中小企業のセキュリティ対策 提案された時に確認するべきことを教えます

Security
2024.07.15

中小企業の経営者は常にセキュリティ対策を考えていることはないであろう。そんな暇も時間も…売上に直結しないことは二の次になりがちだ。

ただ、サプライチェーンが狙われるサイバー攻撃で中小企業もターゲットとなるので何らから対策をしないと被害者どころか加害者となり損害賠償請求の対象にもなりかねないという大きなリスクを抱えてしまうことは理解されているようだ。

中小企業の各業種向けの定時総会や勉強会(研修会)等でセキュリティ対策についてわかりやすいセミナーをしてほしいとの依頼を受けることが多く、そこで経営者の方が共有して言われることが以下だ。

払拭できない疑問

✔️ 結局、何をするのが一番効果的なんですか?
✔️ お金もかかるし、人もいないからなかなか手が出せない。
✔️ 取引先ベンダーから「これを入れておけば大丈夫です」って言われたけどホントに大丈夫?

…等々…まだまだあるのだが、集約するとだいたいこの3つに絞られる。

IT-Security業界で35年で培った経験と実績から、この疑問についてお答えします。対策ツールを販売しない立場、つまり第三者の視点で中小企業経営者の方へわかりやすく解説します。忖度もなければ最終的にこれを買ってください…という、誘導営業的なオチもありません。経験と知識をそのままみなさんにお伝えします。

※IT-Security35年のプロフィール詳細はこちら

プロフィール

疑問に答えるべく以下の項目で解説します。3分から5分くらいで最後まで読めるボリューム感です。

・中小企業に最適なツールなしでできるセキュリティ対策!
・ツールを導入しなくても対策効果が見込める理由!
・「これを入れておけばOK」と言われたら確認すべきこと3つ!

中小企業に最適なツールなしでできるセキュリティ対策!

とくに新しいことや目から鱗…みたいな斬新な対策ではありません。IPA(情報処理推進機構)から発行されている「中小企業の情報セキュリティ対策ガイドライン」の中に記載されている「情報セキュリティ対策5か条」を実践してください。ガイドラインをしっかり読むことも大事ですが70ページで構成されているので、読もうと思っても「ちょっと今は…」と敬遠されることとなり、現実的にあとで読むってこともないかと思います。

※こちらにガイドラインの要約記事があります【1分で理解できるセキュリティガイドライン】

【要約】IPAセキュリティガイドライン【70ページが1分で読めます!超時短!】
IPAは中小企業向けに現実的なセキュリティ対策のガイドラインや提言など有益な情報を発信しています。が、ガイドラインは70ページのボリュームがあって読破するのはちょっと大変です。それで、内容を吟味した上で要約し1分で読めるようにしました。中小企業のセキュリティ対策は何をしなければならないのかご理解いただけるかと思います。
blog.info-flag.com
2024.07.15

セキュリティガイドライン【情報セキュリティ5か条】

なので5か条。。つまり、この5つの対策をやればいいですね!という理解をしてください。

その5つとは

❶ OSやソフトウェアは常に最新の状態にしよう!
❷ ウイルス対策ソフトを導入しよう!
❸ パスワードを強化しよう!
❹共有設定を見直そう!
❺脅威や攻撃の手口を知ろう!

情報セキュリティ対策5か条は、IPA(独立行政法人 情報処理産業推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」の「付録1」で公開されているものです。

引用元:IPA 独立行政法人 情報処理推進機構

この中でお金がかかる(買わないといけないもの)は2番のウイルス対策ソフトだけです。保有PCの台数によってかかる費用は違ってきますが、高すぎて手が出ないというほどの価格帯のものではありません。自社の運用に合ったプロダクトを選定し必要最低限のツールと認識いただき導入することを推奨します

高価なツールを導入しなくても実効性がある対策

たった5つでしかもツール無しで効果的ってどういうこと?って疑問に思われるかもしれませんが大丈夫なんです。絶対とか100%とは言えませんが、現在のサイバー攻撃事例などからそれは実証されているという見方ができるのです。

