中小企業を狙うサイバー攻撃の現状
(IPA調査報告書より)
「不正アクセス被害を受けた」と回答した企業へのヒアリングでわかったサイバー攻撃の手段は以下です。
- 脆弱性(セキュリティパッチの未適用等)を突かれた(48.0%)
- ID・パスワード (認証情報) をだまし取られた (36.8%)
- 取引先やグループ会社等を経由して侵入 (サプライチェーン攻撃) (19.8%)
特に、「ID・パスワードの窃取」と「サプライチェーン攻撃」を合わせると全体の50% を超えます。
この2つのリスクは 「CloudGate UNO」を導入することで効果的に防ぐことが可能です。
不正アクセスされると何が起きるのか
取引先(サプライチェーン) への影響
サイバーインシデント (事件) があった企業のうち「取引先 (取引先)に影響があった」と答えた企業は、約7割にも及びます。サイバー攻撃対策は自社だけの問題ではなく、取引先と関係会社にも影響を与えるのです。 影響の内訳は主に逸失利益、補償負担、経費負担であり目に見える損失を取引先に与えてしまっています。
不正アクセスによって引き起こされる主な被害
不正アクセスは、情報漏洩やランサムウェア感染の入り口となり、発覚すれば、調査や復旧のための業務停止は避けられません。多くの場合、漏洩した情報には顧客や取引先の個人情報・機密情報も含まれるため、被害者への通知や監督官庁への報告、事実関係の公表が必要となります。
その間、通常業務は停止し、対応に人的・金銭的リソースを投入せざるを得ません。それでも社会的信用の失墜はまぬがれず、さらに場合によっては顧客や取引先から損害賠償を請求されるケースも近年では珍しくありません。
| 被害 | 被害 | 被害 |
| 情報漏洩 顧客情報、個人情報、営業秘密などが漏洩してしまう。 | 業務停止:検知・初動対応 攻撃によりシステムが停止させられるか、業務を停止して調査および復旧を行う必要がある。売上がゼロになるだけでなく、復旧費用も発生する。 | 対応・調査・再発防止への経営資源投下 原因究明とシステムの復旧にかかる費用および復旧期間中の逸失利益、そして再発防止策への投資など、多くの経営資源を投じる必要がある。 |
| ランサムウェア感染 ランサムウェアが社内システムに侵入し、継続的な情報漏洩や身代金請求といった被害をもたらす。 | インシデントの通知・公表 すべての関係者への通知が困難な場合や、インシデントの影響が広く一般に及ぶ場合は、状況をウェブサイトや、メディアを通じて公表する。 | 社会的信用の失墜 企業イメージが大きく損なわれ、風評被害に繋がる。 |
| 損害賠償 情報漏洩や事業停止により、顧客や取引先から損害賠償を請求される可能性がある。 |
中小企業のセキュリティ投資の現状
IPAの調査では、約6割の中小企業がセキュリティ対策に投資をしていないことが明らかになりました。その主な理由は以下の3つです。
- 「必要性を感じていない」 (44.3%)
- 「費用対効果が見えない」 (24.2%)
- 「コストがかかりすぎる」 (21.7%)
*IPA(独立行政法人情報処理推進機構) 2024年度の調査 図6より
昨今、サプライチェーン攻撃が増えているのは、資金力やリソースがある大企業を狙うより、その企業の取引先や子会社を狙ったほうがセキュリティ対策が手薄なため簡単に突破できてしまうからです。
IPA(独立行政法人情報処理推進機構)2024年度の調査
図7 情報セキュリティ対策投資を行わなかった理由より
セキュリティ対策を実施せず、インシデントが発生するとどうなるのか
セキュリティ対策を実施せず万がーセキュリティインシデントが発生した場合、「社会的信用の失墜」は避けられず、その影響は計り知れません。例えば、情報漏えいが発生した際、平時から適切なセキュリティ対策を講じていた企業と、全く投資をしてこなかった企業とでは、その後の対応と社会からの評価は大きく異なります。
セキュリティ対策を実施していた企業の場合
- ・被害状況、原因、再発防止策などを具体的に説明できるため、取引先や顧客に対して一定の理解を求めることができる
- ・平時からのセキュリティ対策への取り組みを示すことで、「最善を尽くしたが、 それでも防げなかった」という事実を伝えることができる
- ・迅速かつ適切な対応により、信頼回復への道筋が見えやすくなる。
セキュリティ対策を実施していなかった企業の場合
- ・情報漏えいの原因究明や再発防止策の説明が困難となり、場当たり的な対応に終始してしまう可能性がある。
- ・「セキュリティ対策を軽視していた」という事実が露呈し、取引先や顧客からの信頼を完全に失うことになる可能性がある。
- ・事業継続が困難になるだけでなく、損害賠償請求や法的責任を問われる可能性も高まる。
- ・「情報管理体制がずさんである」という批判を受け、企業イメージが大きく損なわれ、風評被害に繋がる可能性もある。
不正アクセスの原因への主な対策
ID・パスワード (認証情報) 窃取の対策にはMFA (多要素認証)
攻撃者は以下のような手口を使って、ID・パスワードを盗み、社員になりますまして機密情報を窃取します。
偽メールから偽サイトに誘導して ID・パスワードを入力させる
総当たり攻撃でパスワードを突破する
ID・パスワードを盗むウイルスに感染させる
クラウドサービスの普及やAI技術の悪用により、これらの攻撃はますます巧妙化・凶悪化しています。従来のID・パスワードだけの認証では、もはや安全とは言えません。 そこで「MFA(多要素認証)」の導入が必要です。
MFAは、指紋認証や顔認証、セキュリティキーなどの生体認証や物理デバイスを利用するため、ID・パスワードのみの認証よりも強固なセキュリティーを実現できます。 MFAの規格の中でもパスワードを使わずに認証を行う 「FIDO認証(パスキー)」ならフィッシング攻撃に高い耐性があり、攻撃者に認証情報を盗まれる心配がありません。
サプライチェーン攻撃の対策には「MFA+アクセス制限」でゼロトラストセキュリティ!
