コメント過去 10 年間の不快な展開の 1 つは、かつては主に大企業を対象としていた IT セキュリティの脅威が、中小企業にまで急速に広がっていることです。
今日、中小企業はもはや二次的な標的ではなく、大企業と全く同じレベルの高度なサイバー脅威に直面しています。犯罪者は進化し、彼らが活動する経済はより専門的になり、中小企業に対する理解も時代とともに変化しています。
中小企業はIT支出全体の大きな割合を占めており(ガートナーによると40%)、中堅企業でさえセキュリティにこれまで以上に多額の資金を投入している。オスターマン・リサーチが米国中小企業を対象に実施した最新の調査では、約3分の2の中小企業がセキュリティに多額の資金を投入していると回答した。しかし、こうした資金投入は、経営幹部が攻撃者への対策能力について表明する不安に目立った効果をもたらしていないようだ。彼らは依然として攻撃に対して脆弱だと感じている。
従来、中小企業のサイバーセキュリティは、エンタープライズ グレードの縮小版であり、一般的な Windows PC、プリンター、LAN、サーバー、およびソフトウェアの比較的小規模なネットワークに適合するように調整されていました。
時代が変化するにつれて、新たな脅威は何でしょうか。そして、従来の防御策の汎用的で簡略化されたバージョンでは対応が困難な場合、中小企業は安全を保つために何に投資すべきでしょうか。
ここでは、中小企業の IT 担当者が考慮すべき問題と落とし穴に関する簡単なガイドを紹介します。これは、さらなる調査と計画の出発点とも言えます。
標的型恐喝、電子メールの弱点
際立った脅威は、恐喝ベースの攻撃の急増です。これらの攻撃は、企業にデータや社内システムへのアクセス回復と引き換えに身代金を支払わせたり、ハッカーに金銭を支払わせて公開ウェブサーバーへの深刻な分散型サービス拒否攻撃を阻止したりすることを目的とします。オスターマン氏によると、米国に拠点を置く中小企業の約5分の1がランサムウェア攻撃の被害に遭ったと報告しており、約3分の1がフィッシング攻撃の被害に遭ったと報告しています。
偽の請求書詐欺師が企業の会計担当者から50億ドル以上を搾取 ― FBI
続きを読む
フィッシングは、ビジネスメール詐欺(BEC)によって標的を絞り込むことも可能です。これは、なりすましやスプーフィングを用いて従業員を騙し、詐欺師に支払いを行わせるものです。これは現在、広く報告されている攻撃の一つです。典型的には、ハッカーはサプライヤーを装い、従業員を騙して請求書を自分の銀行口座に振り込ませます。あるいは、ハッカーは上級管理職の社内メールアカウントを乗っ取るか、あるいはその人物になりすまし、財務部門から税務申告書などの従業員の機密ファイルを要求します。もし騙された会計担当者がこれらのファイルを入手すれば、なりすましに悪用される可能性があります。
この種の詐欺は昨年急増しており、クラウド セキュリティ企業の AppRiver は、2018 年上半期に 100 万件の BEC メールを隔離したと報告しており、これは前年同期比で 55% の増加となっている。
フィッシング攻撃を阻止する最も簡単な方法は、決してフィッシング攻撃を受け取らないことです。これはメールサービスプロバイダまたはメールサービスゲートウェイの役割です。これらの機能はプロバイダによって大きく異なりますが、すべてのサービスプロバイダはなりすまし対策とメール認証を実施し、SPF(Sender Policy Framework)、DKIM(Domain Keys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting and Conformance)などの標準に準拠していないメッセージを拒否する必要があります。理想的には、従業員が疑わしいメールを報告できる手段を持つべきです。
すべてバックアップ済み
中小企業のバックアップルーチンは、ランサムウェア対策において極めて重要です。ランサムウェアの標的とならないよう、オンライン共有とバックアップを保護する必要があります。また、プランBとしてオフラインバックアップも不可欠です。Windows自体を含む重要なディレクトリを保護する方法は数多くあり、例えばフォルダアクセスの制御や、VLANなどのネットワーク全体にわたるアプローチなどが挙げられます。最も重要なのは、バックアップをテストすることです。
残念ながら、ランサムウェアは必ずしもデータを狙うわけではなく、アプリケーションを実行しているサーバー全体をロックしたり、本番システムやデータベースを壊滅させたりする可能性があります。中小企業向けエンドポイントスイートには、多くの場合サーバー保護機能が含まれており、ネットワークを慎重にセグメント化することで強化できます。
オフィスアプリケーション
メールに加え、オフィスアプリケーションも次の標的となることがよくあります。悪意のあるコードが仕込まれている可能性のある添付ファイル(特にPDFやWord)は、Microsoft Officeの保護ビューの設定、マクロの無効化、既知のマルウェアのスキャンなどによって制限する必要があります。OLE(オブジェクトのリンクと埋め込み)などのレガシー機能は無効化するべきですが、PowerShell、VBScript、JScriptなどの強力なインターフェースには注意が必要です。必要のないものは削除しましょう。
バックドアRDPと認証
ハッカーにとって新たな標的となっているのが、Microsoftのリモートデスクトッププロトコル(RDP)です。多くの中小企業はリモートサポートを有効にするためにRDPを有効にしています。インターネットに開かれたRDPポートを見つけるのは難しくなく、攻撃者がパスワードさえあれば、一般的な中小企業への侵入口として利用できます。パスワードが設定されていても、ブルートフォース攻撃で簡単に突破できる場合が多いのです。
