサイバー攻撃は年々増え、セキュリティ対策が不十分なため危険に晒されている企業も多いです。
今回は中小企業が抱えるサイバー攻撃のリスクと対処法を解説します。

中小企業における情報セキュリティ対策の実態

情報処理推進機構による
「2021年度 中小企業における情報セキュリティ対策に関する実態調査」の報告によると
中小企業の約3割がITセキュリティ投資を過去3年以内に行なっていないと回答しています。
前回調査の47.7パーセントからは改善したものの未だ3割がセキュリティ対策が不十分な状態です。
ちなみに、情報セキュリティ対策投資を行わなかった主な理由として掲げられるものは、「必要性を感じていない(40.5%)」で、「費用対効果が見えない(24.9%)」、「コストがかかりすぎる(22.0%)」と続いています。なお、中小企業(101人以上)の「その他」の割合が高いところ、これには「親会社が投資しているため自社負担がない」といった趣旨の回答が多くありました。
サイバー攻撃を受けたときのリスクについては、把握できないから、必要性を感じることができないというのが実情です。
費用対効果が見えないという回答も目立ちますが、サイバー攻撃を食らうことで倒産に追い込まれている中小企業もあることを認識しておく必要があります。

中小企業の約5%が何らかの被害にあっている

先ほど取り上げた情報処理推進機構による同調査によると、2020年度の1年間に情報セキュリティ被害にあったか否かを聞いた設問では、84.3%が「被害にあっていない」と回答しました。一方、何らかの情報セキュリティ被害にあった企業は5.7%で、そのうち最も多い回答は「コンピュータウイルスに感染(2.7%)」でした。
また、中小企業1117社に設置した機器が外部からの不審なアクセスを181,536件も検知したことが明らかになっています。
つまり、中小企業でも日常的にサイバー攻撃に晒されており、情報漏洩をしてしまうなどのリスクをはらんでいることが理解できます。

サイバー攻撃を受けたときのリスク

サイバー攻撃によるリスクは、業種によって様々です。
例えば、製造業であれば、工場内PCがランサムウェア感染を受けてしまい、生産ラインを3日停止した例などがあります。
他に、小売業であれば、ショッピングサイトへの不正アクセスで数万名分の会員情報が漏えいしたことなどにより、サイトが1〜2週間閉鎖してしまうこともあります。
さらに、教育、学習支援関連会社などでは、標的型攻撃メールによるコンピューターウイルス感染で、生徒など5百数名分の個人情報が漏えいしてしまった場合などもあります。

中小企業のサイバー攻撃事例

今回は、中小企業のサイバー攻撃事例として、2つ取り上げます。
1つ目は、2021年10月31日に、徳島県つるぎ町の「半田病院」が、ロシアのハッカー集団からサイバー攻撃を受けて、患者顧客情報8万5000件の漏出および院内システムと情報が暗号化された事件です。この件に関しては、脆弱したVPN(仮想ネットワーク)が攻撃された可能性が高いとされています。病院側の対応策としては、院内セキュリティシステムの強化に伴い、設備投資額2億円以上かかってしまったそうです。
2つ目は、建設コンサルタント業の「オリエンタルコンサルタンツ」が、外部からサーバーにランサムウェア(身代金型ウイルス)に感染したことが発覚しました。東京都や市川市などの同社に委託していた都市計画・設計、機密情報等が漏出して、サーバー攻撃に対する調査、対応、再設計費用として7億5,000万円の特別損失を計上しました。

大企業だけではない!実際にあった中小企業の情報セキュリティインシデント・事故事例

中小企業の情報セキュリティインシデントとしては、主にウイルス感染の例とランサムウェアの2種類に分類されます。
ウイルス感染事例では、従業員数が50名以上の製造業者の社員が、誤って不審なメール添付ファイルを開いたところ、基幹システムの書き換えを起こすウイルスが侵入してしまい、復旧までに1週間を要しました。
他には、役員のパソコンがウイルスに感染し、保存されていた過去の電子メールが、これまで送受信先などに大量に送信され、自社及び取引上の重要な情報が漏洩を起こし、顧客からの信頼を損ねてしまったといった事例がありました。
ランサムウェア事例では、メールに添付されているファイルを開いてしまった結果、「ファイルのロックをして、解除するためにはスクリーンに表示された電話番号にかける」ようにと表示され、社内の重要データなどの共有サーバで管理していた一部の情報が削除されてしまったといった例があがります。

中小企業が行うべきサイバー攻撃への備え

主に、以下の3つの対応策を講じるようにしましょう。
まず、1つ目の対策として、業務で使用する端末のOSを最新バージョンにしておくことで、脆弱性が見つかりやすくなり、以前のバージョンで見つかった脆弱性を解決できて、サイバー攻撃を防げます。
次に、2つ目の対策としては、ウイルス対策ソフトの導入です。ウイルス対策ソフトを導入することによって、通常では確認できないようなウイルスの検知や除去を可能としてくれます。
最後に、3つ目の対策として、私物の機器を使用しないことにあります。業務用の機器は、しっかりウイルス対策をしているケースが多いです。しかし、私物だと気づいていないだけでウイルスに感染している可能性があるため、そのまま社内ネットワークに接続してしまうとウイルスによる被害が拡大してしまいます。普段から、私物の機器を業務で使用しないように心がけましょう。

自社のセキュリティに不安がある企業は脆弱性診断がオススメです

今回、特に中小企業を対象としたセキュリティ対策の実態、リスク、サイバー攻撃事例からセキュリティインシデント、サイバー攻撃への備え方について、まとめました。
弊社アスエイトアドバイザリーでは、「自己脆弱性診断(ASVD)」の一環として、事前ヒアリングや広域かつ50項目以上の脆弱性診断(WEB・NWセキュリティ診断/侵入テストサービス)、対象システムへの疑似的な攻撃テスト、結果レポートまで、をいつでもサービスとして受けられます。
また、ログ監視サービスによって常日頃から専門家による全ログ収集と分析を行って、安心安全なセキュリティシステムの構築に力を入れています。
他にも、セキュリティに関する社内訓練支援や研修、ITリテラシーに関する教育サービスも提供しています。
もし、自社のセキュリティや不正に不安がある方、是非お気軽にご相談ください。

お問い合わせ・ご相談はコチラから