今やサイバー攻撃の標的になるのは大企業だけではありません。サプライチェーンを狙った攻撃が増加したことで中小企業も絶好のターゲットとなっているのです。では、これから身を守るために中小企業がすべきこととは何でしょうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバー攻撃の手法は日々進化しており、多様化、巧妙化も著しい。また、その攻撃対象も大手企業だけでなく中小企業や社会インフラにまで広がっている。こうした状況に向き合うわれわれも常に情報をアップデートし、手法や対策の在り方の更新が求められる。いち早く攻撃者の動向を察知し、対策を検討するセキュリティソリューションベンダーはこの状況をどう見ているだろうか。
本連載はサイバーセキュリティベンダーなどのリーダーに、最新のサイバー攻撃の動向やその防御の考え方、技術的な課題などを解説する。
連載3回目となる本稿は、中小企業を狙ったサイバー攻撃の現在を調査から明らかにしつつ、サイバー攻撃の最新事情とこれから身を守るために推奨する6つのセキュリティ対策を紹介します。
中小企業を狙ったサイバーセキュリティ脅威は高まる一方です。サイバー犯罪者は、価値の高いデータを保有しているにもかかわらずセキュリティ対策が非常に脆弱(ぜいじゃく)な中小企業を狙っているため、中小企業にとって今後直面する脅威と攻撃を防ぐ方法を知ることは非常に重要です。
多くの場合、中小企業が侵害を受けても大きなニュースにはなりません。そのため「中小企業は攻撃対象にならない」と考えられがちです。しかし、実際のところ、脅威アクターにとって中小企業は攻撃がたやすい格好のターゲットです。
データを見ると、サイバー犯罪者はこうしたメリットを利用して甘い汁を吸っているようです。GlobeNewswireの2022年の調査によると、2021年には中小企業の76%が「サイバー攻撃を1回以上受けた」と回答しており、2020年の55%から増加しています。CrowdStrikeが中小企業向けに実施した調査では、「中小企業の63%がランサムウェアやIDベースの攻撃を受け、サイバー脅威がますます高度化している」と回答しています。
中小企業を狙った脅威にはさまざまなものがあります。Verizonが2022年に発表した調査によると、システムへの侵入やソーシャルエンジニアリング、権限の不正使用が中小企業の侵害の98%を占めています。
さらに中小企業に対するデータ侵害の93%が認証情報によるものです。また、自社が攻撃ターゲットになることを懸念する組織の数も増加傾向にあります。2000社以上の中小企業の経営者を対象としたCNBCの調査によると、従業員50人以上の中小企業の61%が、1年以内にサイバー攻撃の対象になる可能性を懸念しています。
サイバー攻撃は中小企業に大きな財務的負担を与えかねず、マクロ経済が厳しい状況の中、大きな懸念材料となっています。BNPメディアによる最近の調査では、攻撃の犠牲となった中小企業の60%が、攻撃から半年以内に廃業に追い込まれています。
一方、多くの中小企業はマルウェア攻撃に備えて、基本的なウイルス対策ソフトウェアなどを導入することでセキュリティ対策は"十分だ"と考えがちです。
しかし、現実に中小企業がさらされている脅威は、昔よりもはるかに複雑かつ高度です。サイバー犯罪者は既存のセキュリティツールを回避するために、驚異的なスピードで攻撃の手口を進化させ続けており、これまでのアンチウイルスソフトウェアでは、システムを効果的に守ることが難しくなりつつあります。
さらに、多くの攻撃者はあらゆる規模の企業に侵入するために、人間工学を利用した方法を採用しています。例を挙げると、2022年にはIDベースの攻撃が増加し、従来の多要素認証(MFA)の防御をバイパスする高度なファイルレス攻撃の開発が進みました。
攻撃者は認証情報の盗難だけでなく、パス・ザ・クッキーやゴールデンSAML、多要素認証疲労攻撃などソーシャルエンジニアリングの手法を使ってアイデンティティーを侵害しています。CrowdStrikeの2022年版の脅威データによると、侵害の71%にはマルウェアが全く使用されていません。既知のファイルとシグネチャを活用した従来型のウイルス対策ソフトウェアのマルウェア検知機能に検出されることを避けるためです。
2023年も攻撃手法の進化は衰える兆しがありません。中小企業は予算と人員が限られる中、持てるリソースと時間を最大限に活用して高度な攻撃と戦うことが求められます。
脅威は検知するだけでなく防御することが必要です。多くの中小企業が限られた時間やリソース、専門知識を補うためにマネージドサービスアプローチを採用しています。さらに以下のベストプラクティスで、防御力を大幅に改善できます。
基本的な対策を講じたら、インテリジェンス主導型の防御機能で攻撃の検知と対応の強化を検討しましょう。適切な脅威インテリジェンスを利用できれば、脅威アクターは必ずしも複雑でも時間がかかるわけでもないと分かるでしょう。アトリビューション(サイバー攻撃者や攻撃手口、目的を特定すること)を実施することで、誰に狙われているのか、どのような手口かを特定し、現在の体制に潜む真のリスクを把握して、情報に基づいてセキュリティ戦略の立て直しを図れます。
サイバーセキュリティは中小企業にとって大きな課題ですが、限られたリソースでもセキュリティ対策を強化し、最新の脅威からサーバレス環境を保護することは可能です。セキュリティ戦略を見直し、体制を強化すれば、万が一サイバー攻撃を受けたとしても被害を大きく軽減できます。
マイケル・セントナスは、クラウドストライクの製品分野およびGTM(Go-To-Market)分野を率いています。具体的には、セールス、マーケティング、製品&エンジニアリング、脅威インテリジェンス、経営企画、CTOなどのチームを統括しています。サイバーセキュリティのベテランで20年超の経験を有するセントナスは、セキュリティの課題と進化する脅威の状況に関する大家として積極的に活動しており、業界の主要なイベントでの講演者、メディアの専門的な情報源、政府や企業の取締役会の信頼できるアドバイザーを定期的に務めています。
Copyright © ITmedia, Inc. All Rights Reserved.