企業活動においてコンピューターやシステムの利用は当たり前となり、インターネットが、水やガスと同じ様にインフラの一つとして欠かせない時代になりました。
今やITの利活用やDXは中小企業においても成長要因の重要なテーマです。また、ここ数年で新型コロナウィルス対応の一環として、クラウド化やテレワーク等、業務のデジタル化を急速に進めた事により、企業のIT環境は大きく変化しました。
それと同時並行で増大しているのが、情報セキュリティに関する脅威です。特に企業が保有する個人情報や技術情報を狙う、悪意のある外部からの攻撃(サイバー攻撃)が増えてます。
上記図の通り、サイバー攻撃は急増しており、2020年には日本国内に向けられたサイバー攻撃に関する通信は約5,001億件にものぼっています。
2022年現在は、ロシア・ウクライナ問題に伴い、サイバー攻撃が激化しております、サイバーセキュリティ社の調査では、2月16日以降、それまでの直近3ヶ月に比べて最大25倍ものサイバー攻撃が検知されているそうです。
実際に大手企業でサイバー攻撃の被害の報道が相次いでおります。
2022年3月1日には、トヨタの部品メーカーにサイバー攻撃があり、国内の全工場が停止したニュースは大きく報道されました。
トヨタ きょう国内全工場の稼働停止へ 取引先へのサイバー攻撃 | サイバー攻撃 | NHKニュース
https://www3.nhk.or.jp/news/html/20220301/k10013506341000.html
このトヨタの被害を受けて、サイバーセキュリティ強化について、関係7省庁(経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁)から改めて注意喚起がされております。
サイバーセキュリティ対策の強化について(注意喚起)
https://www.meti.go.jp/press/2021/03/20220301007/20220301007-1.pdf
2022年10月31日には阪急性期・総合医療センターがサイバー攻撃を受け、電子カルテや会計システムなどの基幹系システムが停止。復旧するために金銭を要求するランサムウェア(身代金要求型ウィルス)の被害にあいました。
この病院が受けたサイバー攻撃のウィルス感染経路を調査した結果、給食委託事業者のサーバーから侵入された可能性が高い事が判明しました。どうやら、委託事業者側のネットワーク機器について、更新プログラムが適切に更新されておらず、放置された脆弱性を悪用した攻撃だったそうです。
他にも、ウィルスを仕込んだメールを不特定多数に送付し、感染したパソコンからメールアドレスやメール本文を盗み出す「ばらまき型攻撃」や、ばらまき型攻撃で盗み出した情報から返信メールに偽装し添付ファイルを開かせて感染させる「返信型攻撃」も中小企業で流行を繰り返しています。(この様にメールの添付ファイルを介して感染を広げていく手口はEmotet(エモテット)と呼ばれます)
サイバー攻撃は世界中どこからでも行われるので、日本でもこうした被害が今後更に増える可能性は高く、個人も法人も警戒が必要です。
弊社でも、先日社員宛になりすましメールが送られました。幸いセキュリティソフトが作動したため事なきを得ましたが、一歩間違えれば大変なことになっていました。
サイバー攻撃の脅威は色々ありますが、IPA(独立行政法人情報処理推進機構)が2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、2022年の情報セキュリティ10大脅威を発表しております。
様々な脅威やリスクがありますが、今回は実際にサイバー攻撃から身を守るために必要な、基本的な対策などをご紹介します。
ご自宅のネットワークやパソコンは狙われない。と思っているのであれば注意が必要です。実際に個人が被害にあうケースも出てきております。
また、働き方改革や新型コロナの流行により、テレワークや在宅勤務が浸透しており、サイバー攻撃を仕掛ける犯罪者は、強固な企業を狙うよりも、セキュリティが甘い個人を狙っております。
もちろん在宅勤務がなく、ご自宅で仕事をしていなくても、しっかりと基本的な対策をする必要があります。
法人(会社)の環境についても注意する点は同じなので、以下は必ずチェックしてください。【あくまでも基本的な環境の基本的な対策となります】
(1) パソコンのOSや利用しているソフトウェアを最新に保つ
