ウォールストリートジャーナル誌の最近の記事では、サイバー犯罪者が脆弱なシステムを持つ企業を探り出す方法について紹介されていました。
この記事では、特にVerizon社の「Data Breach Investigation Report(データ破損/漏えい調査報告書)」の分析に注目し、昨年起きたデータ漏えい被害885件中の約72%は、従業員100名以下の企業で起っていることを伝えています。
■ 自社の所在地には関係なく、サイバー攻撃にさらされる
「自社の所在地には関係なく、サイバー攻撃にさらされる」という危機意識は、中小企業の間で充分に行き渡ってはいません。このようなサイバー攻撃には、たとえばESET研究員が最近ペルーで最近発見した事例も含まれます。このペルーでの事例では、小規模企業の建築士や技術者等が生んだ知的財産を内包する、AutoCAD図面やファイルなどを、犯罪者が秘密裏に盗むことができる技術が使われていました。
また、大きな訴訟を抱える小さな法律事務所が、特定の訴訟に利害を持つ団体に狙われるケースの増加を示す証拠も挙がっています。
「法律事務所を標的とする事例は、過去3年間で増加しています。」とFBI(米・連邦捜査局)ワシントン支部サイバー犯罪担当Trent Teyema特別捜査官補は、語っています。
また、過去に米・国土安全保障省で政策担当次官補を務めたStewart Baker氏は「米国内の法律事務所のネットワークに外国政府が侵入していると考えるに足る十分な証拠があります。」と話をしています。
■ 中小企業にむけサイバー犯罪対策「4ヶ条の鉄則」
これらを念頭に置き、ESET研究員は中小企業に向けたサイバー犯罪対策「4ヶ条の鉄則」を作成しました。ただし、この4ヶ条のそれぞれの詳細は、この記事で扱える範囲を超えることにご注意ください。
1. 何を守っているのかを知る:多くの中小企業は、自社のデジタル資産やその所在をはっきりと把握してないということがよくあります。管理職とIT部を召集し、会議で以下の点を確認してください (たとえ、管理職とIT担当者が合計2名きりだったとしても)。
a. 自社が受け取るデータ (仕事の発注書、顧客情報等)
b. 自社で作成し保存したデータ (プロジェクトの計画書や研究メモ等)
c. 自社外へ出すことが許可されたデータ、あるいは自社外へ出す必要があるデータ (クライアントへの報告等)
この「データ監査」の他、社内ネットワーク上にある装置の詳細、およびインターネットないし電話回線に接続しているデバイスの詳細を確認するため、「ネットワーク監査」を行う必要があります (営業部が顧客記録につながっている経路からオフィス内ネットワークにログインしているかどうか、コピー機がそのメーカーに直通しているか、など)。
デリケートな重要データの所在が明確になり、アクセス権の配布先が判明したら、次に規則を策定します。
2. 規則を策定する:中小企業であっても、情報セキュリティの方針あるいは計画は、書面での策定が不可欠であり、場合によってはそれが法律上の義務とされることもあります (例えば、医療・健康情報を取り扱う場合や米・マサチューセッツ州の市民の場合)。
このような計画あるいは方針を策定することは、大きな利点にもなりえます。大企業では、より小規模のサプライヤーに対しても、そのような計画・方針を要求する傾向が強まっているからです。
言いかえれば、セキュリティの方針が確固としていれば、契約交渉時に、そのような方針のない競合他社に差を付けることができるわけです。
3. 規則を施行する:セキュリティの方針の施行は、難しい局面です。施行には、規則違反者への懲罰の他、規則の内容について全従業員を教育することも含まれます。大企業の場合、たとえ納入業者や下請け業者が中小企業であっても、その企業で従業員のセキュリティ教育プログラムが実施されている証拠の提示を求めてくるケースは珍しくありません。
この点についての詳細は、スライド「Cybersecurity Policies and Best Practices:Protecting small firms, large firms、and professional services from malware and other cyber-threats (PDF版・英語)」をご覧いただくのも良いかと思います。
4. 初めから強力なパスワードを設定する:一見、非常にローテクに見えるヒントですが、大きな効果があります。
強力なパスワードとはどういうものか、従業員を教育してください。従業員には、スマートフォンやタブレットPCを含む、あらゆるシステムに対して、強固なパスワードを設定させるようにします。
ルーターや販売時点情報管理 (POS) 装置のデフォルトパスワードは変更してください。2011年のすべてのデータ破損・漏えいの60%は、安価で基本的なセキュリティ対策でも、防げた可能性があるという、喜ばしいデータもあります。
これは、Verizon社のData Breach Investigation Reportの見解であり、その他にも漏えいの90%以上は、基本あるいは中程度に分類されているセキュリティ対策がとられていたら、回避できた可能性があるとも述べられています。
出典:blog.eset.com
