必見!中小企業の情報セキュリティインシデントの被害事例と対策5選
- 最近、「情報セキュリティインシデント」という言葉をよく聞きますが、どういった意味ですか?サイバー攻撃やサイバーウイルスとは違うのでしょうか。
- 簡単にいうと、インシデントとは「重大事故につながりかねない事象」のことです。つまり、情報セキュリティに関する重大事故につながる事象を指します。
パソコンやインターネットが普及した現代、業務にIT機器やIT環境が欠かせなくなりました。
そんな中で問題視されているのが、「情報セキュリティインシデント」。
サイバー攻撃などの多種多様な情報セキュリティ脅威が存在しており、企業の存亡に関わる被害をもたらす恐れがあります。
そこで今回は、「情報セキュリティインシデント」の概要や、中小企業のインシデント・事故事例、具体的なセキュリティ対策について網羅的に解説します。
セキュリティに不安をお持ちの中小企業経営者や、システム責任者はぜひ参考にしてください。
情報セキュリティインシデントとは?
情報セキュリティインシデントとは、わかりやすくいうと「重大事故につながりかねない事象」のことです。
例えば「外部から届いた変なメールやファイルを開けてしまった」「重要情報を保存しているPCを紛失してしまった」というように、まだ事故には発展していないものの異常な事象を検知するなど、事故に起因しそうな事案が発生することを“インシデントが発生した”といいます。
いわゆる『事故の前兆』のようなものです。
では、情報セキュリティインシデントを完全に防ぐ方法はあるのでしょうか?
残念ながら、情報セキュリティインシデントを完全に防ぐことは不可能といわれています。
なぜならサイバーウイルスは世界中で日々無数に生成され、かつ巧妙化が進んでいるからです。
このようなことから、企業が甚大な情報セキュリティ事故を起こさないためには、インシデントの発生要因をしっかり理解し、インシデントが発生したら速やかに対処できる体制をつくることが重要なのです。
情報セキュリティインシデントの種類|発生要因から詳しく解説
情報セキュリティインシデントが発生する要因は、大きく「外的要因」と「内的要因」に分けることができます。
それぞれ詳しくみていきましょう。
①外的要因について
外的要因には、主に以下のものがあります。
サイバー攻撃
サイバー攻撃は、インシデントや事故につながる一番大きな要因です。
具体的には、以下のような攻撃を起点にサイバーウイルスを仕掛け、一気に拡散させるといった影響度が大きいものです。
- メールによる攻撃
例:大量のメールを送り付ける、ウイルスメールを送り付ける、大量のデータを送り付ける 等 - ホームページの乗っ取り
例:Webサイトの内容を改ざんする、Webサイトを悪用する 等 - PCの乗っ取り
例:乗っ取った多数のPCで一斉に攻撃を仕掛ける、チャットボットの不正利用 等
重要情報ののぞき見・だまし取り
社外の人間に、会社の機密情報や個人パスワードなどの重要情報を見られたり盗み取られることを指します。
ショルダーハッキングやなりすまし(例:ショートメールやLINEを利用したなりすまし)、関係者を装った電話などが該当します。
自然災害、天災
地震や洪水、落雷・停電などの自然災害により社内システムが棄損・破損したことによって、重要情報を失ったりアクセスできなくなったりすることです。
③内的要因について
内的要因には、主に以下のものがあります。
人的ミスや不注意による要因
従業員の不注意で機密データを削除してしまう、うっかりミスで重要データを関係社外に誤送してしまう、といったヒューマンエラーによってもたらせる要因です。
従業員や関係者による情報持ち逃げ
会社への恨みや嫌がらせ目的から、従業員が社内の重要情報や個人データを盗みとることです。
個人情報漏えい事故の主要な要因でもあります。
大企業だけではない!実際にあった中小企業の情報セキュリティインシデント・事故事例
情報セキュリティインシデントや事故は、決して大企業だけに起きるものではありません。
会社の規模を問わず、中小企業であっても常に危険がつきまといます。
ここでは、最近起きた中小企業の特徴的な事故事例を3つ挙げたいと思います。
被害事例①「VPNを狙ったサイバー攻撃による顧客情報の漏えい」
【事象】
2021年末、徳島県つるぎ町の「半田病院」がサイバー攻撃を受け、患者顧客情報8.5万件の漏出および院内システムおよび情報が暗号化された事故
【原因】
脆弱したVPN(仮想ネットワーク)を攻撃された可能性が高い
【被害状況】
漏出した顧客情報8.5万件への対応、院内システムセキュリティ強化のための設備投資資金2億円以上
被害事例②「ランサムウェア攻撃により委託業務中の機密データが漏出」
【事象】
2021年、建設コンサルタント業の「オリエンタルコンサルタンツ」がランサムウェア(身代金要求型ウイルス)に感染したことが発覚
【原因】
外部から同社サーバーに対しランサムウェアによる攻撃がなされたことが原因と判明
【被害状況】
東京都や市川市など、同社に委託していた都市計画・設計、機密情報等が漏出。サーバー攻撃に関する調査、対応、再設計費用として7.5億円の特別損失を計上した
被害事例③「サプライチェーン攻撃により大手電機メーカーが被害」
【事象】
2020年、「三菱電機」がネットワークに外部より不正アクセスを受け、企業機密情報および個人顧客情報の漏出を発表
【原因】
不正アクセスの発端となったのは、中国に所在する同社関連子会社からのサプライチェーン攻撃であったとのこと。攻撃者はまずセキュリティ対策が脆弱な関連子会社に入り込み、そこを踏み台として親会社である三菱電機を狙ったもの
【被害状況】
三菱電機本体の機密情報、個人情報漏出の恐れ
日々報告される情報セキュリティインシデント事故事例(参考事例サイト)
前段で示した事例は、中小企業を起点として起きた事例のほんの一例。
特徴的なのは、「病院」「建設」「製造業」といった一見サイバー攻撃と縁遠そうな業種においてもインシデントや事故は起こりうるということです。
ここで参考サイトとして、「Security NEXT」をご案内します。
本サイトでは、国内で日々発生する情報セキュリティインシデントや事故事例についてまとめています。
大企業で起きた事故事例はもちろんのこと、中小企業や自治体などでも起きた事例が毎日アップされているので、社内教育などにご利用いただくことをおすすめします。
中小企業の経営者・セキュリティ担当者が陥りがちな誤った認識とは?
