小規模企業なら、サイバー攻撃について考える必要はないと思うかもしれない。サイバー犯罪者の標的は多額の利益が見込める大手だけなので、小さな会社は相手にしないだろう、と考えていないだろうか。
残念なことに、小規模企業も、悪意あるハッカーやサイバー犯罪者にとって非常に魅力的な標的になり得る。なぜなら、個人情報やクレジットカード情報、パスワードなど、大企業と同種のデータを保有しているからだ。
しかし、小規模企業の性質として、情報の保護が大規模企業ほど強固ではない場合がある。スタッフに情報セキュリティの専門家がいない場合はなおさらだ。
小規模企業は、サプライチェーン攻撃の一環として、より大きな規模の企業への侵入を狙うハッカーの標的になることもある。攻撃者は、大企業のサプライヤーかもしれない小規模企業に侵入し、そのアクセス権を利用して、大規模なビジネスパートナーのネットワークに侵入を試みる場合がある。
フィッシング、ランサムウェア、マルウェア、攻撃者がデータにアクセスして改ざんする他のあらゆる悪意ある活動など、小規模企業が被害に遭うサイバー攻撃がどんなものであれ、結果として生じる損害は壊滅的なものになり得る。サイバー攻撃で受けた損害のために、組織が恒久的な閉鎖を余儀なくされるケースもある。
幸い、ビジネスと従業員のオンラインでの安全を守ることは可能だ。以下では、回避すべきサイバーセキュリティの基本的な落とし穴を紹介する。
1. オンラインアカウントの保護に脆弱なパスワードを使用しない
サイバー犯罪者が企業の電子メールアカウントやその他のアプリケーションに侵入するのに、高度なスキルは必要ない。侵入が成功してしまう理由は多くの場合、アカウント所有者が脆弱なパスワード、すなわち推測しやすいパスワードを使用していることだ。
クラウドベースのオフィスアプリケーションやリモートワークへの移行には、サイバー犯罪者による攻撃の機会が増加するという影響もあった。
パスワードをいくつも覚えるのは難しいので、単純なパスワードを複数のアカウントで使い回す人もいる。これをやると、アカウントやビジネスがサイバー攻撃に対して無防備になってしまう。特に危ないのは、サイバー犯罪者が総当たり攻撃を仕掛けて、よく使われるパスワードや単純なパスワードのリストを素早く試す場合だ。
お気に入りのスポーツチームやペットの名前など、見つけやすい情報が入ったパスワードを使うのも絶対に避けてほしい。というのも、公開されているソーシャルメディアプロフィールから、そうした情報を入手できる場合があるからだ。
英国家サイバーセキュリティセンター(NCSC)は、3つのランダムな単語で作成したパスワードを使うことを推奨している。この戦術によって、パスワードの推測が困難になるはずだ。
パスワードはアカウントごとに異なるものを使用しなければならない。パスワードマネージャーを利用すれば、すべてのパスワードを記憶する必要がなくなる。
2. 多要素認証を無視しない
強力なパスワードを設定しても、それが悪人の手に渡らないとは限らない。サイバー犯罪者は、フィッシング攻撃などの手口によってユーザーからログイン情報を盗もうとする。
アカウントの侵害への防御を強化できるのが、多要素認証(MFA)だ。ユーザーはアラートに応答するように求められ(これには特別に設計されたMFAアプリケーションを使う場合が多い)、アカウントにログインしようとしているのが本人であることを確認する。
この追加の防御層があれば、サイバー犯罪者は正しいパスワードを持っていても、アカウント所有者がアクセスを承認しない限り、そのアカウントを使用できない。自分のアカウントへのログイン試行があったという予期せぬアラートを受け取った場合は、ITチームやセキュリティチームに報告して、すぐにパスワードをリセットする必要がある。そうすれば、サイバー犯罪者は盗んだパスワードを悪用する試みを続けられなくなる。
多要素認証は2要素認証(2FA)とも呼ばれ、その使用はサイバーセキュリティ関連の最も一般的なアドバイスの1つとなっているが、まだこの手法を使っていない企業が多い。こうした状況は変える必要がある。
3. セキュリティパッチとアップデートの適用を先延ばしにしない
サイバー犯罪者がネットワークに侵入して動き回るために用いる最も一般的な手口の1つは、アプリケーションとソフトウェアのサイバーセキュリティ脆弱性の悪用だ。セキュリティ脆弱性が開示されると、OSの開発元は通常、それを修正するセキュリティアップデートをリリースする。
セキュリティパッチによって脆弱性を修正することで、悪用を試みるサイバー犯罪者からシステムを保護できるが、それはアップデートを適用した場合に限られる。
残念ながら、多くの企業はセキュリティパッチとアップデートの展開が遅く、ネットワークとシステムがハッカーに対して無防備な状態のままになっている。脆弱性にパッチを適用せずに何年も放置したせいで、簡単に防げたはずのサイバーインシデントのリスクに企業が(場合によっては顧客も)さらされることもある。
したがって、小規模企業のサイバーセキュリティ向上においてカギとなる対策の1つは、重要なセキュリティアップデートを可能な限り早急に適用する戦略を立てることだ。
このアプローチを実現するには、ソフトウェアアップデートが自動的に適用されるようにネットワークを設定してもいいし、ケースバイケースで処理することもできる。ただし、絶対に認識しておかなければならないのは、重大なセキュリティアップデートをできるだけ速やかに適用する必要があるという点だ。そのようなアップデートは、米サイバーセキュリティ・インフラセキュリティ庁(CISA)などのサイバーセキュリティ機関が詳細な情報を提供することが多い。
