中小企業にとってのスマートなサイバーセキュリティに関しては、攻撃対象領域を減らすことが最も重要です。 実際に、攻撃対象領域をできるだけ小さくするというのが、基本的なセキュリティ対策となります。
攻撃対象領域、つまり、攻撃者がデバイスやネットワークに侵入してデータを抽出する方法を理解して管理することで、サイバー リスクへの曝露を減らすことができます。
多くの中小企業は、自分たちの企業はサイバー犯罪の標的になるには小さすぎると考えていると思いますが、攻撃対象領域に目を向けると、IT ネットワークに潜在的なアクセス ポイントがあったり、サイバー攻撃やデータ侵害に利用できるその他の脆弱性があるケースが多く見られます。
実際のところ、小企業は高い確率でサイバー攻撃に直面し続けていると言えます。最近のデータを見ると、サイバー犯罪者の 43% は小企業をターゲットとしているにも関わらず、自社の防御態勢を整えている小企業は 14% に過ぎないということが分かっています。また、多くの場合、中小企業は攻撃によって膨大な経済的影響を受けることになります。 あるレポートによると、従業員 500 人未満の企業のデータ侵害の是正費用は平均で約 250 万ドルであり、この数字は前年比で増加し続けているということです。一部の規制対象業界では、企業が攻撃を受けてから 2 年後、3 年後にもこのような財務上の影響を受けることがあります。
自社の IT 環境とリスクを表す攻撃対象領域の要素を十分に理解することは、プロアクティブな防御に向けた効果的な対策となります。
主な攻撃対象領域とはどのようなものですか?
デバイスと人が 2 つの主要な攻撃対象領域です。
デバイス
現在の企業は、非常に多くのデバイスを通じてインターネットに接続しています。これにより、サイバー犯罪者がサイバー攻撃を実行するためのゲートウェイも増えることになります。
これらのデバイスを使用して生成されるデータ量が爆発的に増加しているだけでなく、新しいデータによると、2030 年までに世界で 500 億台近くの IoT デバイスが使用されるようになると予測されています。
今では、サイバー脅威やオペレーティング システムおよびソフトウェアの潜在的な脆弱性を考慮することで、デバイスにどれだけの潜在的なリスクがあり、それによって攻撃面が大幅に増える可能性があるかをより深く理解することができます。
ランサムウェアやハイブリッド ランサムウェアの攻撃は、デバイスにとって大きな脅威です。 ランサムウェア攻撃によってハッカーがデバイスをコントロールできるようになり、復旧と引き換えに身代金が要求されるだけでも十分に大きな被害ですが、最近では、ハイブリッド形式のランサムウェアが広まってきています。ランサムウェアにウイルスの性質を組み合わせることで、1 台のデバイスだけでなく、ネットワーク全体に簡単に拡散されるようになります。
データによる予測では、ランサムウェア攻撃は、2021 年には 11 秒に 1 度の頻度でターゲットの企業を攻撃するとされています。最新の Verizon データ侵害調査レポート(DBIR)では、マルウェア インシデントの 27% がランサムウェアによるものと報告されています。別の調査では、マネージド サービス プロバイダーの 85% が過去 2 年間に中小企業をターゲットとしたランサムウェア攻撃を報告しており、56% が 2019 年上半期に攻撃を経験しています。
人
多くの場合、デジタル セキュリティ チェーンにおける最大の弱点は社員であるため、熟練のサイバー攻撃者は主に社員をターゲットにします。Verizon DBIR 2020 レポートでは、侵害の 22% の原因は人的ミスにあると指摘されています。Gartner 社によれば、クラウド侵害の 95% は、構成ミスなどの人的ミスによって生じており、この傾向は今後も続くだろうと見込まれているとのことです。
また、パスワード ポリシーや多要素認証(MFA)といったユーザーを守るための他のセーフガードが、標準的に取り入れられている中小企業は多くないという点もリスクとなっています。さらに、最近の調査によると、パスワードの挙動が引き続き問題となっていることが分かります - 91% の人が、複数のアカウントで同じパスワードを使い回すことがセキュリティ リスクであると知っていながら、66% の人がパスワードの使い回しをしています。
攻撃者は、社員経由でネットワークにアクセスするためにソーシャル エンジニアリグの手法も用いています。ソーシャル エンジニアリングは、人を騙して会社の機密情報を漏洩させる手法です。ハッカーは、信頼のある組織や、場合によっては同僚を装い、メール経由で社員に接触してきます。ほとんどの社員には、こういった高度なソーシャル エンジニアリング攻撃から身を守るための知識がありません。
調査によると、悪意のあるデータ侵害の 70~90% が何らかのタイプのソーシャル エンジニアリングに起因するということが分かっています。
攻撃対象領域を減らすためのベスト プラクティスは何ですか?
攻撃対象領域を減らすには、中小企業が定期的に脆弱性を評価し、弱点を保護し、異常を監視する必要があります。
どのように脆弱性を評価すればよいですか?