情報セキュリティインシデントや事故は今や一般的なリスクです。
しかしながら中小企業経営者や担当者の多くは、情報セキュリティインシデントや事故をまだまだ縁遠いものと感じているのが実態です。
この章では、多くの中小企業経営者が感じている誤った認識の代表例を5つ挙げ解説します。
誤った認識①「ウイルスソフトをいれているから大丈夫」
サイバー攻撃を防ぐためのウイルスソフトの導入は主要な対策の一つですが、完璧に防げるものではありません。
なぜなら、新たなサイバーウイルスは日々無数に生み出されているからです。
例えば、新たに脅威となるサイバーウイルスが発生しそのウイルスソフトを開発するとしても、少なくとも半年から1年はかかります。
また無数に存在するサイバーウイルスに対応できるソフトを作るのは、現実的に不可能です。
専門家の意見では、最新のウイルスソフトを入れたとしても、世の中の40%~45%程度のサイバーウイルスしか検知できないだろう、といわれています。
よって、ウイルスソフトだけではセキュリティ対策は不十分なのです。
誤った認識②「うちみたいな小さな企業が狙われるわけない」
規模の小さい中小企業だからといって、インシデントが起きない、サイバー攻撃を受けないということは全くありません。
なぜなら、「サプライチェーン攻撃」という事故が主流になりつつあるからです。
「サプライチェーン攻撃」とは、まだセキュリティ対策が脆弱な中小企業を狙い、そこを踏み台として大企業を襲うという攻撃です。
仮に大企業がサプライチェーン攻撃によって被害を受けた場合、事故の発端となる元請企業や関連会社に対し、多額の賠償請求や調査請求を行います。
よって、たとえ中小企業であってもサイバー攻撃の対象に十分なり得るのです。
誤った認識③「個人情報を扱わないから大丈夫」
個人情報を持たないのであれば、情報漏えいリスクは低いといえるかもしれません。
しかし取引先に大企業や大口客先がある場合、前段で説明した「サプライチェーン攻撃」を受けて、知らぬ間に取引先に被害を与える可能性があります。
身に覚えがなくとも、自社が加害者となって取引先にサイバー攻撃をしかける可能性があるのです。
たとえ個人情報を扱っていない企業でも、セキュリティ対策を行う必要があるのです。
誤った認識④「周りで情報インシデントや事故に遭遇した仲間や企業をみたことがない」
身近では、「最近サイバー攻撃を受けた」と公表する企業は少ないかもしれません。
しかし、よく考えてみてください。
「情報漏えい事故が発生した」「社内システムが暗号化されて攻撃者に数百万円支払った」などと自ら周囲に伝える企業が果たしてあるでしょうか?
そのような事実の公表は、ビジネスリスクとなり信用問題に繋がるのでとにかく隠したいというのが一般的です。
先ほど、情報セキュリティインシデントをまとめたサイト「Security NEXT」を案内しました。
こちらには、中小企業のインシデント・事故事例も含めて多くの事例が掲載されています。
こういった客観的な情報を踏まえて、事実を冷静に判断し対策することが重要です。
誤った認識⑤「怪しいサイトにいかないから大丈夫」
「怪しいサイトや不要なサイトに訪問しないこと」を、社内に徹底することは大切なことです。
しかしながら、メイン銀行のネットバンキングやAmazon・楽天等のECサイトを装った悪質サイトによる被害や、フィッシング詐欺も頻発しています。
日常と同じルーチンでメインのネットバンキングから入金しようとしたところ、実は全く同様のネットバンキングを装った悪質サイトだったことに気づかず、会社のIDやパスワードが抜き取られ、多額の資金をだまし取られるという事例も発生しています。
社会問題である“オレオレ詐欺”が日々巧妙化していることと同様、サイバー攻撃やフィッシング詐欺も巧妙化しています。
「自社は大丈夫だろう」と慢心せずにインシデントや事故に備えることが重要です。
中小企業が平時に行うべき最低限のセキュリティ対策とは?
