中小企業の約8割がサイバー攻撃を1回以上経験 防御力を上げる“6つ”の施策：海外セキュリティリーダーからの提言

今やサイバー攻撃の標的になるのは大企業だけではありません。サプライチェーンを狙った攻撃が増加したことで中小企業も絶好のターゲットとなっているのです。では、これから身を守るために中小企業がすべきこととは何でしょうか。

[Michael Sentonas，CrowdStrike]

この連載について

　サイバー攻撃の手法は日々進化しており、多様化、巧妙化も著しい。また、その攻撃対象も大手企業だけでなく中小企業や社会インフラにまで広がっている。こうした状況に向き合うわれわれも常に情報をアップデートし、手法や対策の在り方の更新が求められる。いち早く攻撃者の動向を察知し、対策を検討するセキュリティソリューションベンダーはこの状況をどう見ているだろうか。

　本連載はサイバーセキュリティベンダーなどのリーダーに、最新のサイバー攻撃の動向やその防御の考え方、技術的な課題などを解説する。

　連載3回目となる本稿は、中小企業を狙ったサイバー攻撃の現在を調査から明らかにしつつ、サイバー攻撃の最新事情とこれから身を守るために推奨する6つのセキュリティ対策を紹介します。

狙われる中小企業　60％が攻撃を受けた半年後に廃業というデータも

　中小企業を狙ったサイバーセキュリティ脅威は高まる一方です。サイバー犯罪者は、価値の高いデータを保有しているにもかかわらずセキュリティ対策が非常に脆弱（ぜいじゃく）な中小企業を狙っているため、中小企業にとって今後直面する脅威と攻撃を防ぐ方法を知ることは非常に重要です。

　多くの場合、中小企業が侵害を受けても大きなニュースにはなりません。そのため「中小企業は攻撃対象にならない」と考えられがちです。しかし、実際のところ、脅威アクターにとって中小企業は攻撃がたやすい格好のターゲットです。

　データを見ると、サイバー犯罪者はこうしたメリットを利用して甘い汁を吸っているようです。GlobeNewswireの2022年の調査によると、2021年には中小企業の76％が「サイバー攻撃を1回以上受けた」と回答しており、2020年の55％から増加しています。CrowdStrikeが中小企業向けに実施した調査では、「中小企業の63％がランサムウェアやIDベースの攻撃を受け、サイバー脅威がますます高度化している」と回答しています。

　中小企業を狙った脅威にはさまざまなものがあります。Verizonが2022年に発表した調査によると、システムへの侵入やソーシャルエンジニアリング、権限の不正使用が中小企業の侵害の98％を占めています。

　さらに中小企業に対するデータ侵害の93％が認証情報によるものです。また、自社が攻撃ターゲットになることを懸念する組織の数も増加傾向にあります。2000社以上の中小企業の経営者を対象としたCNBCの調査によると、従業員50人以上の中小企業の61％が、1年以内にサイバー攻撃の対象になる可能性を懸念しています。

　サイバー攻撃は中小企業に大きな財務的負担を与えかねず、マクロ経済が厳しい状況の中、大きな懸念材料となっています。BNPメディアによる最近の調査では、攻撃の犠牲となった中小企業の60％が、攻撃から半年以内に廃業に追い込まれています。

マルウェア対策ソフトだけでは“足りない”　高度化するサイバー攻撃

　一方、多くの中小企業はマルウェア攻撃に備えて、基本的なウイルス対策ソフトウェアなどを導入することでセキュリティ対策は"十分だ"と考えがちです。

　しかし、現実に中小企業がさらされている脅威は、昔よりもはるかに複雑かつ高度です。サイバー犯罪者は既存のセキュリティツールを回避するために、驚異的なスピードで攻撃の手口を進化させ続けており、これまでのアンチウイルスソフトウェアでは、システムを効果的に守ることが難しくなりつつあります。

　さらに、多くの攻撃者はあらゆる規模の企業に侵入するために、人間工学を利用した方法を採用しています。例を挙げると、2022年にはIDベースの攻撃が増加し、従来の多要素認証（MFA）の防御をバイパスする高度なファイルレス攻撃の開発が進みました。

