中堅・中小こそ必要なセキュリティ対策、今すぐ使える11のチェックリスト:課題はリソース不足と経営者の無理解
中堅・中小企業はサイバー犯罪のターゲットになり得る。その理由は中小企業のセキュリティに限界があるからだ。中堅・中小企業向けのセキュリティ対策について、専門家からのアドバイスを紹介する。
大手小売業のTargetや、映画配給会社のSony Picturesのような有名大手企業は、サイバー攻撃のターゲットになりやすい。だが、もっと小さく知名度も低い企業は、ハッカーにとって攻撃する価値が自社にあるかどうかをどのように判断したら良いのだろうか。また、その判断の一助となるしきい値やリスク評価は存在するのだろうか。
中堅・中小企業に対するサイバー攻撃被害の主な原因は、リソース不足やサイバー攻撃に対する経営者の認識不足によって、必要なセキュリティ対策に投資していないことにある。以下に、中堅・中小企業のセキュリティを強化する手段を幾つか紹介する。
併せて読みたいお勧め記事
専任者がいなくてもできる、中堅・中小企業向けのセキュリティ対策
- 「中小企業はサイバー攻撃に狙われない」と思い込んでいる上司をどう説得する?
- 見くびっていると超難問、無線LANとWindowsの単純トラブル処方薬
- Webブラウザの怪しい拡張機能、うっかりインストールするとどうなる?
法改正でセキュリティ対策のポイントをどう見なおすべきか
- オンラインバンキングには、アカウント通知、2要素認証、企業内の職務分掌を使用する
- コンピュータシステムでは、ファイアウォール、ウイルス対策ソフトウェア、安全なワイヤレス接続、最新のパッチを使用し、未承認のWebサイトからのダウンロードを許可しない
- 防犯システム、ファイアウォール、ネットワーク活動のログやワークステーションのイベントログは、オンラインで最低90日間、オフラインで最大1年間保存する
- 従業員のセキュリティ意識のトレーニングでは、プライバシー、物理的なセキュリティ、顧客とのやりとり、ベンダーサービスの確認、POSシステムやデバイス改ざん/差し換えの可能性を取り上げる
- パスワードは複雑にする(最低でも8文字の英数字で構成され、90日おきに変更し、ユーザーごとに一意なものを使用する)
- 万が一漏えいがあった場合は、事故対応計画に投資する
- データ漏えい通知の要件を定義する
- 緊急時に呼び出せる法務グループを用意する
- 感染したシステムの電源を切るか、動作したままにしておくかを把握する
- 事件の損失を補填(ほてん)するためにサイバーセキュリティ保険に加入する
- データ保護としてすべきことは、暗号化、アクセス権限の整備、重要なデータのバックアップ、データのセキュアな破壊、および、重要なデータを入れていたが廃棄したデバイスをセキュアに破壊すること、までを含める
多くの中堅・中小企業は十分なセキュリティを確保できておらず、DDoS(分散型サービス拒否)攻撃を受けやすくなっている。問題のないトラフィックと問題のあるトラフィックは簡単に区別できないため、DDoS攻撃は特に対処が難しい。ただし、法律によって、顧客や従業員の個人情報は一定のレベルで保護することが義務付けられている。HIPAA(米国における医療保険の相互運用性と説明責任に関する法令)、グラム・リーチ・ブライリー法(銀行業と証券業の分離を定めた規定を廃止し、銀行・証券・保険業の相互参入を認めた法律)、そしてクレジットカード業界のセキュリティ基準である「PCI DSS」など、このような法律の多くは業界ごとに制定されている。中堅・中小企業の業務がテクノロジーに依存しているなら、社内で基本的な保護基準を定める必要がある。
中堅・中小企業に対するサイバー攻撃は、TargetやTrump Hotelsのようにトップニュースとなる企業のデータ漏えいとは異なり、あまり広く知られていない。ただし、Symantecの「2015 Internet Security Threat Report」では、小売業者が個人情報の流出に関して最も多くの責任を負っており、全体の60%を占めるとされている。この割合は2013年から30%上昇している。個人情報を流出させた小売業者の多くは、従業員が250人に満たない中小企業だ。
カリフォルニアのような州では870万人が中小企業に勤めており、その90%の企業の従業員数は20人に満たない。500人を超える人に影響するデータ漏えいが起こった場合、米国においては企業は司法長官に報告する義務がある。
Copyright © ITmedia, Inc. All Rights Reserved.