潜在的な脆弱性の評価は、まず企業や組織内にある物理および仮想のコンピューティング デバイスをすべて特定することから始まります。リストには、攻撃面となる可能性のある以下のすべてを含めます。
- ワークステーションとノート パソコン
- ネットワーク ファイル サーバー
- ネットワーク アプリケーション サーバー
- 企業のファイアウォールとスイッチ
- マルチ機能搭載プリンター
- モバイル デバイス
このインフラストラクチャ評価では、クラウドとオンプレミスのシステムやデバイスを区別し、データのために可能なすべてのストレージの場所を簡単に判断できるようにしておく必要があります。
では次に、データがアクセスされ、保存される場所を見てみましょう。すべてのビジネス データを分類し、3 つの場所(クラウド、オンプレミス システム、デバイス)に分けます。
例:
クラウド
- クラウド メールとアプリケーション
- クラウド ストレージ
- ウェブサイトとソーシャル メディア
オンプレミス システム
- データベース
- ファイル共有とストレージ
- 知的所有権
次に、誰がどのようなアクセス権を持っているかを調べます。攻撃対象領域の評価における最後のステップは、組織内の各部門またはユーザーの行動を詳しく把握することであり、不明なユーザーも対象とします。調査から得た内容を同じ 3 つのカテゴリに分類し、以下の点を含めます。
- ユーザー固有のアクセス
- マルチユーザーのアクセス
- 不明なユーザーのアクセス
弱点のセキュリティを確保し、異常を監視するにはどうすればよいでしょうか?
評価を実行したら、次に、特定の攻撃対象領域のセキュリティ対策を決定します。 セキュリティ対策を適切に組み合わせて使用すれば、弱点に対するセキュリティが確保されるだけでなく、ネットワークのセキュリティ全体の視認性も改善されます。
以下は、一般的に中小企業で必要となる主なセキュリティ サービスの概要です。
データ |
デバイス |
人 |
コンテンツ フィルタリング コンテンツ フィルタリングでは、社員が安全に閲覧できるウェブサイトを制限できます。
|
アンチウイルス攻撃面を減らすには、PC、モバイル、スマートフォンなどすべてのデバイスにおいて、アンチウイルスのインストールと監視が必須です。
|
セキュア認証 方法はいろいろありますが、中小企業が最初に取るべきステップは、シングル サインオン(SSO)や MFA を使用したパスワード ポリシーの定義です。
|
メールの暗号化 エンドツーエンドの暗号化を使用して、復号キーを持つ送信者と受信者のみがメールと添付ファイルの内容を表示できるようにします。
|
パッチ マネジメント脆弱性は一般的にオペレーティング システムやソフトウェアに存在しますが、 ソフトウェア パッチをインストールし、ソフトウェアを常に最新の状態にしておくことで、この問題を解決することができます。
|
セキュアなリモート ワーク新型コロナウイルスの流行により、企業が直接的に 強制的な在宅ワークを経験したように、リモート ワーカーらは、自社のネットワークに、すべてのトラフィックを暗号化する仮想プライベート ネットワーク(VPN)で接続し、会社のデータやアプリケーションにセキュアにアクセスすることが求められます。
|
データ損失防止ソリューション(DLP) データ損失防止ソリューションでは、転送できるデータを規制して、機密データを社内ネットワーク外で共有できないようにします。
|
定期的な脆弱性のスキャン 脆弱性のスキャンは定期的に行い、スキャンにはアンチウイルス ソフトウェア、パスワード ポリシー、ソフトウェアの更新のステータスを含める必要があります。
|
防御プロセスとポリシー どのようなデータをどのように保護する必要があるかを定義します。この情報を周知し、職場を安全に保つための役割を全員が理解しておく必要があります。
|
クラウドのバックアップあらゆる防止策を講じていたとしても、オペレーションをすばやく簡単に復元できる強固な事業の災害復旧対応 (BDR)ソリューションを持っておくことが重要です。
|
ウェブ サーバー ハードニング 通常、ウェブ サーバーはネットワークの端にあるため、より攻撃を受けやすい状態になっています。適切に強化することによって、デフォルトの構成の変更、特定のサービスや表示の無効化が確実に行えます。
|
セキュリティ研修の提供認識していない脅威に対して人が防御することはできません。破られにくいパスワードの作成方法や フィッシング詐欺の認知など、自らを守る方法について教育する必要があります。
|
自社の攻撃対象領域やサイバー リスクを理解するにはどうすればよいでしょうか?
中小企業は、絶え間なく進化する脅威に直面しています。職場における人的ミスのリスクやセキュリティ意識の教育の必要性を考えると、課題は膨大なものとなります。必要とされる主要なセキュリティ対策の知識があれば、企業や組織は、プロアクティブなマネージド セキュリティなどのアプローチを通じて、攻撃対象領域とリスクに関する理解を深め、リスクへの曝露を軽減するために、強力で費用効果の高いサイバーセキュリティ保護対策を実施することができます。