コスパの良い セキュリティ対策を行うには?
自社でもできる
セキュリティ対策への4ステップ
動画制作:株式会社庚伸
本セミナー動画はDr.オフィスSystanがイベント出店した際のものです。中小企業が抱える「セキュリティのお悩み」にそって、お客様のシステム担当者として活躍するDr.オフィスSystanをご案内しております。
目次
2019年から右肩上がりに増加するサーバー攻撃につい、特に被害者の多い『ランサムウェア』と『フィッシングサイト』『フェイクアラート』 について、簡単に説明。
中小企業の30%はセキュリティやITツールに一切投資していないことが判明しています。それはなぜなのか。中小企業のセキュリティ軽視の理由に迫ります。
中層企業が抱える「セキュリティ担当者がいない!」という課題を解決するサービス、Dr.オフィスSystanをご案内。
以下はセミナー動画の原稿をそのままに掲載しております。ご参考ください。
大企業と中小企業においては、情報セキュリティを考えるときの手段が変わってきます。特に、中小企業においては人的リソースや費用、 経営陣の方の『うちには大した情報が入っていないから大丈夫』 というセリフに悩まされる方も多いのではないでしょうか。
本セミナーでは、自社でも行える『コスパ』の良いセキュリティ対策を 行うための考え方のご案内と、 それらをサポートするサービスについてのご案内を行います。こちら、本動画のスケジュールです。
通しでご覧いただけますと最近増えているサイバー攻撃の動向や 中小企業が抱える課題点等が分かる内容になっていますが、 お急ぎの方は各項目にリンクを埋め込んでいますので、 気になる部分だけでもご覧ください。
まずは『サイバー攻撃が増えている? よくある攻撃あれこれ』ということで、 進めていきましょう。 早速ですが『5180億』、これは何の数字でしょうか? これは昨年度のサイバー攻撃通信数となります。 サイバー攻撃は2019年から右肩上がりに増加しており、 3年間で2.4倍に増加しています。 実際、肌感覚としても『迷惑メールや怪しいメールが増えた』と 感じられている方は多いのではないでしょうか? サイバー攻撃には色々なものがあるのですが、 今回はその中でも特に被害者の多い 『ランサムウェア』と『フィッシングサイト』『フェイクアラート』 について、簡単に話をしたいと思います。
まず、ランサムウェアについてです。 ランサムとは英語で『身代金』を意味しています。 このマルウェアに感染してしまうと、 自身のPCや自身がアクセスできるサーバー等、 システムのファイルをどんどん暗号化してしまい 、『直してほしかったらお金を払え』と脅迫を行います。 現実の身代金誘拐と同様、身代金を払ったとしても 必ずしもファイルが戻ってくるとは限らず、 仮に戻ってきたとしても『カモリスト』に登録され、 似たようなハッカーに再度攻撃されるリスクが上がってしまいます。 ランサムウェアは何もしていないところに突然来るのではなく、 多くは添付ファイルを伴ったメールで届くことが多いです。 こちらのスライドでは代表的な例を掲示しています。 よくよく見てみると『差出人のアドレスと本文内のアドレスが違う』等 怪しい部分もあるにはありますが、ITリテラシーの高い方でない限り、 そのままスルーしてしまうケースも多いのではないでしょうか。
更に、ランサムウェアのメールの場合 『新製品の問い合わせ』『製品苦情の件』 『先月の請求書に関してのご質問』といった具合に、 スルーすることが難しい形式のメールになっていることがほとんどです。 次に、フィッシングサイトについてです。 フィッシングという言葉の通り、 こちらは『実在する企業の名前を騙って』メールをし、 偽メールのリンク踏んだユーザーに対し、 ログインIDやパスワード、クレジットカード番号などを入力させる手法です。 皆さんのスマホに良く届く『アカウントが凍結されました』 といった具合のメールも、フィッシングサイトへ誘導するための 詐欺メールです。 こちらは偽メールのリンク先になります。 よく見ると日本語が若干怪しいところもありますが、 ついつい何も考えずにクリックしてしまいがちなサイト構成になっています。
