IPAについて

  1. トップページ
  2. IPAについて
  3. IPA NEWS
  4. IPA NEWS Vol.61(2023年2月号)

IPA NEWS Vol.61(2023年2月号)

公開日:2023年2月15日

IPA(独立行政法人情報処理推進機構)

目次

特集

かしこい中小企業はもう始めている‼
“守るが勝ち”のセキュリティ対策!

データで読むITの今・未来

標的に「例外」はない! 中小企業を狙うサイバー攻撃

セキュリティのすゝめ

取引先や経営層を装う詐欺の手口と対策
巧妙な手口に注意!「ビジネスメール詐欺」

IPA NEWS Hot & New Topics

特集

かしこい中小企業はもう始めている‼ “守るが勝ち”の セキュリティ対策!

  • ダンクソフト CEO 星野晃一郎さんとIPA セキュリティセンター 鈴木浩之さんの写真
    株式会社ダンクソフト 代表取締役 CEO 星野晃一郎さん(左)とIPA セキュリティセンター 企画部 中小企業支援グループ 鈴木浩之さん(右)

サイバー攻撃のリスクが高まる昨今、中小企業のセキュリティ対策は大きな課題です。被害を受ければ自社ばかりか、サプライチェーンにも悪影響を及ぼします。今回の特集では、IPAが提供する中小企業向けのセキュリティ対策コンテンツに着目。これらを活用している株式会社ダンクソフトの代表取締役CEO・星野晃一郎さんにお話をうかがいます。

ランサムウェア攻撃の被害の約半数は中小企業

サイバー攻撃の魔の手は大企業のみならず、中小企業にも迫っています。警察庁の調査によると、2022年の上半期、深刻な被害をもたらすランサムウェア攻撃の被害の約半数は中小企業でした(注釈1)。被害を受けると復旧に時間も費用もかかるうえ、サプライチェーンへの悪影響や取引先からの信用低下といったデメリットも招きます。「事業規模が小さいから狙われる心配はない」と他人事にせず、どの企業もしっかり対策を行うことが重要です。

平時の備えとして活用したいのが、IPAが提供する「SECURITYACTION」です。セキュリティ対策に取り組んでいることを事業者が自己宣言する制度で、中小企業におけるセキュリティの具体的方策を示した「中小企業情報セキュリティガイドライン」の実践をベースに、2段階の取り組み目標を示しています。

1段階目(一つ星)は「情報セキュリティ5か条」に取り組むことを宣言。

2段階目(二つ星)は「5分でできる! 情報セキュリティ自社診断」で自社の状況を把握したうえで「情報セキュリティ基本方針」を定め、外部に公開したことを宣言します。IPA セキュリティセンターの鈴木浩之さんは「セキュリティ対策に悩む中小企業の皆さんに、まずは意識を高めていただくためのツールです。各種補助金などの申請要件に含まれていることもあり、自己宣言数は20万件を突破しました」と説明します。

現状を知ることで「このままでは危ない」と気づきが得られる

株式会社ダンクソフト(東京・千代田区)も宣言した企業の1社。ウェブサイトのコンサルティング・制作・構築などを手掛ける1983年創業のIT企業です。同社では学童クラブやNPOなど中小組織のデジタルデバイド(格差)の解消やペーパーレス化を支援。副次的効果として、事務処理の効率化、働きやすさの実現、コミュニティの活性化といったメリットも生み出しています。

同社の代表取締役CEOである星野晃一郎さんは「顧客に金融機関が含まれることもあり、当社では早くから自社のセキュリティ対策に意欲的に取り組んできました」と語ります。2006年にプライバシーマークを取得するとともに、ペーパーレス化を推進。2008年ごろからクラウドへの移行を進め、段階的にFAXやプリンタもオフィスからなくし、現在はウェブ会議やテレワークのインフラを含めた高度なデジタル環境を構築しています。

同社のセキュリティ対策は、不正アクセス防御、ユーザ認証、マルウェアのリアルタイム検出、データのバックアップ、デバイスの情報保護、定期的なチェックによる情報漏えい対策など実にさまざま。2019年にSECURITY ACTION(一つ星)を宣言していますが、「二つ星でも遜色のない充実ぶりです」と鈴木さんは述べます。

セキュリティ対策は経営の根幹に関わる

ダンクソフトの取り組みで特に目を引くのが、セキュリティ関連の社外向け申請業務を、新人や社歴の浅い人に任せていることです。「セキュリティ対策を嫌でも理解できますし、周りもサポートするので組織全体のリテラシーの底上げにもつながります」と星野社長。

また、同社では自治体やNPOからの依頼でセキュリティ対策のセミナーを行う際、冒頭でIPAの「5分でできる! 情報セキュリティ自社診断」を実施しているそうです。「セミナー参加団体の中には10点台のところもあります。担当の方はショックを受けますが、現状を知ることで『このままでは危ない』と気づきが得られるのです」と星野社長は語ります。

