2022年5月31日13 分
最終更新: 2023年6月4日
あらゆる情報がデジタル化されている現在では、想像する以上に多くの Web サイトがサイバー攻撃の対象になります。大切な情報を守りるために、堅牢な Web サイトセキュリティ対策が必要不可欠です。
警察庁の発表によると、国内では2021年度にランサムウェアによる被害が拡大しました。ランサムウェアとは、企業のデータを不正に取得し、「人質」としてデータを元に戻す代わりに、身代金(=ランサム)を要求する攻撃です。2021年度の被害件数は146件に上り、年々右肩あがりで増加しています。またキャッシュレス決済の普及等を背景として、国内でのサイバー犯罪件数が12,275件(暫定値)と過去最多を記録するなど、危機感が高まっています。サイバー攻撃に対するセキュリティ対策がこれまで以上に重要になっていると言えるでしょう。
クロスサイトスクリプティング(XSS:攻撃者が、悪意のある JavaScript コードを、信頼できるウェブサイトを通じてユーザーのブラウザに仕掛けるもの)から、組織のメールアカウントを狙うフィッシング攻撃、怪しいファイルリンクを含む悪質なマルウェアまで様々な手口が登場する中、サイバーセキュリティは中小企業経営者にとってますます大きな関心事となっています。このため、ホームページの作成やプライベートネットワークの設定など、日々の業務を通じてサイバーセキュリティの基本を理解し、データ侵害からシステムを保護する方法を理解しておくことが重要です。
サイバーセキュリティとは、インターネット上にある機密情報と重要なデータを保護することです。今日、内外の脅威から機密データを守り、攻撃に備えるために、多くの組織や中小企業がサイバーセキュリティ対策を実施しています。
しかし、中小企業の経営者・役員825名と大企業の経営者・役人207名を対象として行った日本損害保健協会による調査では、中小企業のうち60.4%が「近年リスクが増えていると思う」と回答した一方、36.6%が特に対策を行っていないと回答。リスクに対する意識の低さも伺えます。
米国では、防衛システムの改善と連邦機関の統一のため、ジョー・バイデン米大統領が2022年3月1日、「Strengthening American Cybersecurity Act(米国サイバーセキュリティ強化法)」に署名しました。この法律により、すべての重要インフラ事業者は、リスクの管理と低減を目的とした政府組織であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)に攻撃を報告することが義務づけられました。日本でも経産省が警鐘を鳴らし、産業界へ「セキュリティ対策徹底」を呼びかけています。
とはいえ、インフラ整備やセキュリティ対策が強化されるにつれて、ハッカーの手口もますます巧妙になってきています。すべての脅威を排除することは不可能に近いですが、強力なサイバーセキュリティポスチャ*を確立することで、ハッカーの攻撃にさらされる機会を大幅に減らすことは可能です。
*サイバー攻撃に備えた効果的な体制(=ポスチャ)のこと
目次
サイバーセキュリティとは
中小企業が注意すべき、サイバー攻撃の種類
マルウェア攻撃
ランサムウェア
フィッシング
スモールビジネスオーナーが取るべき対策
CIA トライアドとは
NIST サイバーセキュリティフレームワーク
安全なホームページ作成サービスの選び方
セルフホスト型とマネージドサービスの比較
その他のリソース
さいごに
ハッカーが中小企業を標的にする主な理由は2つあります。1つは、小規模企業は IT リソースがなく脆弱であることが多いため。もう1つは、大企業とパートナーシップを結んでいる小規模企業の場合、ハッカーはそこから大企業の機密データに直接アクセスすることができるためです。
企業や顧客情報を効果的に保護するために、中小企業にとって重要となる3つのサイバーセキュリティの脅威を理解しておきましょう。
マルウェアには、トロイの木馬やウイルスなどさまざまなサイバー脅威が含まれます。これらの攻撃では、ハッカーはコードを使用してプライベートネットワークに侵入し、データを盗んだり破壊しようとします。マルウェアの攻撃は通常、不正ダウンロード、スパムメール、または他の感染したデバイスへの接続から発生し、被害を修復するために多大な費用がかかってしまうことも珍しくありません。
前述の CISA によると、2021年にランサムウェアの脅威は大幅に増加しました。ハッカーは通常、メールを通じてコンピューターにウイルスを感染させ、甚大な被害と出費をもたらします。その名が示すとおり、ランサムウェア攻撃(ransom = 身代金)は、パスワード、ファイル、データベースなど、被害者の機密データを身代金として要求します。24〜48時間以内に金銭を支払わなければ、データを破壊または漏洩させると脅されるのが通常のパターンです。
フィッシングとは、ハッカーが不正なリンクを貼ったメールやダイレクトメッセージを会社の従業員に送りつける手口のことです。実際、組織のメンバーや仕事上のメールはビジネスやネットワークへの直接の経路となるため、中小企業のデータ漏洩の主要な原因となっています。
フィッシング攻撃は、データ流出、システムのフリーズ、ウイルスのインストールにつながる可能性があります。フィッシング対策協議会の2021年度レポートでは、これらの攻撃の増加により、令和 2 年上半期の不正送金の被害額は約 5 億1,200 万円に上り、前年同期と比べ大幅に増加したことが報告されています。