では、ここで突然ですが質問です。 こちらはどちらかがauのポータルサイトログイン、 もう一方がフィッシングサイトです。 どちらが本物のサイトでしょうか? (10秒ほど待つ) 正解は左になります。 アドレス位しか違いが無いので、 一見すると見分けがつかないのではないでしょうか。 違いとしてはアドレスと、 アドレスの横の鍵マーク位だと思います。 この鍵マークはSSL化という、 通信の暗号化が行われている証明なのですが、 フィッシングサイトのアドレスは一般的にこのSSL化がされていないので、 見分ける一つのポイントになります。 とは言え、最近はフィッシングサイトも SSL化がされていることも増えてきており、 一概に『鍵マークがあるから安全』というものでもないので、 過信は禁物です。
最後に、フェイクアラートについてです。 フェイクアラートとは、Webサイトを閲覧中に突然表示される偽物の警告の事です。 多くの場合、『セキュリティに脆弱性がある』『システムが破損している』 『ウイルスが検出された』等の表示を行い、 『ウイルス駆除ソフト』『ディスククリーンアップソフト』という名目で マルウェアのインストールをさせるものです。 万一ソフトをインストールしてしまうと、 そのスマホ/PCが遠隔操作されてしまったり、 電話番号を収集され、違法サイトで売買されてしまう等のリスクが高いです。 実は、これらのサイバー攻撃が増加しているのには理由があります。
現在、サイバー攻撃を行う為のアプリケーションは ダークウェブ上で売買されていますが、 それらのアプリケーションはサブスクリプションで提供されることが増えています。 つまり、月額使い放題なので、 ハッカー側からしても狙い撃ちをするよりも 『手あたり次第』に攻撃をする事のメリットが大きくなっています。 今回説明したのはほんの一例です。 サイバー攻撃をするハッカー側のハードルがどんどん下がっている今、 自身が気を付けていたとしても、すべての従業員が 完璧に対応することは難しいです。
小まとめになります。重要ポイントは次の三点です。 一点目、サイバー攻撃は増加傾向にあるという点 二点目、サイバー攻撃の手口は年々巧妙になっており、 従業員のITリテラシー任せにするのには限界がある、という点 三点目、サイバー攻撃をする為のアプリケーションはサブスク化されており、 攻撃の傾向が従来の『大企業狙い』から、 『狙いやすいところに手あたり次第』に変わっているという点です。
では次に、 『うちは大手じゃないから ~中小企業におけるセキュリティの問題点~』 ということで、進めていきます。 経営資源は一般に人、モノ、情報、金、と言われています。 これは大企業でも中小企業でも変わりません。 しかし、当然中小企業は大企業と比べ、 これらのリソースが制限されており、セキュリティの分野では、 中でも『情報』についての意図しない制限がかかってしまうことが多いです。 これは2021年のIPAのデータになりますが、 中小企業の約30%はセキュリティやITツールに対して 一切の投資をしていない事が判明しています。 そしてこれが内訳になります。
理由は様々ありますが、理由のTOP3としては ・コストがかかりすぎる ・費用対効果が見えない ・必要性を感じていない が挙げられます。 また、『コストがかかりすぎる』、『費用対効果が見えない』という回答は、 中小企業をさらに規模で細分化してもあまり差が見られない一方、 『必要性を感じていない』という回答は、 規模感が小さくなるにしたがって顕著に上昇していることが分かります。
では、少し話を変えます。 これらはいずれも統計が取られた時点での最新データになります。 5年以内に空き巣、車上狙いをされたことのある人の割合と、 1年以内にサイバー攻撃を受けたことのある割合はそれぞれ何%でしょうか。 (10秒弱時間を取る) こちらが結果となります。 空き巣等を5年以内にされたことのある割合の約3倍の方が、 1年以内にサイバー攻撃を受けたことがあるという結果が出ています。 確率の上では空き巣や車上狙いに遭う可能性の方がずっと低いのに、 安いからと言って鍵の無い家に住む人は殆どいませんよね? ではなぜ家や車に鍵をかけるかというと、 それは『家の鍵が身近で、イメージできるから』に他なりません。 先ほどの理由に挙がっていた3点は 実はいずれも一つの理由に集約されます。
これらは、 特に経営層が自社のセキュリティ環境の情報収集ができていない、 情報提供が十分にされていない状態で、 自身の勘と経験を基に『モノ』の購入判断のみを迫られているために生じています。 これは、家に置き換えてみるとイメージが湧きやすいです。 このスライドでいう奥さんの立ち位置が社員の方、 旦那さんの立ち位置が決裁者や経営者の方、とイメージしてください。 奥さんは『電動自転車の購入可否』についての確認を行い、 旦那さんは『電動自転車の費用を掛ける必要はない』、 というお話をしていますね。 旦那さんは『電動自転車が必要かどうか』について、 自分や、自分を中心とした周りの方を見て 判断をしているのが分かると思います。
