• Facebookでこの記事をシェアする

技術・創造

中小企業でも“0円”でできる!サイバーセキュリティの基本
~日本をサイバー攻撃から守るために~

2020.6.16

サイバー攻撃の脅威は目に見えない。いつ起こるか分からない自然災害への備えがおろそかになりがちなのと同じように、サイバー攻撃への備え、すなわちサイバーセキュリティ対策は後回しにされがちだ。ヒト・モノ・カネの経営資源が乏しい中小企業ならなおさらである。
PFUは、中小企業向けにサイバーセキュリティサービスを提供し、中小企業のサイバーセキュリティの意識や実態調査に加え、改善指導などを行っている。カスタマサービスマネジメント事業本部セキュリティサービス事業部プロフェッショナルサービス部の小出和弘は、「セキュリティ・エヴァンゲリスト」として、企業向けの有償サービス以外にも、セミナーでの登壇や学校向けの啓発活動に携わっている。小出は普段の活動を踏まえ、中小企業でもおカネをかけずに取り組めるセキュリティ対策などについて語った。

中小企業のセキュリティの現状

PFUは2019年度に、経済産業省の補助事業として、IPA(独立行政法人情報処理推進機構)の「中小企業向けサイバーセキュリティ事後対応支援実証事業」を請け負い、石川・富山・福井の北陸3県の中小企業に、無料でサイバーセキュリティサービスを提供した。中小企業のサイバーセキュリティの実態や意識を調査したうえで、改善指導などを行うサービスだ。
このサービスに主管担当として携わった小出は、事業の印象を次のように振り返る。
「今回の事業を振り返ると、お客様の既存対策をすり抜けてきた攻撃はそれほど多くはなかったものの、Emotetと呼ばれる取引先企業に迷惑がかかるマルウェアへの感染も検知されています。しかし、一言で語るなら、脆弱なパソコンや公開サーバーが多く存在していることが明らかになりました。特に3割のパソコンは脆弱性更新が行われていません。サイバーセキュリティ対策として、ファイアーウォールやウイルス対策ソフトを入れて終わり、というところが多くあり、たしかに一部のセキュリティ対策は出来ているものの、パソコンやサーバーにセキュリティ更新プログラムが当てられていなかったり、OSのバージョンが古かったりと、脆弱性が放置されているケースが多々ありました」

その背景には、中小企業はヒト・モノ・カネの経営資源が潤沢とはいえず、セキュリティ対策に十分な予算や工数が割けないという事情がある。
ある中小企業は、「調査で問題が見つかっても、対処する予算も工数も割けない」という理由で、実証事業への参加を見送ったという。事業への参加は“無料”であったにもかかわらずだ。その本心は、「おカネや手間をかけるなら、本業に使いたい(あるいは、本業以外に使う余裕がない)」ということにある。北陸での実証事業が、ちょうど消費税増税(2019年10月)と時期が重なっていたこともあり、本業とは直接関係しないサイバーセキュリティに割く余力がなかったというのが実情のようだ。

(ご参考)

「サイバー攻撃デモ」で、リスクを「見える化」

経営資源が乏しい中小企業には、サイバーセキュリティの専任担当者がいることも少なければ、そもそもITの専任担当者もいないケースも稀ではない。専任担当者がいる場合でも、経営者には、本業以外の業務におカネや手間をかけたくない思いがあり、担当者の危機感が経営者と共有されないケースもある。
「経営者の方に、サイバーセキュリティの必要性をどうすれば感じてもらうことができるのか。経営者の方も、企業のウェブサイトが改竄されたり、情報が盗まれたり、という事件が起きていることはニュースなどで知ってはいますが、多くの方が『うちは関係ない』と思っておられます。サイバー攻撃のリスクを自分ごととして感じてもらうことが、セキュリティ対策の第一歩です」

小出がそのためによく行うのが、「サイバー攻撃デモ」の実演だ。サイバー攻撃がどのように行われるのか、それがどれだけ簡単なものなのか。そのリスクを実際に目の前で「見せる」ことで、どのように被害が発生するかを実感してもらうのだ。
「サイバー攻撃は、攻撃を受けていることを見つけるのが困難です。それは、攻撃者が“見つからないように”攻撃するからです。そのため、ITやセキュリティに馴染みが薄い人に、攻撃のリスクをいくら言葉で説明しても、なかなか分かってもらえません。そこで、実際にどのように攻撃が行われるかをデモで実演することで、表立っては見えにくい裏側で何が起きているかを、少しでも体感してもらうようにしています。そしてこのデモの終盤では、デモ用に、脆弱なパソコンやサーバーを用意していたことをお伝えしています。こうした攻撃は、パソコンやサーバーが脆弱だったから容易にできるわけで、パソコンやサーバーの脆弱性に対処すると、攻撃者もデモのように簡単には侵入できなくなるわけです。デモにはタネも仕掛けもあり、何はともあれ脆弱性に対処することが、大きな防御策になることを実感してもらうようにしています」
「セキュリティ・エヴァンゲリスト」の肩書きで講演する際に、「サイバー攻撃デモ」は十八番のネタとなっている。