サプライチェーン攻撃では、VPNやリモートデスクトップの脆弱性を突いた侵入が多くなっています。これには、MFAを必須とする 「SSO (シングルサインオン)」を導入しユーザー認証を強固にします。
さらにSSOにはユーザー認証だけでなくデバイスやアクセス元 (IP等)を確認しながらアクセスを許可する仕組みがあり (CloudGate UNOの場合)、万がーユーザー認証が破られたとしてもアクセス制限により情報を守ります。
このように、認証済みのユーザーだからといって信頼せずデバイス、アクセス元、アクセス権限なども疑って全てのトラフィックを検査する考え方を「ゼロトラスト」といい、サプライチェーン攻撃を防ぐために必要な概念です。
ゼロトラスト
すべてのアクセスを信用しない
(すべてのトラフィックを検証する)
アクセス制限
いつ (When)
どこで(Where)
何で (What)
ユーザー認証
誰が (Who)
どうやって(How)
ID・パスワード(認証情報)窃取および
サプライチェーン攻撃への効果的なセキュリティ対策
多要素認証(MFA)ID・パスワードに加えて、スマートフォンアプリや生体認証などの認証要素を追加することで、 不正アクセスを強力にブロック。
シングルサインオン (SSO)一度のログインで複数のサービスを利用できるSSOにより、ログイン情報を管理。従業員の利便性も向上します。
アクセス制御従業員ごとにデバイスやアクセス権限を設定することで、万が一、社内システムに侵入されても、被害を最小限に抑えることができます。
費用対効果の高いセキュリティ対策はMFA(多要素認証)
セキュリティ対策予算を確保することが難しい中、費用対効果の高いセキュリティ対策が必要です。様々なセキュリティ対策がある中で、前述のMFA (多要素認証) でユーザー認証 (ログイン情報)を守ることをおすすめしています。
なぜなら、ユーザー認証の窃取は数あるサイバー攻撃の中でも、本格的な攻撃の前の初期段階として高確率で行われるからです。攻撃者はまず、ID・パスワードなどの認証情報を不正に入手し、正規のユーザーになりすましてシステムに侵入しようとします。つまり、ユーザー認証を突破されることは、その後のあらゆる攻撃を許してしまうことにつながるのです。
また、MFAでユーザー認証をするにはスマートフォン、セキュリティキーなどが必要ですが、 これは既存システムの改修やSOC(セキュリティオペレーションセンター)の導入に比べ安価です。
MFAに対応していないシステムでもCloudGate UNOを導入することでMFAを導入することが可能です。CloudGate UNOが各システムへの入り口となり、MFAによる認証を集約します。 *対応していないシステムもございます。詳しくはお問い合わせください。
情報セキュリティを家に例えると、ログイン情報 (ユーザー認証) は玄関鍵にあたります。複数の鍵=MFAをかけることで、一定のセキュリティを担保することができるのです。
ならID・パスワードのセキュリティ強化だけじゃない。
低コストで業務効率化も達成!
CloudGate UNOは、一度のログインで複数のサービスを利用できる「シングルサインオン」、指紋認証といった「多要素認証」、
さらに機密情報にログインできる人、場所、端末などを制限する「アクセス制限」をオールインワンで提供しています。
デバイス証明書
自由度の高い
アクセス制限
多要素認証基盤
スマートフォン
認証 アプリ
シングルサインオン
ID管理ツール
価格は手頃な1ユーザーあたり月額400円から。CloudGate UNOは、中小企業のセキュリティ課題を
解決し、安心・安全なビジネス環境を実現します。 400円 ユーザー/月
便利な業務効率化機能も充実!
シングルサインオンを導入することで、パスワード入力の手間とパスワード更新から解放されます。
システム管理者の大きな負担の1つであるアカウント管理を自動化する「ID管理」でアカウント割り当ての工数を軽減します。
シングルサインオンで社員ごとにアクセスできるアプリケーションを設定できるので複数の社員がスムーズに共有PCを使用できる点が、コールセンター・契約事務・製造ラインの社員様に好評いただいています。例えば、勤怠入力=全員がアクセス可、財務情報=正社員のみアクセス可といったアクセス制限が可能です。
どなたでも直感的に操作できる画面のため、社内にすぐに定着します。管理者側で行うシングルサインオンや多要素認証の設定もシンプルなため、ITに詳しくない方でも実施できます。