では次のパターンを考えてみます。 例えば会社帰りや、何かのついででお店に行ったときに 電動自転車を勧められるパターンです。 こちらのパターンでは店員さんが 電動自転車の良さやトレンドについての話をしていますが、 旦那さんにとっては、 自分にとってのなじみが薄く、 困っているという声を奥さんから聞いていない為に、 今一つピンと来ていないわけです。 その為、自分の『昔の経験』と比較をして購入可否の判断を行っています。 では最後に、このパターンはどうでしょうか。 このパターンでは、先ほどの店員さんが言っていた内容を奥さんが言っています。 内容は店員さんが言っているものと同じにも拘らず、 このパターンであれば、 週末に付き合うだけ付き合おう、と思う旦那さんも多いのではないでしょうか。 これらの例から分かる点は2点あります。 一つ目が、『モノの必要性を認識している人が内部にいて、 初めてそれらは検討対象になる』という点 二つ目が、『費用対効果やコストなどは、 検討対象になった後に初めて課題になる』という点です。
では、話を戻します。 今の例は『電動自転車』という、比較的もののイメージが湧きやすいものでしたが、これをオフィスにおけるセキュリティに置き換えるとどうなるでしょうか? 恐らく、このスライドのようになると思います。 この方は会社のセキュリティ環境について熟知されており、 経営者の方も『事務員さんがそう言うなら大切なんだろう』、 といった感じで話を進めています。 ただ、自社で情報システム室を持っている様な規模の会社であればともかくとして、 こと中小企業においてこの『事務員さん』のような方を自社で抱えられている、 といったケースはかなりまれではないでしょうか。
小まとめになります。重要ポイントは次の三点です。 一点目が、 必要性は『内部から共有』されて初めて認識されるが、セキュリティにおいては内部にそれらの共有ができる人材がいない事が殆どである、という点 二点目が、企業規模が小さくなるに従って、決裁者は自身の勘と経験を基に 『モノ』の購入判断のみを迫られており、 サイバー攻撃に対する対策について『必要性を感じない』と判断する傾向が強い、 という点 三点目が、費用対効果やコストは『検討対象になってから』 初めて認識される、という点です。
では次に、 『コスパの良いセキュリティ環境構築を考えるには ~中小企業がセキュリティを考える4ステップ~』ということで、進めていきます。 先程のすごい事務員さんは、 ご自身の知識や経験を基にサイバー攻撃の危険性を熟知していましたが、 その様な方はなかなかいません。 そのため、この章では一般的な企業において、セキュリティ環境の洗い出しを行うためのフローを簡単に解説します。 こちらが結論になります。
まず『社内担当者を決定し』、次に『自社の現在の状況を把握し』、 『自社に何が足りないのかを想定し』、『対策の優先順位を決定する』 といった流れになります。 それでは、各ステップで行う具体的な流れについて解説していきましょう。 まず、第一ステップの『社内担当者の決定』です。 セキュリティの社内担当者、というとついつい身構えてしまいがちですが、 こと社内担当者においてはセキュリティに対しての深い知識が 必ずしも必要ではありません。 社内で担当者を決定するメリットは二つあります。
一つは社内の情報資産やインフラ窓口を一本化することにより、 『社員が各々バラバラに管理』『行き当たりばったり管理』が 生じるリスク軽減を図る事が出来ます。 もう一つは、社外においても窓口を一本化できるため、 『外部からの情報』を網羅的に把握する事が出来、 必要があるものなのか、無いものなのかの判断を行いやすくする事が出来ます。 社内担当者は極論誰でも良いのですが、 中小企業においては『経営陣との風通しの良い方』がおすすめです。 理由は、ここの風通しが悪いと諸々の内容が担当者で止まってしまったり、 担当者個人の範囲でできることをしてしまい、 全体最適にならない可能性が高まるためです。