上でも述べたように、中小企業は復旧に必要なリソースが不足しているため、大企業よりも間違いなくサイバー攻撃の影響を受けやすいといえます。実際、スモールビジネスの 60 %は、攻撃を受けてから 6 か月以内に倒産しています。
中小企業がどのように自らを守ることができるかを説明する前に、まず、現代のサイバーセキュリティ基準の基礎として国際的に広く受け入れられているモデルである「 CIA トライアド」についてご説明します。
CIA トライアドは、機密性、完全性、可用性という 3 つの重要なセキュリティ要素を定義したものです。すべてのサイバー攻撃は、これらの属性の少なくとも1つを侵害しようとするものであり、これらの属性の関係は、情報システムがどのように動作すべきかのガイダンスとセキュリティ基準を提供するための指標となります。
秘匿性:秘匿性の高いビジネスデータはすべて、その秘匿性を保持した上で、許可されたユーザーのみがアクセスできるようにすること。
完全性:システムデータが信頼できるものであることを保証するために、適切な措置を講じること。
可用性:許可されたすべての人が、いつでもネットワークとそのデータにアクセスできる体制を整えること。企業はネットワークのセキュリティとシステムの機能性を継続的に監視する必要があります。
これらの用語の関係をよりよく理解するために、ネットショップで成功しているビジネスオーナーの場合を例に挙げて、CIA トライアドをどう実践すべきかを一緒に考えてみましょう。
具体的な対策の例
機密性:アカウントにログインするために、ユーザー名とパスワードの入力を求めることで秘匿性を保持します。ログイン情報を忘れてしまったときのために、2 要素認証を設定してパスワードをリセットするためのコードを受け取る体制を整えておくと良いでしょう。
完全性:ログイン後は、正確かつ変更されていない個人データや顧客データにアクセスできる必要があります。
可用性:ビジネスオーナーとショップ顧客を含むすべての人が、いつでもネットショップにアクセスできる状態にしておくことが重要です。
NIST(米国国立標準技術研究所)は米国商務省の一部門であり、企業のサイバーセキュリティ体制の強化を支援している機関です。NIST では CIA トライアドを参考にして、中小企業が情報セキュリティシステムを守るための 5 つのステップからなる「NISTサイバーセキュリティフレームワーク」(英語)を策定しています。
特定
防御
検知
対応
復旧
サイバーセキュリティ計画を作成する最初のステップは、監視と保護が必要なすべてのデバイス、アカウント、およびデータを特定することです。これには以下が含まれます。
機材:パソコン、ノート型 POS システム、スマートフォン、ルーターなど
ネットワーク:使用している Wi-Fi ネットワークおよび VPN
アカウントの認証情報:メールアカウント、会社のソフトウェアやツール、コンピューターやノートパソコンのログイン情報
クラウドストレージ:クラウドストレージを利用する全てのファイルや情報
Web サイト:顧客情報、在庫、支払い代行業者など
サイバー脅威からビジネスを守るには、多角的なアプローチが必要です。ここでは、その主なステップを紹介します。
サイバーセキュリティ施策を全体的に指揮する従業員を指名する(従業員があなた一人の場合は、自分で管理するか、信頼できる業者に依頼しましょう)
ウイルス対策ソフトウェア、フルディスク暗号化、ホストベースのファイアウォールを導入する。すべてのソフトウェアが自動的にアップデートをインストールするよう設定する
システムおよびネットワークへのログインは、許可されたスタッフのみに許可する
すべてのデバイスとアカウントに強力なパスワードを要求し、6か月ごとに更新する。
強力なパスワードの定義:
- 8 文字以上
- 大文字を 1 つ以上含む
- 特殊文字を 1 つ以上含む
- 数字を 1 つ以上含む
メールスパムフィルターを導入する
最も一般的な脅威に関するスタッフトレーニングを実施する
定期的なセキュリティ監査を実施し、システムにボトルネックがないことを確認する
重要な資産はすべてバックアップする
多要素認証を導入する
安全な決済代行業者を使用し、顧客のデータを保護する
サイバー攻撃から会社や人を守るには、ネットワークシステムの継続的な監視が不可欠です。不正なログイン試行、予期しないファイル転送やデータの移動など、通常とは異なる、または疑わしい動きがあれば、セキュリティ担当者に報告して直ちに調査する必要があります。
サイバー攻撃を受けた際の対応方法もしっかりと確認しておきましょう。
どのシステムまたはデータが侵害されたかを確認する
攻撃の種類を確認する
攻撃を受けたことをネットワーク上の全ユーザーに周知する。攻撃元がメールの場合は、直ちに削除するよう全従業員に通知する
攻撃元のコンピューター、システム、アプリケーションをオフラインにして、攻撃を切り離す
担当者または IT 専門家に、ハッカーが将来的にアクセスを回復するために設定した可能性のあるバックドアを確認させる
被害状況を確認する