残念なことに、管理者が最初に考えることではないため、この脆弱性の存在に気付かないことが非常に多いのです。攻撃者はオープンなRDPを武器に、あらゆる制御をバイパスする方法を効果的に見つけ、サーバーを保護するセキュリティプロセスを含むあらゆるプロセスを好きなように停止させています。これでゲームオーバーです。RDPの脆弱性は多くの場合、設定上の弱点が原因であり、管理者アカウントの認証を強化するだけで、多くの場合、セキュリティを常に強化できるはずです。
しかし、ファイアウォールも忘れてはいけません。もはや魔法の盾ではありませんが、RDPのバックドアを外部からのアクセスから遮断するなど、頼りになる存在です。また、ゲストWi-Fiネットワークが社内の他の部署に届かないように遮断したり、マルウェアや不正な従業員による機密情報の流出など、疑わしい外部接続を検知したりといった機能も備えています。
アクセス制御とファイアウォールを使用して組織を制限および区分化し、チームが必要な情報のみにアクセスできるようにし、機密データがそれらの区画から出ないようにします。
データ盗難
データ窃盗につながるITセキュリティ侵害は、常に脅威となっています。10年前、顧客データの不正な窃盗は、盗む価値のある膨大なデータを持つ米国TJX社のような大企業にしか起こらないと思われていました。しかし、最近のニュースで報じられたブリティッシュ・エアウェイズとエキファックスの事件は、窃盗犯の標的はより低くなってきているものの、依然としてこの状況が続いていることを裏付けています。ベライゾンが2018年のデータ侵害調査で既知の2,216件のデータ窃盗を分析したところ、こうした侵害の58%が中小企業で報告されていることがわかりました。
内部不正者はIT管理者が警戒すべきセキュリティ脅威ですが、多くのサイバー攻撃の根底にはソフトウェアの脆弱性の悪用が存在します。バグのあるコードを利用するハッカーから身を守ることの難しさは、CVE Detailsの数字からも明らかです。CVE Detailsによると、2017年にはゼロデイ脆弱性を除いて14,600件の脆弱性が報告されており、これは2016年の6,447件から増加しています。
CVE ラベルの付いたバグの総数からあまり多くを読み取るべきではありません。発見された欠陥の数が多いということは、欠陥の発見と修正の能力が向上している可能性が高くなりますが、それは、エクスプロイトが開発され、実際に使用される前に、より多くのパッチを適用する必要があることを意味します。
社内に専任のセキュリティ担当者がいない中小企業は、パッチ管理を可能な限り自動化する必要があります。まずは、FlashやJavaなどの古いアプリケーションやプラグインを削除し、ブラウザとオフィススイートを1つに標準化することで、そもそもパッチ適用が必要なソフトウェアの量を減らすことが重要です。サービスプロバイダーがパッチ適用作業の一部を担当し、エンドポイントセキュリティスイートには、より専門的なニーズに対応するためのモジュールが搭載されているのが一般的です。
データセキュリティ
中小企業が機密データの保護に苦労する理由は、多くの場合、暗号化を適切かつ効果的に活用することの難しさにあります。多くの中小企業は、システムを寄せ集めにし、保護レベルもまちまちという状況に陥っています。そのため、ミスを犯しやすく、大量の情報が保護されないままになってしまう可能性があります。論理的な解決策は、集中管理できる単一の製品を使用することですが、認証と同様に、中小企業向けに構築されたシステムを見つけるのは容易ではありません。
送信メールの暗号化は普及しつつありますが、すべての中小企業にとって現実的ではないかもしれません。しかし、保存中のファイルの暗号化は必須です。すべてのポータブルデバイスは暗号化する必要があり、Windows PCのローカルファイルセキュリティにはMicrosoftのBitLockerを使用できます。
クラウドを見る
中小企業はデータストレージやアプリケーションのためにクラウドサービスの利用を増やしており、近い将来、クラウドがITシステムの大部分の主要な拠点となる可能性も秘めています。これは、既に述べた多くの問題を、単一または少数のサービスにおける一連のセキュリティプロセスに統合することで合理化するため、セキュリティ強化につながると言えるでしょう。多くの中小企業はまだ、重要な情報をクラウドプラットフォームに託す準備ができていませんが、そうなれば、管理が容易になるという理由だけで、セキュリティが向上する可能性があります。
中小企業にとってのサイバーセキュリティの課題は、大企業と同じレベルのリソースを保有しながらも、同等のセキュリティ脅威に対処しなければならないという点にあります。サイバー犯罪者はこのことを熟知しており、だからこそ、中小企業を狙った攻撃キャンペーンは、ある意味では、知識不足、時間不足、脆弱なプロセスといった弱点を突くソーシャルエンジニアリングの一形態と言えるのです。
規模に関係なく、パッチ適用、データ制御と暗号化、クラウド セキュリティ、認証、権限管理、電子メール システムの防御の難しさなど、一連の脆弱性が原因で、このような障害が頻繁に発生する理由を説明できる障害は必ずしも 1 つだけではありません。
サイバーインシデントに対処するためのリソースが不足しているため、すべての中小企業に課せられるルールは明確です。IT 資産を可能な限り簡素化し、不要なソフトウェアとアクセス制御のレイヤーを削除し、サイバー犯罪者がバールを持って襲い掛かってきたときに備えて、難しい詳細事項をサポートしてくれる優れたパートナーを選ぶことです。®
