サイバーセキュリティは他人事じゃない
こんにちは。デジテックfor YAMAGUCHI運営事務局のもんじゃです。
日々歩いて通勤しているのですが、まだまだ手放せないのが日傘。
ただでさえ汗かきなのに、朝からあの日射は、一日のやる気の大半を削がれそうなので、日陰を探さなくても日陰を自分で作ればいい、その理屈で数年前から使ってます。
職場に着いて折りたたむときの傘の熱さときたら、軽く焼肉ができそうです。暑さ対策、まだまだ気をつけましょう。
さて、8月24日水曜日に、デジテック for YAMAGUCHI会員なら誰でも無償でイベントを企画・運営できる「デジテック・ミートアップ」の制度により、(株)SYNCHRO(シンクロ)様が、セミナー「サイバーセキュリティ対策 できることから始めよう」を開催しました。今回2度目の企画・運営で、前回の一般的なネットワークやセキュリティに関するお話とはまた違う、具体的に実践できそうな内容のお話を伺うことができました。
「セキュリティってよくわからないからシステム屋さんにお任せ」
「うちみたいな地方の小さい会社、わざわざ狙わないだろう」
「大手の対策ソフト入れているから問題ないよ」
このようにお考えの方、今回、当日のイベントの動画、ご用意しました。
ぜひご覧いただきたいです。
データから見る脅威・被害
情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2022」(研究者、企業の実務担当者など約150名のメンバーが審議・投票)では、
1位 ランサムウェアによる被害
コンピュータのデータを勝手に暗号化して人質にし、身代金を要求
2位 標的型攻撃による機密情報の窃取
特定の組織内の情報を狙って攻撃し、入手した機密情報から身代金も要求
3位 サプライチェーンの弱点を悪用した攻撃
直接大企業を狙わずに、その業務委託先、発注先、仕入れ先などを攻撃し、それらを足がかりにターゲット企業に侵入し、きっと身代金も要求
(4位以下はこちら)
どれに遭っても身代金とられるやん!?何でこんな目に合わないといけないのか。。。というものばかりですね。
では、警察庁の報告で1位のランサムウェアの被害を受けた企業等の規模は
大企業34% 中小企業54% 団体等12%
大企業だけでなく、中小企業も余裕で狙われてますね(-_-;)
地域で頑張る企業さんも全く他人事ではないです。
被害に遭うとどうなってしまうのか、ということで同じく警察庁のデータ
1週間以内に復旧したケースが多いものの、1~2か月も一定数あり、要した金額は1000~5000万円とこれは太いですね。。。この他にも、被害を受けた企業のほとんどはウィルス対策ソフトを入れていた、バックアップをとっていたけど復元できなかった、といった実情が見えてきました。
サプライチェーン攻撃の実例
企業の方が気をつけたいのがサプライチェーン攻撃。大きなニュースになったのは、トヨタ系の自動車会社が、取引先の部品メーカーがサイバー攻撃に遭い、国内全工場が停止した、という事例です。その他にもいくつかの事例が紹介されました。
山口県も製造業が多いため、サプライチェーンが多く構築されていますが、その中の1社が狙われることで、多くの企業にかなりの影響が出そうです。
直接的な被害だけでなく、サプライチェーン内での信用等も失いかねず、その後の取引にも影響が出るとなると、取り返しがつきません。
今のうちからしっかり対策することを考えなければいけませんね。
サイバーセキュリティ対策
セミナーでも何度もおっしゃられてましたが、100%の対策はありません。
でもリスクを減らすことはできますし、攻撃側に「この企業、攻撃するのめんどくさ!」と思わせたら、未然に防ぐ効果も期待できそうです。
まずは、サイバー攻撃について理解すること。意識すること。どういう手口があるのか、感染するとどうなるのかを、組織全員が知っておくことが重要です。
次に、できることからしっかり行うこと。対策は無料でできることもありますが、これは「んなことわかってるよ!」「わかってるけど面倒で」と聞こえてきそうな、パスワードは、使いまわさない、社内で共有しない、定期的に変更する、こういうことです。メール添付ファイルやURLをむやみに開かない、といったこともご存じのことと思います。
でも、これらを怠ったがために被害に遭う事例は減っていないのではないでしょうか。
さらに、ということで、10万円程度の費用でできる、より堅牢な対策もご紹介いただきました。動画でも示されていますが、それぞれの対策の金額の相場感も教えていただきました。
主には、
①ビジネス用ルーターを購入する
②社内のネットワークを複数のセグメントに分割する
③UTMを導入する
①は、こういうのがあるそうです!
②は、まずは社内で、情報の重要度などを整理して、優先順位を決めて分けていくことが重要だと思います。
③は、総合脅威管理ということで、ファイヤーウォールや探知システムなどセキュリティ機能を1つに集約する管理手法のようで、怪しいアクセス先の遮断や添付ファイルの削除などを行うようです。
①~③費用を払って整備しても、適切に導入されないと意味がないため、詳しい方に教わり、学びながら対策を進めていくべき、というお話でした。
そして、いざというとき相談できる専門家と繋がりを作っておく、ということも大事だそうです。
ツールをそろえて自分のところで一から勉強しながら、はどうしても非効率なので、確かに、分かりやすく助言をしてもらえるような方と仲良くなっておいた方がいいですね。
いざ困ったときに「そもそも誰か信用できる業者知ってる?」からスタートするのは、先が長いことになってしまいそうなので。
対策に向けて
セキュリティ担当者だけでなく、組織の全員が意識することが重要かと思います。
正直、日ごろからセキュリティの徹底って面倒なことも多いです。ファイル1つダウンロードするのもウィルスチェックして、毎日IDパスワード入れて、ブロックされるサービスも多い、という環境ですが、今回セミナーを聞いて「文句を言ってはいけない」ということを理解しました。
見えない敵、こちらは収束することがなく、人為的というのがなんとも悲しいですが、自分が「穴」として狙われることがないよう、できることを徹底していきたいと思います。