サイバー攻撃から回復するのは大変なことです。しかし、不幸な出来事と同様に、これを教訓とし、二度と同じことが起きないようセキュリティ対策に繰り返し取り組むことが大切です。攻撃された後は、通常通りビジネスを再開したり、新しい取り組みを行う前に、忍耐強くシステムと従業員の復旧を優先させましょう。また、同時に以下のことも忘れずに行いましょう。
法執行機関や規制当局に報告する
透明性を保ち、顧客や取引先の信頼を回復するために侵害の事実を知らせる。サイバーセキュリティ攻撃は企業の評判を傷つける可能性がありますが、利害関係者と情報を共有しないことで逆に損害が広がってしまうことも考えられます。
ホームページには、支払いプロセスの情報、顧客のクレジットカード情報、メールアドレス、ログイン情報、在庫情報などの個人情報が含まれている可能性があります。このため、Web サイトのセキュリティはビジネスを保護するために最も重要な施策のひとつだと言えます。ホームページ作成サービスを選ぶときには、セキュリティ対策が特に充実したものを選ぶよう心がけると良いでしょう。
サイトのセキュリティをユーザーに任せるセルフホスティングプラットフォームとは異なり、Wix のようなマネージドプラットフォームでは、セキュリティ専門チームが年中無休でサイトを監視しています。すべてのユーザーに最高レベルのセキュリティを保証するために、Wix はレビュープロセスを開発して疑わしいアクティビティを調査し、外部のセキュリティコンサルタントと連携して信頼性の高い Web ホスティング、HTTPS および SSL 証明書による保護を提供しています。ホームページを万全の体制で保護することで、ビジネスオーナーは安心して企業活動により多くの時間をかけられるようになります。サイトセキュリティについてはこの記事で詳しく説明しています。
マネージド型のホームページ作成サービスは、世界で最も高水準のプライバシーおよびセキュリティ基準にも取り組んでいます。これは、予約システム、メルマガ配信、オンライン決済処理など、そのサービス内で提供されるすべてのビジネスツールやアプリにも適用されます。サイバーセキュリティの脅威が進化する中、これらの脅威に対応するために必要なリソースを持つサービスを賢く選んで、ビジネスに集中できる環境を整えましょう。
また、ホームページビルダーを選ぶときは以下の規格に準拠しているか確認しておくとより安心です。
Payment Card Industry Data Security Standard(PCI DSS)Level 1:Eコマースのコンプライアンス基準で、クレジットカードとカード所有者のデータセキュリティを保護します。
SOC 2 Type 2:米国公認会計士協会が策定した監査手順で、サービスプロバイダーがユーザーデータを安全に管理することを保証します。
国際標準化機構(ISO)規格27017、27001、27018、27701:ISO の4つの主要なセキュリティ規格。ISO は委託されたサービス、データ、知的財産を管理する企業を監督する組織です。
EU 一般データ保護規則(GDPR):プライバシー保護とデータ保護の徹底を図る EU 管轄の法律。EU 圏外の企業は GDPR を遵守することで、最高水準のセキュリティを進んで導入していることを顧客にアピールできます。
マネージド型のホームページ作成サービスでサイトのセキュリティを効率的に管理することで、ユーザーは安心してスモールビジネスを運営できるようになります。しかし、ネットワークやメールアカウントなど、パスワードで保護された他のシステムやデータベースも同じく保護する必要があります。IT 部門を持たない中小企業では包括的なセキュリティシステムを構築することは困難であり、負担が大きいと思われるかもしれません。既存のリソースをうまく活用して、できる限り総合的なセキュリティ対策を講じることが大切です。
経済産業省のサイバーセキュリティ経営ガイドライン:企業が行うべき IT やセキュリティ投資について経済産業省が主導となりまとめた資料。サイバー攻撃から企業を守るという観点のもと、経営者が認識する必要のある「3原則」および情報セキュリティ責任者に指示すべき「重要10項目」などが説明されています。
NEC のサイバーセキュリティ対策事例:サイバー攻撃から企業を守るために、NEC グループが数十年にわたって蓄積してきたノウハウや、外部機関との情報共有を通じて習得したサイバーセキュリティ対策が紹介されています。
東京都産業労働局『中小企業向け サイバーセキュリティ対策の極意』ポータル:中小企業向けのサイバーセキュリティ対策に関するさまざまな情報を発信しているポータルサイト。ユニークなイラストが豊富に使用されているほか、セキュリティコラムなどもあり、楽しみながらセキュリティについての情報を収集できます。
IPA サイバーセキュリティお助け隊サービス
中小企業向けに開発されたサイバーセキュリティ対策に必要不可欠な各種サービスをワンパッケージで安価に提供するサービス
いかがでしたでしょうか?
今回はサイバー攻撃の種類を紹介すると同時に、中小企業やスモールビジネスが直面するサイバーセキュリティリスクとその対策を解説しました。この記事で紹介したセキュリティ対策に関するリソースと Wix が提供するセキュリティ対策を利用して、ホームページのセキュリティ対策をもう一度見直してみましょう。まずは、できるところからサイバーセキュリティ対策のアップデートを始めることが肝心です。
編集者:Miyuki Shimose
ブログ コンテンツマネージャー