※【検証】IPAのセキュリティガイドラインの信憑性【効果あります】合わせてご一読ください

【徹底解説】セキュリティ対策ガイドライン 5か条!【事例から検証】
中小企業でやるべきセキュリティ対策はIPAのセキュリティ対策5か条である。基本的なことが明記されいるだけという見方もできるのだが、これがいかに重要であり現実的な対策であるかをインシデント事件を例にその効果を解説する。
blog.info-flag.com
2024.07.15

サイバー攻撃はパソコンやネットワーク接続機器やソフトウェアの脆弱性を狙い(突いて)侵入してハードディスクを暗号化(ランサムウェアの場合)したり、悪意のあるソフトウェアを仕掛けて通信状況をモニタリングしてから、情報を搾取したり、脅迫や特定のWebサイトに誘導するメールを送信するなど様々なパターンがありますが、ここで注目していただきたいのは脆弱性を狙い…の”脆弱性”の部分である。

脆弱性はシンプルに言えば、システムの欠陥ということであり、プログラムのバグ(不具合)や設計上のミス、設定の誤りなどのことをいいます。(ここでは詳細説明は割愛させてください、また改めてわかりやすく解説した記事をアップします)

常に最新の状態で稼働させることが防御になります

現実的に理解しやすく表現すると脆弱性って、ソフトウェアやファームウェア(ネットワーク機器)が最新バージョンになっていないと存在してて、そこを通じて不正アクセスされてしまうということです。

まだ記憶に新しいかと思いますが

2019年。。大阪の病院 カルテ。。これは、病院の出入り業者のVPN装置の脆弱性をつかれたものであり。。この時はコロナ化でテレワークで仕事する時にVPN装置は使用されることもあり、VPNの脆弱性を突いた攻撃があるので注意してください(アップデートしてください)というアナウンスはあったのですが手付かずにしてしまっていたことがアダになってしまったのです。

何か特別な対策をするのではなく、ソフトウェアをアップデートしておくだけで防げたのです。

脆弱性はネットワーク機器以外にもWebサイト(ブログサイト含めて)に多く使われているWordPressも狙われ改ざんされるという被害も少なくない。サプライチェーンを狙ったサイバー攻撃は脆弱性を突いて不正アクセスされる事例が多く報告されていることから、ソフトウェアを最新の状態にしておくということは簡単かつコストをかけずにできる効果的な対策であることは事例からも明らかなのです。

攻撃者は効率重視で入りやすいところを狙う

サイバー攻撃をする人(人たち)は組織化され言わばビジネスとしてやっている。脆弱性のない環境をあらゆる手段を駆使して侵入を試みるより、脆弱性がある環境を発見してすぐに侵入して暗号化を実行。身代金を要求。とした方が稼ぎがいいってことなのです。時間をかけても身代金要求を無視されたらタダ働きとなってしまうので、多くの企業へ侵入し身代金要求先が多い方が効率的に稼げる。ということなのです。そういう意味でも脆弱性がない(しっかり鍵がかかっている)環境にしておくことは重ねて効果的な対策であると申し上げたい。

パスワードの強化も欠かせない対策です

それと、パスワードも複雑にしておくことで解読に時間がかかるので攻撃者は避けるようになります。***だと数秒で破られてしまいます。が、****で設定しておくと論理的には**万年かかる計算になるんです。なのでパスワードの強化もすごく大事。5か条の3か条目にあるやつです。

どういうパスワードがよくて、設定方法や忘れないためにどうしたら良いか?
以下を参考にしてください。

※パスワードの極意!解読に数億年年かかるパスワードの作り方

【簡単・実践的】安全かつ強固なパスワードの作り方
パスワードの重要性はわかるのだが、桁数が多いと覚えられないし、サービスごとに変えるとわからなくなってしまうので、シンプルにして使いまわしてしまうということはあるんじゃないでしょうか。それは、個別にパスワードを一から考えて設定すると自分でもわからなくなってしまうんです。そうではなく、簡単な作り方でも強固なパスワードの設定と運用をすることができます。わかりやすく丁寧に解説しますので、これを見ていただいてから早速、ご自身のパスワード設定を変更してください。
blog.info-flag.com
2024.07.15

