ここ数年、企業や公的機関を狙うサイバー攻撃が増加しています。ウイルスやマルウェアを悪用するその手口は巧妙に、より悪質になっています。そしてその矛先は、必ずしも大企業や行政機関だけではありません。逆に、あえて中小企業を狙うケースが増加しているのです。
ここでは、中小企業に対するサイバー攻撃にはどのようなリスクがあるか、それに対してどういった方策をとるべきなのか、まずはその第一歩について解説していきます。
中小企業こそがサイバー攻撃のターゲットになりやすい
「企業規模が小さいから我が社は大丈夫だろう……」そう考える中小企業の経営者、経営陣は多いかもしれません。しかしそれは誤解です。悪意あるサイバー犯罪者たちにとって、そのターゲットは中小企業へと移りつつあるからです。
その理由のひとつは、大企業におけるセキュリティ対策がかなり進んでいるためです。サイバー犯罪を企てる側の人間にとって「効率よく悪事を働ける」状況は好都合です。サイバー攻撃の対象として、その対策を怠っている中小企業を選ぶことで、彼らにとっては時間もコストも削減できることになります。
もうひとつの理由は、サイバー犯罪者たちの欲している情報を握っているのは必ずしも大企業に限らないということです。例えば、顧客の個人情報やクレジットカード情報などは、通販を生業にしている企業なら少なからず所有しているデータであり、そこに大企業との差異はありません。もちろん、従業員に関するマイナンバー情報を含む個人情報も同様です。
また、大手企業と繋がりのある中小企業も少なくないでしょう。中小企業から受発注を装ったニセメールを取引のある大企業へと送信し、そこからウイルスやマルウェアを感染させたり、不正な取引を成立してカネを盗んだりという手法も考えられます。いわば中小企業を“踏み台”にした攻撃が可能となるのです。
サイバー犯罪で1000万円以上の損害例も複数
2020年1月、一般社団法人 日本損害保険協会は「中小企業の経営者のサイバーリスク意識調査2019」という調査結果を発表しました。2018年11月にインターネットを介して国内の中小企業の経営者・役員に向けて行われた調査で、825名から回答が得られた結果です。
それによると、中小企業において、サイバー攻撃への対策を行っていない企業が24.0%、つまり約1/4も存在するというのです。ほかの経営課題より優先度が低いとされていることがこの結果の理由のようです。
これで被害がないというなら対策の必要性はないかもしれません。ところが、調査対象企業のうち約2割がサイバー攻撃の被害経験があり、その被害額が1,000万円を超えてしまったケースが7.4%もありました。
サイバー攻撃によって、情報漏洩の被害者に損害賠償を支払わなければならないこともあるでしょうし、取引のある企業から信頼を失い、取引停止という憂き目に遭うかもしれません。経営課題の中で優先度が低いからといってサイバー攻撃策を怠っていると、実際にこのような被害、および損害といった経営リスクが生じる恐れがあるのです。
ウイルス対策ソフトは本当に必要なのか?
こういったことを考えると、中小企業のサイバー攻撃対策は欠かせないと言っていいでしょう。
サイバー攻撃の対策としてまず行うべきは、社内で使うパソコンのOSや、ソフトウェアを最新の状態に保つことです。最新版にすることで、OSやソフトの弱点を突かれることを防ぐのです。
次に行うべきは、ウイルス対策ソフトの導入です。現在のサイバー攻撃は、従業員が業務で使うパソコンから全社への被害へ及ぶケースが主流です。そのため、ウイルス対策ソフトを導入することで「水際対策」が可能となるのです。
このときのポイントは、全社的にウイルス対策ソフトを導入する、ということです。導入のコストや手間を抑えたいと考えるのは当然ですが、一部だけを強化してもムダの一手で終わります。突かれる弱点を極力少なくすることがサイバー攻撃対策の第一歩です。
そして、これらの基本的な対策はもちろんですが、サイバー攻撃ついて「どういう種類の脅威があるのか」「攻撃の手口はどういう具合なのか」「どんな脆弱性が狙われるのか」といった知識を得ることも必要です。
次回は、最近のサイバー攻撃の傾向を知り、それに対抗できるウイルス対策ソフトの選定について解説していきましょう。
【参考】
※ 中小企業の経営者のサイバーリスク意識調査2019 – 一般社団法人日本損害保険協会
*makaron* / PIXTA(ピクスタ)
インボイス制度対応はこちら
