背景最近のニュースでは、2018 年 9 月にブリティッシュ エアウェイズから顧客データが盗まれた事件など、大企業における IT セキュリティ侵害が頻繁に取り上げられています。しかし、中小企業は攻撃者の監視を逃れられると考えるべきではありません。
保険会社ヒスコックスの中小企業サイバーリスクレポート[PDF]によると、米国、英国、ヨーロッパで調査対象となった中小企業の47%が過去12か月間に少なくとも1回のサイバー攻撃を受けたことが判明した。
最も多かった攻撃の種類はランサムウェアで、これはメール経由で簡単に侵入する可能性があり、スコットランドのアラン醸造所への最近の攻撃がその好例です。その他の一般的な攻撃としては、ハッカーによるシステムへの侵入、機密情報の紛失や漏洩などがあります。
一部のネットワーク侵害の原因がハッカーにある可能性もあるが、2017年のポネモン研究所の調査では回答者の54%が従業員の過失が根本原因であると回答した。
中小企業 (SMB) の従業員がフィッシング、ソーシャル エンジニアリング詐欺、クロスサイト スクリプティング攻撃の被害に遭っている一方で、IT 部門によって監視されているはずのサーバーが SQL インジェクションの被害に遭っています。
しかし、中小企業経営者の間では、自分たちは安全だというのが通説となっている。Switchfastの調査によると、中小企業の51%は自分たちが攻撃対象だとは考えていない。一方、Hiscoxの推計によると、サイバーセキュリティに関する明確な戦略を持つ中小企業はわずか52%にとどまっている。
「中小企業の従業員と経営者の行動は、セキュリティに対する緩い姿勢に対処するための対策が実際にはほとんど講じられていないことを示している。中小企業におけるデータ漏洩の最大の原因は、不注意な従業員である」と、スイッチファストは米国の中小企業について述べている。
では、職場の油断や慣習的な慣行によって、攻撃件数は増加の一途を辿っているのでしょうか。中小企業はどうすればこの状況を乗り越えられるのでしょうか?
明白なことを克服する
見出しを読むと、ビジネスソフトウェアは漏れやすいと簡単に結論づけられてしまうかもしれませんが、ハッカーが悪用している脆弱性は比較的少数です。フォーティネットは今年初め、マルウェア作成者がソフトウェアの既知の脆弱性のわずか5.7%を狙っていることを発見しました。つまり、公開されている脆弱性への修正プログラムを適用することは、ITチームにとって容易なことです。
しかし、中小企業が攻撃を受けているという事実は、中小企業のシステム管理者が利用可能な修正プログラムを適用しないという基本的なミスを犯していることを示唆しています。
この問題を克服するのは、比較的簡単な修復作業であるはずです。つまり、システムに最新のパッチが適用され、マルウェア対策ツールで保護されていることを確認するだけです。これは、ITスタッフが少ない中小企業にとっては負担の大きい作業になる可能性がありますが、「良好なIT衛生」には不可欠な要素だと、トレンドマイクロのプリンシパルセキュリティストラテジスト、バラト・ミストリー氏はThe Regに語りました。
「中小企業はパッチ適用を忘れがちで、半年ごとや1年ごとにしか適用しません。新しいセキュリティアップデートやセキュリティ通知が発表されています。それらの影響を考慮し、リスクを軽減し、システムにパッチを適用するための体制を構築することを検討し始めるべきです」とミストリー氏は述べた。
スコットランドのビール醸造所がランサムウェア攻撃から回復
続きを読む
アクセス制御は別の問題です。つまり、全員に無条件のアクセスを許可することです。
「社内の全員に自分のマシンの完全な管理者権限が与えられていたり、組織内のすべてのデータへのアクセス権が全員に付与されていたりするケースがよく見られます」とミストリー氏は語る。
「中小企業では、必要に応じてアクセス制御を分離できるような仕組みが整っていないかもしれません。給与システムのようなシステムでは、誰でもアクセスできるような仕組みは望ましくないでしょう。」
ユーザー権限を制限することで、マルウェアがシステムに侵入して実行を阻止するのを防ぐことができます。また、アクセス制御を導入することで、ネットワークに侵入したマルウェアが他の重要なリソースにアクセスするのを阻止できます。これらの対策は、特にシングルサインオン(SSO)機能を導入していない中小企業にとっては煩わしい場合がありますが、将来的には多くの手間を省くことができます。
企業内で最高 IT 管理者の役割を果たしている人は、管理者権限が自分自身と他のシステム管理者に制限され、各人が監視するリソースにのみアクセスできるよう役割が分離されていることを確認する必要があります。
フィッシング詐欺やソーシャルエンジニアリング詐欺に関しては、技術的な側面よりも教育的な側面が重要です。定期的なフィッシングテストの実施や、請求書詐欺、上司やビジネスパートナーを装って重要書類の提示や送金を要求する偽メッセージなど、詐欺師が企業を狙う一般的な手口について従業員に周知徹底することが重要です。