お金をかけずにできる、セキュリティ対策の基本

小出は、サイバー攻撃のリスクを感じてもらう活動を通じ、ある一貫したポリシーを持っている。それが、「セキュリティ対策は、ただお金をかければいいわけではない」ということだ。
「セキュリティの世界でよくいわれることですが、セキュリティに過剰投資をして、本業の経営が立ちいかなくなるのは本末転倒です。サイバー攻撃のリスクに備え、セキュリティ対策をとることはもちろん重要です。一方で、お金をかけずに取り組めるセキュリティ対策があることも知っていただき、経営とのバランスをとっていただくことを心がけています。その意味でも、サイバーセキュリティの対策には経営者の十分な理解が不可欠です」

小出によれば、「お金をかけずに取り組めるセキュリティ対策」には大きく三つあるという。

(1)セキュリティ自動更新機能を有効化する

「一つ目は、Windows Updateに代表される、セキュリティ自動更新機能をきちんと有効化しておくことです。サイバー攻撃は、パソコンやサーバーの脆弱性を突いてくるものがほとんどです。既知の脆弱性に対しては、セキュリティ更新プログラムが随時リリースされるので、それを常に最新に保てるようにしておくことが重要です。脆弱性は、人間でいう傷口のようなもの。傷口を放置しておくと、そこから細菌やウイルスが侵入して症状が悪化するように、パソコンの脆弱性を放置しておくと、そこを攻撃者に狙われてマルウェアが侵入し、悪意ある活動が行われてしまいます」
逆に言えば、最新のセキュリティ更新プログラムを当てておけば、サイバー攻撃を受けるリスクはかなり低くできるということだ。また、最新OSであるWindows 10には、ウイルス対策ソフトやファイアーウォールの機能もOSの基本機能として提供されており、その機能は有償製品並みだという。それを有効活用することで、パソコンのセキュリティを向上させることができる。
「今回の事業に参加して良かったこととして、主に次のようなご意見をいただきました。『多くの脆弱性を持つパソコンを指摘され、管理者が調査したところ、Windows Update機能が停止されており、会社の意図に反して脆弱性対策がなされていないパソコンを発見できた』とか、『PDFファイルのビューアソフトなど、Windows Updateで更新できないソフトウェアの存在に気づけた』などです」

(2)パスワードを使い分ける

二つ目は、パスワードをシステムによって使い分けることだ。
「最近は、クラウドで使える業務サービスが増えています。社内で使っているシステムもあるでしょう。それらのパスワードを、面倒だからと同じにしていると、どれかひとつのパスワードを破られたとき、すべてのシステムの情報が筒抜けになってしまいます。面倒でも、パスワードを使い分けること。それもセキュリティの基本です」

(3)社内への端末持ち込みのルール化

三つ目は、端末持ち込みのルールをつくることだ。
「個人が会社に持ち込む端末は、業務に必要のないソフトもたくさん入っています。個人が自由にダウンロードしたソフトのなかには、セキュリティ上好ましくないものが含まれている可能性もあります。ですので、会社が認めていない端末をネットワークにつながせていいのか、会社として考えておいた方がいいでしょう。最低限でも、ウイルス対策ソフトがインストールされていることを条件とするなど、何らかのルールづくりが必要です」

これら三つの対策は、いずれもお金をかけずにできることだ。だがその代わりに、手間や一定の知識が必要になる。

手間をかけるかお金をかけるか、それは経営判断だ

「セキュリティに手間をかけるかお金をかけるかは、経営判断といえるでしょう。『お金はできるだけかけたくない』ということであれば、今回ご紹介した対策がありますし、『手間をかけるのが大変』ということでしたら、その手間を省く製品やサービスを提供することも可能です。手間とコストのバランスが重要です」
そういう意味でも、サイバーセキュリティ対策には、経営者の理解が必要となるのだ。