WindowsやMacのOS(オペレーティングシステム)を最新の状態に保ちましょう。WindowsであればWindowsUpdateの自動更新を設定しておくのがオススメです。(なおWindows7はサポートが切れております、Windows8も2023年1月には延長サポートが終了するので、Windows10への移行をオススメします)
また、利用しているブラウザやその他ソフトウェアも最新版にしてください。特に「インターネットエクスプローラー(IE)」のブラウザはセキュリティが低いため、今もIEを利用している場合は、新しいブラウザ(edgeやChrome)を利用する様にしましょう。
(2) ウィルス対策ソフトの導入とパターンファイル最新化
パソコンにウィルス対策ソフトは入ってますか?Windows10であれば標準で搭載されているWindows Defenderが有効になっているか確認してください。有料のウィルス対策ソフトを導入している場合はライセンス期限が切れていないか?の確認をしましょう。また、パターンファイルが更新されているかの確認も重要です。
(3) ルーター等のIDとPWを確認する
ルーターとは、パソコンやテレビ、スマホ等のデジタル機器を、1つの回線でインターネットへ接続するための機器です。ご自宅でインターネットの環境がある場合は必ずルーターがあります。(無線Wi-fiルーター等とも呼ばれて、無線LANを利用する際にも必要です)
このルーターですが、古いルーターだと管理画面へのログインIDとPWの初期設定が簡易的な設定になっている事があります、またはルーター設置した人(業者や本人)が簡易的または予測可能なIDとPWにしている場合もあります。
ルーターの初期設定を確認して簡易的または予測可能なIDとPWの場合は必ず変更しましょう。
※ルーターだけではなく、ペット用のお守りカメラなどのWebカメラが接続されている場合も、初期IDとPWの変更を行いましょう。
(4) ルーター等のソフトウェア(ファームウェア)を最新版にする
ルーターにもルーター自体の機器を制御するソフトウェア(ファームウェア)が入っております。そのファームウェアが古いままだとセキュリティに問題がある可能性ありです。ルーターのメーカーや型番を確認してファームウェアの更新を行いましょう!
(5) サポート切れのルーターは買い替えを検討する。
そもそも機器自体が古いとサポートが切れて、ファームウェアの更新が行われていない場合もあります。その場合は出来る限り最新版に買い替えをしましょう。買い替えのサイクルとしては購入日から(機器の発売日によって前後することもあるが)6年以上のルーターは買い替えの検討をオススメします。
ルーターはセキュリティの問題もありますが、機器自体の不調やネットワーク規格(特に無線Wi-Fi)が変わる事があるため、ルーターを買い換える事でインターネット速度が上がる副次的な効果も期待できます。
法人の基本的な対策ですが、上記画像のとおりです。上述した【個人・法人共通】の基本的な対策と重なる部分も多いですが、法人で一番ポイントとなるのは「最新情報収集と、従業員へのセキュリティ教育」です。
法人は常に最新情報に触れて従業員にフィードバックする事や、定期的なセキュリティ教育が重要です。
法人の基本的な対策については、IPAの「中小企業の情報セキュリティ対策ガイドライン」にある「情報セキュリティ5か条」に詳細が載っているので、そちらもご確認ください。
情報セキュリティ5か条 – IPA
https://www.ipa.go.jp/files/000055516.pdf
これらの基本的な対策が不足している場合は、すぐに実施しましょう。すべて「無料」で対応が出来ます。
しかし法人は「基本的な対策」だけでは足りません。自社の環境や予算によってサイバーセキュリティ対策を実施する必要があります。
例えば技術的な対策として、有料ウィルス対策ソフトの導入、UTM(統合脅威管理)の導入、システムの冗長化、MDM(モバイルデバイス管理)の導入など様々なサイバーセキュリティ対策があります。
これらはいずれも対策として有効ですが、大きな費用(コスト)が掛かります。
技術的なサイバーセキュリティ対策を行うには対策費(コスト)をどのぐらい掛ければ良いのか?とても難しい問題です。
自社の状況・予算・システム規模によって検討を進める必要がありますが、 「被害想定額」を上回る「セキュリティ対策費」の投資は現実的ではありません。
また、これだけITが普及し利用している現代では完全無欠なセキュリティ対策は不可能に近いです。どれだけ万全を尽くしてもリスクは残ってしまいます。
そこで重要なのがリスクマネジメントやリスクコントロールです。サイバーセキュリティに関するリスクを技術的な対策でどこまで減らして、どこまで許容するのか?です。
