中小企業のセキュリティに関する3つの大きな誤解

中小企業が限られたリソースでより強固なセキュリティ体制を実現するには、いくつかの方法があります。

彼はこの投稿の中で、「中小企業がサイバー攻撃の増加に苦しんでいるのはなぜなのか」という問題を提起する Wall Street Journal の記事を参照しています。この記事によると、問題の 1 つは「中小企業は自らが標的となるとは考えていないため、セキュリティを優先していない」ことだと言います。

なぜ多くの中小企業は、国家や犯罪的なハッカーが「大物」だけを狙うといまだに考えているのでしょうか。これに対する反証は数多く存在しています。

本記事では、この問題にまつわる 3 つの誤解を紹介し、それに対処する上で私たちが協力して取り組めることについて検討します。1 つだけ確かなことは、中小企業が攻撃者の標的にされているという問題の解決に向けて私たちが協力しない限り、攻撃者はその失敗につけ込んで勢いを増すだろうということです。
 

第 1 の誤解：「組織には、攻撃者が価値を見出すようなものは何もない。」

連邦捜査局（FBI）に務めていた当時、筆者はさまざまな重要な教訓を目の当たりにしました。その 1 つが、自分が犯罪の被害者になると考えている、あるいは予想している人はほとんどいないということです。この誤解により、中小企業はサイバー攻撃に関して危機的な状況に置かれています。

多くの中小企業経営者は、自分たちが「無名であるがゆえに安全」であるか、あるいは、標的を探すサイバー犯罪者や利益を追求する国家の「レーダーをかいくぐる」ことができると考えています。「私たちの手元に、サイバー犯罪者にとって価値のあるものなどあるのだろうか ? 攻撃すべき企業組織が山ほど存在する中で、犯罪者が私たちのデータを欲しがりなどするだろうか ?」というわけです。

これには次のように答えられます。オンラインで恐喝行為を働く犯罪者は、中小企業がデータを必要としているがゆえに、ますますそのデータを狙っています。また、組織の事業継続に必要な情報が暗号化または窃取されるか、あるいはシステムが使用不能になった場合、組織がそれを取り返すために支払いに応じる可能性は十分にあります。これは、ランサムウェア攻撃を動かす動機にほかなりません。

サイバー犯罪者にとって、中小企業は単なる地域広告会社、オフィスパーク内のメーカー、小学校、診療所グループなどではなく、攻撃の標的であり、支払い能力のある存在なのです。
 

第 2 の誤解：「自分たちは影響力の大きな組織ではない。」

多くの中小企業は、サプライチェーンにおける自分たちの重要な役割に気づいていません。

次のような状況を考えてみてください。あなたの会社は航空業界向けに独自の部品や材料を製造しています。以下に示すように、産業スパイを企てる国家支援型のハッカーにとっては、あなたの組織を標的とするいくつかの理由があります。

• ハッカーは、自らの戦略的または経済的な優位性のために組織のデータや設計を窃取し、組織の成功と利益を脅かしたいと考えています。
• ハッカーは、大手企業、軍、政府といったパートナー（これらは最終的な標的である可能性がある）の IT ネットワークに対する正規のアクセスを乗っ取りたいと考えています。
  
• ハッカーは、真の狙いである「大物」に比べ、あなたの組織がセキュリティにほとんど投資していないことを把握しています。つまり、大企業への侵入を果たす上では、標的を直接狙うよりもあなたの組織のネットワークを侵害する方が容易なのです。
  

サイバー脅威アクターはこうした手口を長年にわたって採用しており、中小企業や中堅企業における意識向上の重要性を浮き彫りにしています。近年では SolarWinds 社、Kaseya 社、Okta 社に対するサプライチェーン攻撃が大々的に報じられており、もはやこれらを知らないということはほぼありえないでしょう。

これらの出来事はすべて、中小企業が自社のパートナーを意識し、その信頼関係がサイバー攻撃の標的となり得る可能性について考えるきっかけになるはずです。なお、サプライチェーン全体のサイバーセキュリティの重要性については 2022 年の以前のコラムで解説しています。
 

第 3 の誤解：「中小企業には、ファイアウォールを導入する余裕しかない。」

多くの中小企業は資金と人材が非常に限られているため、生産性や成長、売上に焦点を絞る必要があります。概して、そのような企業はファイアウォールと従来型のアンチウイルス保護を導入し、組織を全面的に保護できることを期待しています。しかし、脅威が絶えず変化し、サイバー犯罪者が国家レベルの高度な手口を採用している状況では、このようなアプローチはもはや通用しません。

中小企業の多くは、サイバーセキュリティ人材を確保して維持することは困難であり、費用もかさむため、自分たちには打つ手がないと考えています。しかし、企業の規模に関わらず、社内の専門知識や人材の不足がサイバーセキュリティの障害となることは、もはや受け入れられるものではありません。
 

中小企業のサイバーセキュリティ改善に向けたステップ

リソースが限られている場合でも、より強固なセキュリティ体制を実現する方法はいくつかあります。その出発点として、いくつかのアイデアを以下に示します。

• NIST サイバーセキュリティフレームワークの 5 つの基本原則に照らして組織のセキュリティを評価し、現状を把握しましょう。その原則とは、特定、保護、検知、対応、復旧です。欠点を把握できていなければ、それに対処することもできません。
• 組織内では可能な限り多要素認証（MFA）を有効化しましょう。
  
• マネージド XDR（MXDR：Managed Extended Detection and Response）のサブスクリプションを検討しましょう。XDR は企業全体のセキュリティ意識を高め、攻撃を撃退するプロアクティブな機能を提供しますが、その導入は中小企業や中堅企業はもちろん、あらゆる規模の組織にとって複雑かつ高価なものになる可能性があります。マネージド XDR は、サードパーティの専門家がこの複雑さに対処し、組織はデメリットなしにメリットを享受できるため、導入しやすい選択肢となるでしょう。
  
• ネットワークを強化してサイバーリスクを軽減するために、ゼロトラストネットワークアーキテクチャ（ZTNA）の導入を検討しましょう。これは中小企業のリソースにとっての負担となり得るもう 1 つの要素であるため、外部に支援を求めて社内チームの負担を軽減する必要があるかもしれません。サービスとしてのゼロトラスト（Zero Trust as a Service）の導入は、検討に値するアプローチの 1 つです。
  
• 何らかの疑問がある場合は、信頼できるマネージドセキュリティサービスプロバイダ（MSSP）に相談の上、現状の防御体制の評価を依頼し、潜在的なリスクを特定しましょう。
  

最後に改めて強調したいのは、このサイバー空間における戦いには私たち全員が参加しているという事実です。もし読者が企業組織に属しているのであれば、中小企業のベンダーパートナーがより良いセキュリティへの道を歩めるよう支援しましょう。そのような配慮は、他でもない読者自身の組織に対する侵害を予防することにつながります。

Security Magazine の記事全文はこちらでご覧いただけます。