線の終点
今日のモバイル環境では、ノートパソコン、タブレット、スマートフォンが企業ネットワークの最前線にますます多く登場しています。これらは同時に、防御の弱点にもなっています。
おそらく最大のリスクは、こうしたデバイスで無料の公共Wi-Fiに接続することです。これはハッカーにとって格好の標的となり、彼らはあなたのメール、クレジットカード情報、セキュリティ認証情報を盗み、後々あなたになりすまそうとします。これは、脆弱性を悪用したり、プレーンテキストのトラフィックを盗聴したりすることで行われる可能性があります。マルウェア作成者もまた、公共Wi-Fiを利用して不正なコードをあなたのデバイスに送り込み、拠点に戻ったら職場のシステムに侵入しようとします。
しかし、Switchfastによると、従業員の3分の2と中小企業の経営者の44%が、そのリスクを十分に認識しながらも、仕事で公共Wi-Fiに接続しているという。Carlson Wagonlitの調査によると、出張者が雇用主のデータを失う主な原因として、公共Wi-Fiが上位2つに挙げられている。もう1つはノートパソコンの紛失や盗難だ。
ユーザーは、ネットワーク、ひいては同じWi-Fiを利用するすべての人に、デバイス上、あるいは企業ネットワーク上のデータへのアクセスを無意識のうちに許可してしまう可能性があります。Ponemonのレポートによると、中小企業の30%が、セキュリティ関連のインシデントの原因として、侵害または盗難にあったデバイスを挙げています。
大企業では、通常、モバイルデバイス管理(MDM)を活用してこの問題を回避しようとします。これにより、管理スタッフはユーザーが使用しているデバイスを特定し、データ暗号化、パスワードやPINによる保護などの設定を適用し、紛失や盗難時にはリモートでデータを消去することができます。
しかし、MDM市場は細分化されており、価格プランも多岐にわたります。多くの中小企業と同様に、ITスタッフが不足し、業務が山積みになっている場合、MDMプラットフォームの評価と選定は、優先順位リストのかなり後回しにされてしまう可能性が高いでしょう。
中小企業には比較的シンプルな選択肢がいくつかあります。例えば、Microsoftの生産性向上スイートであるOffice 365です。Office 365は、ホストされたメールサーバーを制御ポイントとして利用し、スマートフォンなどのデバイスにユーザーがパスワードまたはPINを設定してアクセスを保護し、データ暗号化が有効になっていることを確認します。また、仕事用のメールやファイルを消去することもできます。
Microsoft の Office は、従来、あらゆる規模の企業の間で強力な存在感を示してきましたが、サービスとしての Office 365 は成長しているものの、中小企業の間では比較的遅れをとっています。
あるいは、クラウドベースの MDM プロバイダーは、限られた数のデバイスのみを持つユーザーに対して無料レベルを提供します。
仮想プライベートネットワーク(VPN)を使用すると、Wi-Fiなどの信頼できないネットワークを経由するインターネットや企業のトラフィックを保護・暗号化できます。VPNは複雑で費用がかかる場合もありますが、中小企業向けのVPNプロバイダーも存在します。もしご自身でVPNの設定を熟知しているのであれば、OpenVPN、Algo、Outlineなどを使って自分でVPNを設定するのが最善です。
スコッティ、応援して
最後に、中小企業にはフォールバックが必要です。もし、これだけの対策を講じても、ハッキングや身代金要求に遭ったらどうしますか?バックアップは厳密にはサイバーセキュリティではありませんが、保護と復旧の面で重要な役割を果たします。
Ponemonの調査によると、中小企業の51%が過去3ヶ月以内にランサムウェア攻撃を経験しています。攻撃が成功した場合、60%が身代金を支払わなければならず、平均支払額は2,157ドルでした。
しかし、注目すべき事実は次の通りです。料金を支払わなかった人のうち、67%が、その理由は完全バックアップからデータを回復できたためだと答えています。
しかし…「組織によっては、バックアップ戦略すら持っていないところもあります」とミストリー氏は述べた。トレンド社は、データのコピーは3つ必要だと考えている。2種類の異なるメディアと1つのオフサイトコピーだ。「これは非常にシンプルで基本的なルールですが、多くの人がこれを実践していないのです」と彼は述べた。
中小企業にとって、従来の常識は危険な領域であり、油断によって定義される領域です。ハッカーやマルウェア作成者は変化し、標的も変化しています。中小企業も変化を迫られています。従来の常識を覆すには、複雑なテクノロジーや抜本的な職場改革は必要ありません。答えはすでに存在し、比較的シンプルです。必要なのは、実践することだけです。®
