「取引先経由」のサイバー攻撃が増加 狙われる中小企業が見直すべき「セキュリティ対策」の3ステップ（2/3 ページ）

[濱川太一，ITmedia]

VPNのメンテナンス不備が狙われる

　では、企業はどこから対策を始めるべきなのか。尾崎氏が繰り返し強調するのは「基本対策の徹底」だ。

　近年は生成AIやゼロデイ攻撃（※）など新たな脅威が注目を集める一方、実際の侵入経路を見るとVPN機器の脆弱性や設定ミスなど、基本的な管理不足が原因となっているケースが少なくないという。

（※）開発元が脆弱性を把握・修正する前（または修正プログラムが提供される前）に、その脆弱性を悪用して行われる攻撃（参照：富士フイルムビジネスイノベーション「ゼロデイ攻撃とは？主な手法や被害事例、企業ができる対策を解説」）

　特にVPNは注意が必要だという。VPNはコロナ禍で在宅勤務が広がり導入が進んだが、その後利用頻度が減り、メンテナンスが十分にされていないケースもある。実際、多くのランサムウェア被害でVPNが侵入口になっているという。

　また、会社が許可していないサービスを従業員が個人の判断で業務に利用する「シャドーAI」もリスクとなっている。例えば、外部の生成AIサービスに会議の録音データや議事録作成を依頼した場合、そこに取引先の情報やプロジェクトの機密情報が含まれている可能性がある。

　その他、退職者のSaaSのアカウント削除漏れが情報漏えいの原因となるケースもある。サービスやアカウントを定期的に棚卸しするなど、適切な管理が必要だ。

　こうした状況を受け、2026年度末には経済産業省が主導し、企業のセキュリティ対策レベルを客観的指標によって可視化する「SCS評価制度」（※）の開始も予定されている。

（※）経済産業省「『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針』（SCS評価制度の構築方針）を公表しました」

　制度への関心は高いが、尾崎氏は「チェックリストを埋めるためにセキュリティ対策をするのではなく、自社のリスクと取引上の責任を踏まえながら、段階的に体制を整備していくことが重要だ」と強調する。

VPNのメンテナンス不備が狙われている（提供：ゲッティイメージズ）

中堅・中小企業がやるべき3ステップ

　人員も予算も限られる中堅・中小企業にとって、全ての対策を一度に実施することは現実的ではない。「今年何をやるのか」「来年何をやるのか」と優先順位を付けながら進める必要がある。そのステップとして「可視化」→「統制・自動化」→「外部活用」の手順を尾崎氏は提示する。

　まず「可視化」では、自社にどのようなIT資産が存在するのかを把握する。利用しているSaaSやネットワーク機器などを棚卸しし、現状を正確に理解する。可視化できて初めて、どこにリスクがあり、どこへ優先的に投資すべきかが見えてくる。

　その次の段階が「統制・自動化」だ。例えばセキュリティソリューションを導入する場合でも、重要なのは導入そのものではない。どのようなアラートを検知し、誰が対応するのかを決めなければ運用は機能しない。

　そして、自社だけでは対応が難しい部分は、外部サービスや専門家を活用する。

　このように「可視化」→「統制・自動化」→「外部活用」の順番で進めることが、限られた人員やリソースで成果を上げるための現実的なアプローチだという。