「うちは攻撃されない」の誤解こそが“被害案件の元凶”だった？：セキュリティによくある5つの誤解【第1回】

セキュリティ分野では脅威も求められる対策も常に変化を続け、多様な情報が飛び交っているため、さまざまな誤解が生まれやすい。どのような誤解があるのか。誤解に付け込む攻撃の実例や対策と併せて解説する。

[Neil Langridge，TechTarget]

　サイバー攻撃が日々巧妙になる中で、セキュリティ対策は全ての組織にとって喫緊の課題だ。とはいえセキュリティを巡るさまざまな誤解があるので、正しい対策が打てずに攻撃に対して脆弱（ぜいじゃく）になっている組織もある。どのような誤解があるのか。本稿はセキュリティを巡る5つの誤解のうち、1つ目を紹介する。

1．「うちの会社は小さいから攻撃の標的にはならない」

併せて読みたいお薦め記事

セキュリティにまつわる「誤解」とは

• セキュリティ製品を爆買いすればセキュリティが高まると勘違いしていないか？
• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由

　中小企業の経営者は、攻撃者は大企業のみを標的にすると考えがちだが、これは誤解だ。セキュリティ対策が不十分な中小企業ほど、攻撃の標的になりやすい。英国のセキュリティに関する政府機関である国家サイバーセキュリティセンター（NCSC）によると、2022年に英国の中小企業の約4割が過去1年間に攻撃を受けていた。

実例

　マンチェスターの小規模小売店は、従業員が誤って不正リンクをクリックしたことでランサムウェア（身代金要求型マルウェア）攻撃の被害に遭った。決済システムのファイルが暗号化され、攻撃者は復号のために8000ポンド（約153万円）の身代金を要求した。この攻撃により、小売店は数週間の業務停止を余儀なくされ、大きな経済的損失を被ったという。ランサムウェア攻撃によって廃業した中小企業もある。

対策

• 基本的なセキュリティ対策の実装
  • 強固なパスワードの設定、多要素認証（MFA）の導入、ソフトウェアの定期更新といった基本対策が重要。
• 重要なデータのバックアップ
  • ランサムウェア攻撃を受けた際のレジリエンス（回復力）を高めるために、重要なデータの定期バックアップが必要。
  • バックアップの実施に当たっては以下の「3-2-1バックアップルール」が有効。
    • 計3つのデータ（本番データ以外に、バックアップとして2つのコピー）を保管
    • 2種類以上のストレージを使ってデータを保管
    • コピーのうち1つをオフサイト（本番拠点とは異なる拠点）で保管

---

　第2回は、2つ目の誤解を取り上げる。

Computer Weekly発　世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。