激変する業務環境…withコロナ時代の情報セキュリティとは?
~中小企業経営者のための情報セキュリティ最前線[第3回]

近年、PCやインターネットは欠かせないものとなりました。同時に高まっているのが、サイバー攻撃の脅威です。「ウチは中小企業だから、攻撃対象にならないだろう」と楽観的に考えている経営者は、意識改革を進めなくてはなりません。

本連載では中小企業経営者なら知っておきたい「情報セキュリティ」の最新事情を紹介していきます。今回は情報セキュリティの脅威のトレンドとその対策とともに、コロナ禍におけるサイバー攻撃についてみていきます。

情報セキュリティの脅威

中小企業の経営者は「サイバー攻撃被害」を想定したうえで、自社事業に見合うセキュリティ対策を主導する立場です。しかし「これまで対策に力を入れてこなかった」という経営者は、被害の実態を把握していないケースが多いようです。

そこで総務省が発表している『情報通信白書』の2020年度版に掲載されている『情報セキュリティ10大脅威』(組織向け)を見てみましょう。

情報セキュリティ10大脅威(組織向け)

(出所)総務省「情報通信白書2020」を基に株式会社ボルテックス100年企業戦略研究所が作成

具体的なサイバー攻撃に遭ったことがない組織は「迷惑メールが送られてくるぐらいなのでは?」と考えがちですが、上記の内容を見ると、様々な脅威があることがわかります。近年はどんなに小さな企業にもPCが普及していますので、セキュリティ対策が遅れている企業は、犯罪組織の格好の標的となるのです。

これらの脅威に対して、具体的にどのような対策を講じるべきなのでしょうか。基本となるのはウイルス対策ソフトの導入です。導入後も常にウイルス定義ファイルを更新し、最新の脅威に対応できる状態を保ちます。もちろんPCのOSやソフトウェアも常に最新の状態にしておくことが大切。「更新が滞りがちな環境は、サイバー攻撃の格好の標的である」と認識しましょう。

サプライチェーンの弱点が悪用される

中小企業として注意したいのが、第4位にランクされた『サプライチェーンの弱点を利用した攻撃の高まり』です。サプライチェーンとは、製品の原材料調達から、製造、在庫管理、配送、そして販売までの一連の流れを指す言葉です。この説明からは製造業が連想されやすいですが、製造業以外の業態でもワンストップですべてを賄える会社は稀であり、取引先と連携を取りつつ、ひとつのプロジェクトを完遂させていくのが一般的です。最新のサイバー攻撃は、その隙に入り込もうと機会を窺っています。

具体的には、中小企業や個人事業主に標的を定め、メールやクラウドなどを通じてマルウェアを潜入させます。そしてPC経由で、取引先の大企業へ入り込もうとするのです。

このような最新の脅威であるサプライチェーン攻撃への具体的な対策は、社内外の基本的なセキュリティ強化に尽きます。セキュリティ対策に予算をきちんと割き「ウイルス対策ソフトの導入を徹底する」、「万一の場合に備え、セキュリティ保険へ加入する」、「PCやシステムを常に最新の状態にしておく」などの対策を心掛けましょう。

また業務に関わるスタッフに、サプライチェーン攻撃について理解を求め、対策を徹底してもらうことも大切です(関連記事:『中小企業の「情報セキュリティ」基本的な考え方』)。

withコロナ時代に懸念される新たなサイバー攻撃

2020年は、新型コロナウイルスの世界的な流行という不測の事態に見舞われ、経済にも大きな悪影響が及びました。事態の収束の目途はまだ立っていませんが、人々はすでにwithコロナ時代の生活様式に順応しつつあります。

そんな中で顕在化してきたのが、テレワークなどの就労形態と通信販売を活用した巣籠もり消費です。いずれにもインターネットシステムが必要不可欠なので、サイバー攻撃を企む犯罪組織にとっては、好機の到来ということになります。

一例をあげると、日本発の大手輸送機器メーカー・本田技研工業は、2020年6月にサイバー攻撃を受け、国内外工場で生産・出荷を一時停止する事態に陥りました。被害内容はランサムウェアの感染で、原因はスタッフのテレワーク増大にあったとみる専門家もいるようです。

[参考]
日本経済新聞『ホンダ襲ったのは国家か犯罪者か新たなサイバー脅威』(2020/6/15),https://www.nikkei.com/article/DGXMZO60244800R10C20A6000000
NHK『ホンダへのサイバー攻撃社内ネット中枢を狙った新たな手口』(2020/6/15),https://www3.nhk.or.jp/news/html/20200615/k10012471271000.html

警察庁が発表した『令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について』によると、新型コロナウイルスに関連したサイバー犯罪が疑われる事案は計608件。詐欺が286件で最も多く、不審メール・不審サイトが115件と続いています。

[図表1]:新型コロナウイルス感染症に関連するサイバー犯罪が疑われる事案の報告件数

[図表1]:新型コロナウイルス感染症に関連するサイバー犯罪が疑われる事案の報告件数

(出所)警察庁「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」を基に株式会社ボルテックス100年企業戦略研究所が作成

標的型メール攻撃では、受信者の不安感に乗じた新型コロナウイルス感染症に関連しただまし文句を用いる例が報告されているとしています。またVPNサービス、オンライン会議システムの脆弱性が明らかになり、この脆弱性を悪用した事例も確認されているといいます。

withコロナ時代においては、今まで社内を中心に備えていたセキュリティ対策の範囲を、従業員個人にまで広げていく必要があるのです。テレワークでは、セキュリティ対策が脆弱なデバイスを利用しているケースもみられます。こうしたデバイスを仕事だけでなく私用にも利用すると、サイバー攻撃のリスクは大きく高まってしまいます。

 

今回、情報セキュリティのトレンドを見てきましたが、コロナ禍による働き方の変化によって、新たなサイバー攻撃の脅威が生まれています。本連載の第1回第2回で紹介したサイバー攻撃対策を、私用デバイスでも徹底しなくてはならないと、スタッフに理解してもらいましょう。また経営者は必要に応じ、金銭面でのサポートを提供する姿勢を持つことも大切です。こうした不断の取組みこそ、withコロナ時代の中小企業をサイバー攻撃の脅威から救う、唯一にして最良の対策となるのです。

著者

株式会社ボルテックス 100年企業戦略研究所

1社でも多くの100年企業を創出するために。
ボルテックスのシンクタンク『100年企業戦略研究所』は、長寿企業の事業継続性に関する
調査・分析をはじめ、「東京」の強みやその将来性について独自の研究を続けています。

100年企業戦略研究所 ロゴ

関連記事