次に、第二ステップとして『自社の現在の状況を把握する』というステップです。 このステップでは、パワーポイントでも手書きでも良いので、 自社の環境の『セキュリティ環境図』を作る事が大切です。 例えばこのスライドでは 『テレワークを部分的に行っている小規模事業』の例を示しています。 会社ごとに多少の違いはありますが、 おおよそのパターンはこのスライドの形を基本として 各種機器があったりなかったりします。 ちなみに、自社でそれらを作成される場合 『ネットワークの入り口』を起点として、 紐をたぐっていくように配線を見ていくと 比較的容易にセキュリティ環境図を作る事が出来ます。 この際、それぞれの機器がどう接続されているかも大切ですが、 特にPCのアンチウイルスソフトや、 個人所有のスマホがWi-fiに接続されていないか等も セキュリティ上重要ですので、併せて確認するようにしてください。 次に、第三ステップとして 『自社に何が足りていないかを分析する』というステップです。 特に中小企業においてはPCやスマートフォンに インストールするアプリケーションについての 制限を行っていないケースが多く『私用の端末を業務利用している』 といったケースが多いため、 特にPC/スマートフォン周りのセキュリティ環境を確認する際は、 中に入っているアプリケーションについても注意を払う必要があります。 また、そもそも論として個人のPCやスマートフォンを業務に利用している場合、 それ自体が紛失リスクや持ち出しリスク、 セキュリティリスクなどの様々なリスクを持っているうえ、 それらを低減するのが非常に難しい点には注意が必要です。
ちなみに先程の『テレワークをしている中小企業』の例では、 ぱっと指摘できる範囲でもこれだけのリスクがあることが分かります。 もししっかりと分析をしようとした場合、PC/サーバー、ソフトのサポート期限、 PCの稼働時間、Wi-fiの暗号化形式等、様々な確認をする必要があります。 最後に、第四ステップとして『優先順位を決定する』というステップです。
こちらは先ほど挙げられた各リスクについて、表にしたものです。 それぞれのリスクについて、 『発生し得る可能性』『発生した際の重大性』の二軸から評価を行い、 最終的なリスク評価を行います。 こちらの例では、『C の外部からのネットワーク攻撃』によるリスクが最も高く、 次に『A 個人スマホからの顧客の電話番号の流出』、 『F PC破損によるデータロスト』、がハイリスクであると考えられます。 従って、この例では『外部からのネットワーク攻撃』に対応するために、 機器の導入を行ったり、 社内で仕組みづくりをすることが最もパフォーマンスが良いと考えられます。 以上が中小企業におけるセキュリティ対策をかんがえるための 4ステップとなります。 とは言え、最終的な着地としては良いものの、 ゼロベースでこれらの環境把握を行ったり、 何が不足しているのかを把握するのが難しい、 と思われている方も多いのではないでしょうか。 社内でそれらの教育をする、というのも一つの手ではありますが、 その様な会社の場合は社外のリソースを使った方が、 時間とお金の両方を節約できる傾向にあります。
小まとめになります。 重要ポイントは次の二点です。 一点目が、社内のセキュリティ対策は4つのステップで行うと効率が良く、 特に中小企業においては、まずは『社内担当者』を設けることが大切という点。 二点目が、社内担当者決定以降のステップについては、ある程度自社で現状を把握できるまでは、外部の力を借りた方が効率が良い、という点です。
では最後に、『庚伸が提供する『あなたの会社の環境は適切?~Dr.オフィスSystan』のご案内~』ということで、 お話をしていこうと思います。 先程のまとめにもあった通り、 中小企業においてはシステムやセキュリティ構築に対して 明るい人がいないケースも多く、 仮にいたとしても兼務をしていることが殆どです。 トラブルが発生した時もその担当者の業務時間を大きく削ってしまったり、 そもそも社内にそれらができる人がいないので自力でQ&Aを見て回ったり・・・ といったことも多いのではないでしょうか。 それらの中小企業の課題を解消するために 『Dr.オフィスSystan』は誕生しました。 こちらのサービスでは、 特に中小企業においてボトルネックになりがちな ・IT機器の情報管理や診断 ・社内の様々なトラブルに対するサポート ・社内環境のセキュリティ対策やバックアップ を全てワンストップでサービスする、利用し放題のサービスです。
