叡智の三猿

~森羅万象を情報セキュリティで捉える~

中小企業にとっても重要なセキュリティ対策

中小企業は大企業ほど取り扱う情報が多くないから情報セキュリティ対策の重要性は低いと考えている人もいるようです。これは誤りです。

中小企業のホームページには「主要取引先」として、いくつかの大企業、有名企業の名前が列挙しているのを見ることがあります。知名度の低い中小企業が社会的な信用を得るため、大企業、有名企業と取引があることを戦略的にアピールしているのです。わたし自身、長らく中小企業にいたので、大企業との安定した取引があることを周知することが、ビジネスをするうえで、如何に重要な取り組みかはよく理解しています。採用でも有効ですね。「〇〇会社(←大企業)の仕事を多く取り扱っています」というような、文面を採用広告に入れることができれば、採用が難しい中小企業にとって、ありがたいことです。

ちなみに「知名度が低い」事実は、中小企業の経営にとって課題ですが、無駄に知名度をあげることに努力をしない方がいいと思います。知名度がない中小企業でも、自社の製品やサービスが支持されると、徐々に知名度はついてきます。会社は小さくとも、質のいい製品やサービスを提供する企業ということで「小さな巨人」になります。わたしは中小企業で、SES(システムエンジニアリングサービス)の事業を運営していたのですが、サービスの質をあげるために第一にやるべきは、少数でも優秀なエンジニアを直接雇用することだと思っていました。そうすると、取引先の担当者からもいい評価の話が出て、それが口コミで広まってくるのを感じました。

さて、、中小企業がホームページや採用広告に、大企業との取引実績があることを周知するのは、有効と書いたのですが「情報セキュリティ」の視点では危険です。

中小企業が「〇〇会社(←大企業)の仕事を多く取り扱っています」と、公開するということは、攻撃者の目には「この中小企業は〇〇会社の機密情報を預かっているんだ」とうつります。

サプライチェーン攻撃」という攻撃手法があります。サプライチェーンとは、原材料や部品の調達、製造、物流、販売までの一連に関わる企業の商流を指します。「サプライチェーン攻撃」は、このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃するのではなく、その企業が構成するサプライチェーンのセキュリティが脆弱な会社を標的とする手口です。その会社が攻撃することで、攻撃者が本来のターゲットとしたい企業の機密情報を盗み、本家への攻撃の足掛かりとします。

サプライチェーン攻撃について、こちらでも書いているので、よろしければ覗いてください。
www.three-wise-monkeys.com

大企業は自社に専任の情報システム部門を設けそこでセキュリティ対策を行っているとみなされますが、中小企業の多くは専任の情報システム部門を設けていません。そのため、中小企業はサプライチェーン攻撃の標的になりやすいのです。

下図のように攻撃者があたかも〇〇会社(←取引している大企業)の関係者であるかのようなメールにウイルスファイルを添付してくることが考えられます。これを標的型攻撃といいます。

f:id:slowtrain2013:20200416001200p:plain:w500
標的型攻撃によるマルウエアの感染

標的となる中小企業の担当者は、そのメールを重要な取引先からの文書だと勘違いして、添付ファイルを開封してしまい、PCがマルウエアに感染してしまいます。そのマルウエアが、スパイウエア型であれば、PCのディスプレイに表示された情報をスクリーンショットにより盗み、攻撃者に送付します。マルウエアを経由して攻撃者は、取引先の機密情報を入手します。

中小企業もちゃんとしたセキュリティ対策を講じるべきです。ソフトウエアの脆弱性情報を収集し、脆弱性が発見されれば、速やかにサーバーやパソコンにセキュリティパッチ(修正プログラム)をあてます。それにより、マルウエアを検知・排除する取り組みを実施していく必要があります。

標的型攻撃対策としては、従業員へのセキュリティ教育や訓練を定期的に実施するのが効果的です。たとえば、IPA独立行政法人情報処理推進機構)では「5分でできる!情報セキュリティポイント学習」という無料のセキュリティ教材を提供しています。中小企業の経営者はこうしたツールを活用して社員のセキュリティ意識を高めて取り組みをしていくのがいいと思います。
https://security-shien.ipa.go.jp/learning/