中堅・中小こそ必要なセキュリティ対策、今すぐ使える11のチェックリスト課題はリソース不足と経営者の無理解

中堅・中小企業はサイバー犯罪のターゲットになり得る。その理由は中小企業のセキュリティに限界があるからだ。中堅・中小企業向けのセキュリティ対策について、専門家からのアドバイスを紹介する。

2016年04月06日 12時00分 公開
[Mike O. VillegasTechTarget]
イメージ

 大手小売業のTargetや、映画配給会社のSony Picturesのような有名大手企業は、サイバー攻撃のターゲットになりやすい。だが、もっと小さく知名度も低い企業は、ハッカーにとって攻撃する価値が自社にあるかどうかをどのように判断したら良いのだろうか。また、その判断の一助となるしきい値やリスク評価は存在するのだろうか。

 中堅・中小企業に対するサイバー攻撃被害の主な原因は、リソース不足やサイバー攻撃に対する経営者の認識不足によって、必要なセキュリティ対策に投資していないことにある。以下に、中堅・中小企業のセキュリティを強化する手段を幾つか紹介する。

  • オンラインバンキングには、アカウント通知、2要素認証、企業内の職務分掌を使用する
  • コンピュータシステムでは、ファイアウォール、ウイルス対策ソフトウェア、安全なワイヤレス接続、最新のパッチを使用し、未承認のWebサイトからのダウンロードを許可しない
  • 防犯システム、ファイアウォール、ネットワーク活動のログやワークステーションのイベントログは、オンラインで最低90日間、オフラインで最大1年間保存する
  • 従業員のセキュリティ意識のトレーニングでは、プライバシー、物理的なセキュリティ、顧客とのやりとり、ベンダーサービスの確認、POSシステムやデバイス改ざん/差し換えの可能性を取り上げる
  • パスワードは複雑にする(最低でも8文字の英数字で構成され、90日おきに変更し、ユーザーごとに一意なものを使用する)
  • 万が一漏えいがあった場合は、事故対応計画に投資する
  • データ漏えい通知の要件を定義する
  • 緊急時に呼び出せる法務グループを用意する
  • 感染したシステムの電源を切るか、動作したままにしておくかを把握する
  • 事件の損失を補填(ほてん)するためにサイバーセキュリティ保険に加入する
  • データ保護としてすべきことは、暗号化、アクセス権限の整備、重要なデータのバックアップ、データのセキュアな破壊、および、重要なデータを入れていたが廃棄したデバイスをセキュアに破壊すること、までを含める

 多くの中堅・中小企業は十分なセキュリティを確保できておらず、DDoS(分散型サービス拒否)攻撃を受けやすくなっている。問題のないトラフィックと問題のあるトラフィックは簡単に区別できないため、DDoS攻撃は特に対処が難しい。ただし、法律によって、顧客や従業員の個人情報は一定のレベルで保護することが義務付けられている。HIPAA(米国における医療保険の相互運用性と説明責任に関する法令)、グラム・リーチ・ブライリー法(銀行業と証券業の分離を定めた規定を廃止し、銀行・証券・保険業の相互参入を認めた法律)、そしてクレジットカード業界のセキュリティ基準である「PCI DSS」など、このような法律の多くは業界ごとに制定されている。中堅・中小企業の業務がテクノロジーに依存しているなら、社内で基本的な保護基準を定める必要がある。

 中堅・中小企業に対するサイバー攻撃は、TargetやTrump Hotelsのようにトップニュースとなる企業のデータ漏えいとは異なり、あまり広く知られていない。ただし、Symantecの「2015 Internet Security Threat Report」では、小売業者が個人情報の流出に関して最も多くの責任を負っており、全体の60%を占めるとされている。この割合は2013年から30%上昇している。個人情報を流出させた小売業者の多くは、従業員が250人に満たない中小企業だ。

 カリフォルニアのような州では870万人が中小企業に勤めており、その90%の企業の従業員数は20人に満たない。500人を超える人に影響するデータ漏えいが起こった場合、米国においては企業は司法長官に報告する義務がある。

ITmedia マーケティング新着記事

news101.jpg

郵送業務を電子化する理由 3位「テレワークへの対応」、2位「業務の迅速化・省力化」で1位は?――リンクス調査
キャンペーンのお知らせや新商品の紹介のダイレクトメールなど、個人宛てに送付する郵便...

news172.png

WACULが「AIアナリストSEO」を大幅刷新 コンテンツ作成×外部対策×内部対策×CVR改善をワンストップで支援
月額30万円でAI技術を活用したコンテンツ制作、約4万サイトの支援データ、熟練コンサルタ...

news150.jpg

SFAツール「Kairos3 Sales」にモバイルアプリ版 訪問営業の生産性向上へ
モバイルアプリ上で、リアルタイムで営業活動の確認・記録が可能になる。