一番問題となるのは「リスク頻度は低いが、コストが高すぎて対策が出来ない」「そのリスクを許容出来ない」場合の【移転】部分です。そこで役に立つのがサイバー保険なのです。
サイバー保険はサイバーリスクに起因して発生する様々な損害に対応するための保険です。主な補償内容は3つになります。(サイバー保険は法人・個人事業主のみご加入可能です)
(1) 損害賠償責任
IT業務や自社コンピューターシステムの所有・使用・管理等に起因して発生した不測の事由による他人の損失や個人情報漏洩等について、法律上の損害賠償責任を負担することにより被る損害を補償します。
(2) 事故対応費用
情報漏えいやサイバー攻撃に起因して一定期間内の生じたサイバー攻撃対応費用・再発防止費用や訴訟対応費用を被保険者が負担することによって被る損害を補償します。
(3) 利益損害・営業継続費用
不測かつ突発的なコンピューターシステムの操作、データ処理の過誤等またはサイバー攻撃に起因して、所有使用するコンピューターシステムが機能停止することによって生じた利益損失、営業継続費用を補償します。
以上となります。 まとめますと「個人情報漏洩」「サイバー攻撃」などが原因となる「第三者への賠償」「事故対応の諸費用」「休業時の費用補償」が補償対象になります。
仮にサイバー攻撃が発生した場合に、どの様な流れで、どの様な対応が補償されるのかを表したのが以下の図となります。
サイバーセキュリティに対する意識は日増しに高まっております。サイバー攻撃は自然災害などの対策と同様に脅威を認識しリスクコントロールする必要があります。
自然災害に備えるために加入する「火災保険」「地震保険」と同様に、サイバー攻撃に備えて加入する「サイバー保険」も将来的には一般的な考え方になるかもしれません。(経済産業省はサイバー攻撃の対策手段の1つとしてサイバー保険への加入検討を推奨しております。)
サイバー経営ガイドライン – 経済産業省
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
(1) 自社のセキュリティ対策の把握とできる限りの対策をする
サイバー保険の保険料はセキュリティ対策の状況に応じた割引割増制度があります。
自社のセキュリティ対策が脆弱だと高くなりますし、逆にしっかりと対策をしていると最大で60%も割引になるケースがあります。
(2) 補償内容を把握し、事故対応費用の金額を検討する
実際に被害を受けた時に、費用面での負担が多くなるのが事故対応費用です。
調査やデータ復旧、コールセンター設置などいくらくらい必要かを想定して保険金額を設定する必要があります。実は高額なのが調査費用です。例えばですが、一般的にサイバー攻撃を受けた場合の調査費用はPC1台について約100万円かかるとも言われています。
サイバー攻撃を受けると同じネットワークの機器も攻撃を受けますので、PC等の機器の台数や攻撃の規模によっては調査費用だけで数千万円かかるケースもあります。
(3) 複数の保険会社を比較する
サイバー保険には補償だけでなく、ご加入者の方が利用できる付帯サービスが有ります。
緊急時のトラブル対応やリスク診断サービス、情報提供などがあります。特に緊急時の対応については、セキュリティの専門部署が無いような中小企業にとっては非常に重要です。
この付帯サービスについても各社異なる点がございますので、比較検討することをおすすめします。
サイバー保険を取り扱う保険会社は多数ありますが、補償内容や付帯サービスについても異なる点があるので、比較検討する事が重要です。
弊社ではお客様に分かりやすい比較表を用意しておりますので、お気軽にご相談下さい。お客様にマッチしたサイバー保険をご提案させて頂きます。
また定期的にサイバーセキュリティに関するセミナーも実施しております。このセミナーはサイバー保険の説明だけではなく、セキュリティの基本的な考え方や対策などの説明もしております。参加費は無料となっておりますので、是非ご参加下さい。
他人事ではない?サイバー攻撃に必要な「知る」「守る」「備える」セミナー
+━━━━━━━━━━━━━━━━━━━━━━━━━━━━━+
弊社では皆様のお役に立てるメルマガを毎月1回配信しております。
ご希望の方は下記よりご登録ください!
企業のリスクを題材としたメールマガジンの申込はこちら
https://www.gripletter.jp/regist_newsletter.php?dname=Safety-i
+━━━━━━━━━━━━━━━━━━━━━━━━━━━━━+