まず、IT機器の情報診断に関してです。 こちらは先ほどの4ステップにおける②と③の、 『オフィス環境の把握』『脆弱性の分析』を簡易的に行うものとなります。 具体的には、こちらのスライドのように オフィス機器の利用状況など情報を収集・解析し、 レポートにまとめて報告するもので、 自社の機器の管理状態についてはもちろん、 具体的にどのあたりに脆弱性があるか等を毎月調査を行います。 また、パフォーマンス、セキュリティなどの観点から診断結果を表示し、 必要に応じて対策方法をアドバイスいたします。
次に、IT機器のトラブルサポートについてです。 例えば社内で『PCの調子が悪い』『プリンターで印刷が行えない』等の トラブルが起きた経験はありませんか? 通常であればこれらは社内で自力で解消することがメインになると思いますが、 その場合、メーカーに問い合わせてたらい回しにされたり、 トラブルを解消するために2時間程調べ物をしてみたり、 といったケースが多いと思います。 Dr.オフィスSystanではそれらのトラブルサポートが無料で何回でも利用でき、 更に、お客様の許可をいただいてからにはなりますが、 お客様のPCを遠隔で操作することにより トラブルを直接解決する事が出来ます。 最後に、セキュリティとバックアップについてです。 特に小規模の事業者においては、 『アンチウイルスソフトは家電量販店で買ったPCに予め入っていたソフト』 『バックアップは取っておらず、PCも調子が悪くなったら買い替える』 という傾向が強く、例えばアンチウイルスソフトのライセンスが切れていても それらを会社側で把握できなかったり、 突然PCが壊れてデータロストをしてしまったりする恐れがあります。 Dr.オフィスSystanでは、 それらの付随サービスとして会社側でライセンスが把握できる アンチウイルスソフトや、PCのデータを自動でバックアップするシステム等の ご提供もしています。 料金形態もシンプルであり、予想外の出費が生じることもありません。
更に、今回はウェビナーを見ていただいき、 新規にSystanにご加入いただいた方限定で、 先程お話した『オフィスの環境サーベイランス』 『オフィスの簡易ネットワーク構成図』を無料で作成させていただきます。 更に、必要に応じてサーベイランス結果を基に具体的にどの点に脆弱性があるか、 それに対してどのように解消を行えるか等の提案も無料でさせていただきます。
ここからはDr.オフィスSystanの無料サーベイランスの結果分かった脆弱性と、 それを解消するための提案例を3点だけ紹介させていただきます。
例えばこちらのサービス業のケースでは、 ・アンチウイルスソフトの管理が個人任せ ・PC以外の機器の防御がされていない ・社内サーバーが外部ネットワークに直接さらされている という環境であったため、 マンションのオートロック機能に相当するUTMと、 ブレーカーに相当するセキュリティハブ、 会社側で集約管理ができるアンチウイルスソフトのご提案をさせていただきました。
次の保険業のケースでは、 ・セキュリティの観点から紙での運用をしているが、直行直帰が非常に多く不便 ・スマートフォンは個人のものを使用しており、通話料を会社が一部負担している ・業種柄、転職の際、顧客ごと連れていかれる可能性が一定数ある という環境であったため、 ・補填している通話料とほぼ同額で対応できる かけ放題つきのMDN機能付きスマートフォン、 ・自社の共有サーバーのデータをクラウド環境で対応できるようにするための『GoogleWorkspace』というプラットフォーム、 ・顧客引き抜きの抑止力とするための『LANSCOPE』 の3点の提案を行いました。
最後の製造業のケースでは、 ・個人のPC、サーバーにCADデータや設計図等の重要データが散在している ・一定程度のセキュリティ環境を保っており、外部からの攻撃に対しては比較的強い ・PCやサーバーの物理破壊に弱く、1拠点であるために 他の店舗にデータを逃がすこともできないという環境であったため、 ・PCの自動バックアップソフトである『BackupEYEII』 ・サーバーのバックアップ機能及びクラウドへの同期機能を持つ 『バラクルーダバックアップ』 の2点の提案を行いました。
今回ご紹介した事例はほんの一部ですが、 当社ではこのほかにも様々なサポート事例がございます。 まずは、自社の環境がどの様になっているのか把握する目的でも、 ぜひ一度『Dr.オフィスSystan』についてご検討ください。 ご視聴ありがとうございました。
pagetop