インシデントや事故を未然に防ぐためには、具体的にどのような対策をとればいいのでしょうか?
ここでは、最低限備えるべきセキュリティ対策について説明します。
以下の図は、下層から上層にかけて、行うべきセキュリティ対策の重要度を示したものです。
ぜひ参考にして、重要度の高いものから対策を始めましょう。
対策①OSやウイルスソフトの最新アップデート
一番の基本となる対策は、OSとウイルスソフトの最新化です。
OSのアップデートには、セキュリティ強化に関するバージョンアップも多く含まれているからです。
WindowsやMacOSなど、定期的なバージョンアップは必ず実施してください。
注意点としては、バージョンアップのためには必ず再起動する必要があるということです。
PCをシャットダウンする習慣がない人は、必ず作業終了時にシャットダウンすることを意識してください。
対策②安全性高いブラウザの利用
ネット上で検索作業するときは、必ず安全性高いブラウザを利用してください。
安全性の高いおすすめブラウザは、「Google Chrome」もしくは「Edge」です。
もし社内で利用ブラウザを統一していない場合は、これらに統一するようにしましょう。
対策③UTMの利用
UTMとは「統合脅威管理(Unified Threat Management)」の略で、コンピューターネットワークを包括的に保護する管理手法。
インターネットと社内ネットワークの間に設置するセキュリティ機器のことです。
UTMが果たすセキュリティ効果は高く、以下のような機能をもっています。
分散するセキュリティ対策を1つの機器で実現できるため、「何から対策を始めたら良いのか分からない」「低コストで対策をしたい」という方にもおすすめです。
UTMの基本的な機能
- 迷惑メールやフィッシング詐欺メールの拡散を未然に防ぐ
- ウイルスが付着している添付メール等を未然に防ぐ
- 知らずにウイルス感染サイトに立ち寄ろうとした場合でも入口でブロックする
- 業務に不要なサイト情報を集めて未然にブロックする
- ファイアウォール機能を保有している
対策④データのバックアップ
データのバックアップは必ず定期的に取るようにしてください。
データさえしっかり残っていれば、万が一の際にも自社の業務はすぐ復旧させることができるからです。
最悪なのは、“何もできない”ということなのです。
ですので、自社内データのバックアップは可能な限りこまめにとるようにしましょう。
対策⑤社内勉強会や標的型メールの実施
定期的に社内向け勉強会や標的型メールを実践し、従業員教育を行いましょう。
情報セキュリティインシデントや事故は、ほとんどのケースが人間を起点として発生するものだからです。
- 同業他社でインシデントが発生したニュースをしたら社内に伝達する
- 定期的に社内データを棚卸しし管理・確認する
- 従業員向けに標的型メール等を実践し、不用意にメールやファイルを開かないよう意識付けし続ける
といった教育をし続け、常に従業員の意識向上を促すことを心がけてください。
自社・取引先を守るためまずは現状確認を!OFFICE110ならセキュリティ調査が無料
インシデントや事故は自社内で気づきにくく、外部からの通告で発覚するケースが多いのが実情です。
事故後、被害を受けた経営者に話を聞くと、「まさか自社でこんなことが起こるとは思ってもみなかった・・・」と口を揃えて言います。
セキュリティの欠陥は、専門性が高く目に見えないので発見することが極めて困難です。
また、サイバーウイルスに長い間感染し未だ気づかず、現在もウイルスに感染したPCで日々業務を続けている企業も数多く存在します。
「自社は大丈夫」と過信せず、平時の今だからこそできることからセキュリティ対策を始めましょう。
現在、「OFFICE110」では、通常10万円以上かかるセキュリティ調査を無料で実施しています。
本調査では、貴社内すべてのセキュリティ機器やネットワークを専門家が詳しく調べ、懸念される脆弱性を総合的に分析いたします。
また分析結果から、最も適する対策もご提案いたします。
自社のためにも、取引先を守るためにも、まずはセキュリティ調査で現状確認することをおすすめします。
まとめ|中小企業こそ情報セキュリティインシデントに備えるべき
従来、攻撃者は資金や情報をもつ大企業を狙い撃ちしていましたが、主流となりつつある「サプライチェーン攻撃」や各種事例からも分かるとおり、今や多くの中小企業がサイバー攻撃の標的となっています。
また近年のサイバー攻撃の頻度の高まりから、大企業や自治体が取引条件の一つとして、中小企業に対し情報セキュリティ対策有無を確認するようになりつつあります。
今後、情報セキュリティやインシデントへの対策強化は必須となるでしょう。
本記事で解説した事例をもとに、平時から少しずつできる対策を行っていきましょう。