　攻撃者は認証情報の盗難だけでなく、パス・ザ・クッキーやゴールデンSAML、多要素認証疲労攻撃などソーシャルエンジニアリングの手法を使ってアイデンティティーを侵害しています。CrowdStrikeの2022年版の脅威データによると、侵害の71％にはマルウェアが全く使用されていません。既知のファイルとシグネチャを活用した従来型のウイルス対策ソフトウェアのマルウェア検知機能に検出されることを避けるためです。

　2023年も攻撃手法の進化は衰える兆しがありません。中小企業は予算と人員が限られる中、持てるリソースと時間を最大限に活用して高度な攻撃と戦うことが求められます。

中小企業が身を守るためにやるべき“6つ”の対策

　脅威は検知するだけでなく防御することが必要です。多くの中小企業が限られた時間やリソース、専門知識を補うためにマネージドサービスアプローチを採用しています。さらに以下のベストプラクティスで、防御力を大幅に改善できます。

1. 従業員教育：全従業員が職場で遭遇し得るフィッシングやスミッシング、ハニートラップ攻撃などをはじめとするセキュリティ脅威や、ソーシャルエンジニアリング攻撃を把握する必要があります
2. 多要素認証の導入：アイデンティティーはサイバー攻撃の重要な要素です。多要素認証で複数の防御レイヤーを重ねることで、従業員と攻撃者を確実に見分けるとともに、安全にシステムやリソースにアクセスできるようにします
3. 重要なデータを定期的にバックアップ：クラウドにバックアップデータがあれば、システム侵害を受けた場合も安心です。クラウドによって、データのバックアップが容易になり、可視性を改善できます。また、実行スピードの高速化は、ダウンタイムの最小化にもつながります。さらに攻撃者がシステムにアクセスしてバックアップを暗号化することがあるため、強固な防御策を講じることは非常に重要です
4. ソフトウェアの最新パッチの適用：データ侵害の多くで、パッチが適用されていない脆弱性が狙われています。この攻撃ベクトルを防御するために、ソフトウェアを最新の状態に保ちましょう。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、「既知の悪用された脆弱性カタログ」を公開しています。
5. クラウド環境の封鎖：多要素認証の導入や、従業員に業務上必要なリソースにアクセスするための最小限の権限のみを与える最小権限の原則（PoLP）の順守によって、「Box」や「Google ドライブ」などのクラウドストレージを保護します
6. 脅威の検知と対応機能の導入とテスト：時間を見つけて環境とユーザーの行動を分析し、悪意のあるアクティビティーや異常なアクティビティーの有無を確認しましょう。脅威アクターやスパイ技術、IOA（Indicator Of Attack）に関する最新情報を把握することも必要です。効果的なインシデント対応を定義して文書化するとともにテストを実施し、攻撃を可能性ではなく、いつか確実に受けるものとして対応計画を立てましょう

　基本的な対策を講じたら、インテリジェンス主導型の防御機能で攻撃の検知と対応の強化を検討しましょう。適切な脅威インテリジェンスを利用できれば、脅威アクターは必ずしも複雑でも時間がかかるわけでもないと分かるでしょう。アトリビューション（サイバー攻撃者や攻撃手口、目的を特定すること）を実施することで、誰に狙われているのか、どのような手口かを特定し、現在の体制に潜む真のリスクを把握して、情報に基づいてセキュリティ戦略の立て直しを図れます。

　サイバーセキュリティは中小企業にとって大きな課題ですが、限られたリソースでもセキュリティ対策を強化し、最新の脅威からサーバレス環境を保護することは可能です。セキュリティ戦略を見直し、体制を強化すれば、万が一サイバー攻撃を受けたとしても被害を大きく軽減できます。

執筆者紹介：CrowdStrike　クラウドストライク最高技術責任者（CTO）、マイケル・セントナス（Michael Sentonas）氏

マイケル・セントナスは、クラウドストライクの製品分野およびGTM（Go-To-Market）分野を率いています。具体的には、セールス、マーケティング、製品＆エンジニアリング、脅威インテリジェンス、経営企画、CTOなどのチームを統括しています。サイバーセキュリティのベテランで20年超の経験を有するセントナスは、セキュリティの課題と進化する脅威の状況に関する大家として積極的に活動しており、業界の主要なイベントでの講演者、メディアの専門的な情報源、政府や企業の取締役会の信頼できるアドバイザーを定期的に務めています。