では、3つ目の疑問で「これを入れておけばOK」はホントにOK(大丈夫)なのか…これに答えます。

「これを入れておけばO大丈夫」と言われたら確認すべきこと3つ

何を対象にOK!と言っているかにもよるのですが、結論を申し上げるとそういうものはありません。

・「とりあえずこれを入れておきましょう!」
・「まずはこれからやっていきましょう!」
・「最低でもこれをやらないといけません!」
・「これってオールインワンで簡単なので大丈夫です!」

など、安心させようとしているのか意中のものを売り込みたいのか計り知れないのだが、こんなことを言われたら確認してほしいことが最低でも3つあります。この質問の回答が合理的な根拠に基づいているなら導入を検討することはアリかと思います。

その① それを勧める理由はなんですか?

「簡単で安いですし、その割には機能も充実してますのでまずはこれを入れておけば安心できると思います。」と…だいたいこのようなことを言ってくると思いますが、これはまったく質問に答えて(応えて)ません。あなたの思いは聞いてないのです。理由を聞いてます。なので、語尾は 〜から。〜のため。〜による。との説明が欲しいですよね。それが適切な日本語の会話です。

勧める理由のほとんどは会社がそれを売る(戦略商品と位置付けている)ように言ってるからであり、そのホントの理由は粗利率がいいからです。要は儲けの多いものを理屈をつけて売ろうとしているってのが実態です。これは売れています。とか、一押しです。とか売れって言われてまして…って正直に言ってくれたほうがスッキリしますね。

その② うちの会社の誰が使うことを想定しての提案ですか?

「誰でもできますよ。専門的な知識は不要ですしクリックするだけで操作できますので…」という回答が返ってきそうです。これも質問の答えにはなっていません。使う人を想定した提案をしてくれるITベンダーの営業マンはほとんどいません。自ら操作したこともないのに「簡単です!」って言い切ってしまう人がほとんどです。

実際に操作を担う人がどういうITリテラシーを持っているか、どのような業務と兼務することになるかかど導入後の運用を考慮する視点が欠落していればそれは提案とは言えません。

その③ どのようなメンテナンスが必要なのですか?

「定期的にバージョンアップしてください。操作は簡単ですし、メールで案内が行きますので。それ以外はとくにやることはありません。」などの回答が想定できます。が、定期的というのはどのくらいのタイミングで1回の操作にどれくらいの時間がかかるのか。その時、再起動させる必要があるのか(物によってはその間はインターネット通信が不可となる)など具体的な説明がないのは不親切です。

簡単=短時間ということにならないし、いつやってもなんの影響もない。ということではない。上述のように導入後にどれだけの時間と人手が必要になるものかを事前に確認しておく必要はある。どんな製品でもある程度のメンテナンスは避けられず(脆弱性を補うためにも)人手も時間も必要となる。それをしっかり理解させてくれるような説明がないまま「大丈夫です!」「OKです!」と言われてもそれを鵜呑みにしてはいけない。

この3つの確認(質問)に、「なるほど…そうなんですね。」と反応することができたらその営業マンは信頼できますので導入の検討をしてもいいかと思います。

まとめ:安心を手に入れるために

✅ セキュリティ5か条をしっかりやりましょう!
✅ サイバー対策は脆弱性を無くすことが効果的!
✅ 製品を勧められたら、確認することは3つ!

今回はすぐに取りかかれて、ほぼコストゼロでできることと間違った製品導入や、製品選びに失敗しないためのコツ(3つの確認)など、大枠的(概要レベル)な感じで説明しましたが、製品、ベンダー、営業マン、エンジニア…など、選定すべきものは多く、その視点は多岐に渡ります。今後もそんなこと気にしたことなかった…という細かいけど重要なことなど発信していきますのでまた本ブログを覗きにきてください。

最後まで読んでくださってありがとうございます。

また、お会いしましょ。