このページの本文へ移動
中小企業庁 新しいウィンドウを開きます令和3年度中小企業庁委託事業
メニューを開く閉じる

第10回セミナー
「情報セキュリティと企業経営」開催報告

開催概要へ戻る

講演1 「中小企業にとってのサイバーセキュリティの勘所 」


講師:
産業技術総合研究所 
サイバーフィジカルセキュリティ研究センター 
主任研究員 高木 浩光氏

企業が情報管理に取り組む際のポイント

企業が情報管理を徹底する際、セキュリティの知識・技能は必須です。中小企業においても、地方の小規模な病院がサイバー攻撃の標的にされ、診療ができなくなるといった深刻な被害が起きています。また、ネットショップでクレジットカードの番号を盗み取ろうとする攻撃や、中小企業を経由して取引先の大企業を攻撃しようとするサプライチェーン攻撃は後を絶ちません。攻撃の動機や手口も多様化・巧妙化しており、中小企業も十分な対策が必要です。

1.対策の必要性

最近のサイバー攻撃は、企業のネットワークに侵入後、データを消去・暗号化して「人質」に取り金銭を要求する「ランサムウエア」、長い期間にわたって執拗(しつよう)に行われる組織のネットワークへの侵入、クラウドサービスなどの外部サービスへの攻撃、ネットショップ画面の改ざんなどがトレンドになっています。
企業ネットワークにコンピュータウイルス(マルウエア)が侵入する大きな原因は、メールの添付ファイルです。添付ファイルを開くと、パソコンがウイルスに感染してしまうため、拡張子がexeのファイルはメールでのやりとりはやめるべきです。ExcelやWordの添付ファイルについても、マクロ機能でマルウエアが作れます。従業員がよく分からず実行してしまったり、社内業務でExcelのマクロ機能をオンにしていたりすると、悪意あるマクロが実行してしまうため、注意が必要です。
さらに、ソフトウエアの脆弱(ぜいじゃく)性の修正パッチ適用を怠る、弱いパスワード、フィッシング、文書の暗号化の不備も社内ネットワーク侵入の原因となります。

2.中小企業ならではの対策

中小企業では、業種により対策が必要な箇所は違いますが、扱う情報の機密レベルが、防衛機密、産業スパイの標的になる機密、安全重要な情報などを扱う場合は、いっそうの注意が必要です。中小企業がサプライチェーンの一部として関係していると、事は取引先にも及んでしまうからです。
また、個人情報を漏えいすると、報告・公表が必要で、世間の批判にさらされるだけでなく、中小企業側の担当者の実在する氏名やメールアドレス等を使ってなりすまし、上位レベルの取引先を攻撃されかねません。

具体的な対策には下記のようなものがあります。

対策 内容 注意点
外部サービスの利用
メールの添付ファイルやメールサーバの脆弱性対策が課題
メールについては、サーバを自社に構築せず、外部サービスのOffice365のメールやGmail等を利用する。添付ファイル対策や脆弱性対策をしているので、人的技術的リソースの足りない中小企業においては合理的で安価。
メールではなくビジネスチャット(Slack、Chatwork等)も、登録時とログイン時のなりすましを防げば、わなや添付ファイルを気にせず利用できる。
情報の重要性ごとに区別して、外部サービス運営会社の信用性を個別に検証する必要あり。
文書管理
暗号化と鍵管理が課題
クラウドに保存する
ファイルを社内に置かずクラウドで文書管理すれば、不正ログインさえ防げば安全に運用できる。
IRM(Information Rights Management)を利用する
社内にファイルを置くならば、IRMを利用すれば、従業員同士でやりとりする場合は鍵管理が自動化される。これにより、社内では暗号化したまま保管し、使うときに自動的に復号されて、保存するとまた暗号化される。ファイルが流出した場合でも外部では開けないため、比較的効果が高い対策。
クラウドへの不正ログインや、IRM利用時の社外とのやりとりや共同編集に注意が必要。
Microsoft製品に依存し過ぎていいのかどうかを考慮すること。
ウイルス対策ソフト
期限切れや機能停止が課題
Windowsに標準で入っているMicrosoft Defenderの能力は十分なので、これを使うとよい。 個別に作られた攻撃プログラムは防げないことに注意。
パスワード
パスワードの安全担保と入力(覚えられない)が課題
外部サービスを使うなら不正ログイン対策が肝となるため、ランダムに生成し、使い回ししないこと。
最近は、ログインしっぱなしにして、端末にロックを掛ける方式がトレンド。端末ロックの解除には安全なパスワードを使い、ログインパスワードはランダムに生成し、紙に書いて厳重に保管しておく。
従業員に徹底させること。
※覚えられる安全なパスワードを生成するには、辞書から単語をランダムに3つ選び、ローマ字で3つの単語を並べてつなげたものを用いるとよい。
ID管理
ログインの安全性が課題
IDaaSを使う(アイダース:複数の外部サービスのIDを連携させ1つのIDに集約する) IDaaSではワンタイムコードやSMS認証による2段階認証・2要素認証でログインの安全性を高められる。
VPN(Virtual Private Network)経由でログインする
社内にIDサーバを設置し、ワンタイムコードを使ってVPN接続して、安全にログインし、その後、ID連携をして外部サービスを使う方法。
フィッシングにより、偽のサイトにIDパスワードを入力しないこと。
VPNの場合、権限の管理を怠らないこと。

3.フィッシング(phishing)対策

フィッシングとは、偽サイトで情報を盗み取ろうとする犯罪のことです。見た目では正規サイトと全く見分けが付かないので、対策するには、URLやドメイン名を確認してからコードやパスワードを入力するリテラシーを身に付けるしかありません。中小企業においても、従業員に徹底することが課題となります。
しかし、ドメイン名を覚えることにも限界があるので、FIDO2(ファイド)のWebAuthnという技術を用い、ログインしっぱなしで使い端末をロックし、顔や指紋などの生体認証機能や6桁の暗証番号で端末ロックを解除する方法もあります。

4.残る課題

端末がマルウエアに感染してしまうと、攻撃者から遠隔操作されてしまいます。それを防ぐため、安全性が高いiOS、iPadOS、AndroidのOSの使用も検討すべきで、業務によっては、事務は全てiPadでやらせるというようなこともあり得ます。
産業技術総合研究所(「産総研」)では、実際に産総研が不正アクセスの被害に遭ったインシデントについて、詳細な報告書を公表しています。実際の攻撃の手順を知ることができますので、目を通して対策の参考としてください。