「お題目」ではない中小企業に本当に必要なセキュリティ対策とは?:Digital Leaders Summit イベントレポート(2/2 ページ)
「お題目」ではない中小企業に本当に必要なセキュリティ対策とは?
セキュリティ対策で重要になるのは、サイバー攻撃の「本質」を知ることだ。森井氏によると、ランサムウェアに代表されるサイバー攻撃の本質は「認識できないこと」にあるという。
「例えばランサムウェアの攻撃手順では、調査や侵入、アンチウイルスソフト無効化、ログ消去、情報スキャン・分析、情報窃取・流出、マルウェアアップデート、踏み台(他サイト攻撃)、暗号化が典型的な流れです。注目すべきはこの一連の流れの中で、攻撃者は攻撃を仕掛けていることを秘匿しようとします。『防御側に攻撃を悟られないこと』こそがサイバー攻撃の本質です」(森井氏)
森井氏が大阪商工会議所との共同研究で、大阪市内の中小企業30社を詳細に3カ月間調査したところ、ほぼ全ての企業がサイバー攻撃を受け、ほぼ半数の企業が何かしらの被害を受けていた。さらに調査対象企業は、サイバー攻撃や被害に気が付いていなかったという。
攻撃に気が付けない場合、被害はますます大きくなるだろう。では中小企業はどのような対策を講じればいいのか。そこで重要になるのが「レジリエントなセキュリティ」という考え方だ。サイバー攻撃を防ぐことに重点を置くのではなく、攻撃を受けたとしても被害を最小化することを目指す。
レジリエントなセキュリティのポイントは、「信頼しないこと」と「見える化」にある。ただし、こうした「お題目」を唱えるだけでは、中小企業にとって実効性のある対策にはならないケースがほとんどだ。
「セキュリティ対策を十分に講じられていない中小企業は『信頼しない』といっても何を信頼しないのか分かりません。『見える化』といっても何を見える化するのか分かりません。中小企業が本当に知りたいのは、具体的な対策です。そのポイントは、現状を把握することと最悪の状況を想定した危機管理にあります。これをさらに『私ができる』対策にまで落し込むと、現状把握としては、PCやネットワークの状況はどうなっているか、役員を含む社員の状況はどうなっているかなどを考える必要があります。最悪の状況を想定した危機管理としては、不正アクセスの被害に遭ったらどうなるか、サイバー攻撃を受けていたらどうなるかなどを想定することが大事です」(森井氏)
現状把握の取り組みとしては、アカウント共有の禁止や権限管理、定期的なアクセスの監査、USBやスマートフォン、個人PCの利用制限などの管理を徹底することが挙がる。最悪の状況を想定した危機管理としては、情報漏えいが起きたり、PCやネットワークが使えなくなったりしたケースを想定し、どうすればビジネスを継続できるかを事前に検討しておくことが重要だ。
「現状把握と最悪の状況を想定した危機管理ができれば、第一歩の対策としては十分な効果を期待できます。それでも不安という場合は、さらに具体的な対策として、ネットワーク不正侵入検知システムや脆弱(ぜいじゃく)性検査ツールなどを導入します。ただし中小企業では、人材不足やスキル不足の問題もあり、実際にはこうしたセキュリティツールを適切に運用するのは難しいケースが多いのが実態です」(森井氏)
「ツールの導入」は現実的に厳しくてもできるところからやっていこう
では人材やスキルが不足している中小企業はどのようなセキュリティ対策を講じればいいか。その際に役立つ支援サービスが、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が展開する「サイバーセキュリティお助け隊」だ。
森井氏は「サイバーセキュリティお助け隊は、サイバー攻撃に対する必要最小限の機能を月額1万円以下の費用で提供します。インシデント発生時に、状況の調査や対策を実施するリソースをお助け隊から派遣します。この他、「UTM」(Unified Threat Management:統合脅威管理)やEDR(Endpoint Detection and Response)を設置して、攻撃状況を見える化します。数十人規模の中小企業であれば、サイバーセキュリティお助け隊が提供するツールで『ほぼ十分』でしょう」と説明する。
それでも「ツールを入れたくない」「自社には無理」「分からない」という声も一部の企業からは出てくるという。
「中小企業は、資金やリソースに余裕がないケースがほとんどです。ソフトウェアや人の脆弱性を極力排除し、セキュリティ教育を実施し、規約を順守して適用できる技術でサイバー攻撃に対抗したいという思いもある。しかし、それでも『言うは安し、行うは難し』になりがちなのです」(森井氏)
こうした状況で重要になるのは、できることから取り組むことだ。何からできるか分からないという場合は、ベンダーに頼ることも有効だ。
森井氏は最後に「最低限のセキュリティ知識を身に付け、ベンダーと普段からしっかり会話できるような関係を構築し、有事の際に相談できるような体制を作りましょう。ベンダーは中小企業の相談に乗りながら、状況を見て、今なにをすべきかを一緒に考えていく。予算やリソース、スキルなどの制約がある中でも、できることは必ずあります。できる限りのセキュリティ対策を講じてください」と述べて講演を締めくくった。
関連記事
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
「サイバー攻撃はお金がかかる」 当たり前の結論から見えた新たな気付き
JNSAが「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」というストレートなタイトルの資料を公開しました。この資料から企業が次にやるべきことが見えてきました。
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。
freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- “AIエージェントの次”のトレンドは何か Gartnerが描く未来志向型インフラのハイプ・サイクル
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 汎用LLMはもう終わり? Gartnerが「次の5年」を決める技術を発表
ITmediaはアイティメディア株式会社の登録商標です。