デジタル化で社会が便利になるのと同様、企業でも多くのメリットを享受できると星野社長。例えばダンクソフトではデジタル環境を整備したことで、社員の要望に応える柔軟な就労体制を敷くことができました。現在、26名の社員全員が全国各地で在宅ワークをしており、育児・介護と仕事を両立しているそうです。こうした働きやすい環境が評価され、「東京ライフ・ワーク・バランス認定企業」(2017年)などに選ばれているほか、取引先や金融機関からの信頼醸成にも役立っています。

「とはいえ、国や警察が人々を守る実社会と違って、インターネットは危険と隣り合わせです。デジタル技術が浸透すればするほど、セキュリティを表裏一体で高めないといけません。それは企業にとって経営の根幹に関わるテーマであることを、特に中小企業の経営者は認識すべきです」と星野社長。同社は今後も各地でセキュリティ対策セミナーを行うほか、脆弱性対策や多要素認証など自社の対策をさらに強化し、SECURITY ACTIONの2つ星の宣言も取り組むとしています。

また、同社では「インターネットにより良いものをのせていく®」をテーマに掲げています。この言葉には、安心や安全、快適さを追求する目的にインターネットを使いたい、それも多くの企業で協調していきたい—そんな星野社長の強い思いが表れています。このテーマを実現するためにも、経営者は若い世代を頼りにしてほしいと星野社長。「若者はデジタルリテラシーが高いので、彼らの能力を最大限に生かすためにも、経営者は彼らから学ぶ感覚でデジタルデバイドを解消してみては。できるところからステップを踏んでいきましょう。明るい未来が待っています」

最後に、鈴木さんはこうエールを送ります。「セキュリティは家の戸締まりと同じで、普段から気をつけることが重要です。中小企業はSECURITY ACTIONの宣言後も、中小企業情報セキュリティガイドラインなどで対策を高度化しましょう」

  1. 注釈1
    警察庁広報資料「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」
  2. 注釈2
    5分でできる! 情報セキュリティ自社診断

データで読むITの今・未来

標的に「例外」はない! 中小企業を狙うサイバー攻撃

企業や組織を狙うサイバー攻撃。

業種や事業規模を問わず、どの中小企業でもその標的になるリスクがあります。

中小企業のセイバーセキュリティ対策の実態

  • 中小企業への不審なアクセス示す図表
  • 規模・業種別のサイバー攻撃例

近年、企業や組織を狙ったサイバー攻撃が激化し、その手口も多様化しています。IPAが2020年に行った実態調査では、中小企業約1,100社で18万件以上の不審なアクセスを確認しました。業種や事業規模にかかわらず、どの企業も攻撃の対象となるリスクがあります。

また、サイバー攻撃によって多大な金銭的損失や、顧客・取引先への二次被害に発展するケースも珍しくありません。サイバーリスクを自分ごととして捉え、できる対策からしっかり行っていくことが重要です。

顧客や取引先を攻撃の被害から守るためにも
 自社のセキュリティ対策強化を!

セキュリティのすゝめ

巧妙な手口に注意! 「ビジネスメール詐欺」

攻撃者は入念に準備してなりすましている

攻撃者は入念に準備してなりすましているビジネスメール詐欺(Business E-mailCompromise:BEC)とは、攻撃者が偽の電子メールを企業・組織に送りつけて従業員をだまし、攻撃者の用意した口座へ送金させる詐欺の手口です。パターンは2種に大別できます。

ひとつは、攻撃者が取引先になりすまして口座情報を差し替えた偽の請求書を送りつけ、振り込みをさせようとするもの。海外の企業と取り引きしている企業で多く見られます。

もうひとつは、攻撃者が企業の経営者や幹部になりすまして従業員にメールを送り、攻撃者が用意した口座へ送金させるものです。

財務・経理部門の担当者に対して、「秘密の案件で相談がある」などと経営層からの問い合わせを装う手口が確認されています。

どのパターンも、いかにも本人(取引先や経営者等)のようになりすます巧妙さが特徴です。特に取引先へのなりすましは、攻撃者が正規メールのやりとりを事前に盗み見て、取引や請求に関する情報を入手している可能性があります。

被害を受ける企業・組織が後を絶たず、中には巨額の損失を被った事例もあります。国内では、取引先関係者を騙った人物から仕入れ代金の送金を促すメールを受け取った日用品販売会社が約1億円を払い込んだほか、電子機器メーカーの海外子会社が虚偽の送金指示に騙されて約5億円を流出させています。

海外では、韓国の航空関連企業が、取引先担当者になりすました攻撃者から送付された口座変更の偽メールに従い、約16億ウォンを送金した事例が報告されています。米国では、自治体が消防車の販売担当者を騙った攻撃者に約120万ドルを送金した例があります(後に資金が発見され返還)。

偽口座へ送金してしまったらすぐ銀行や警察に連絡

まずは従業員にこうした詐欺の手口があることを認識してもらうこと。その上で、以下の対策が望まれます。

  1. 普段と異なるメールに注意する
    • いつもと違う言い回しや表現の誤りがあれば要注意。不審なメールは社内で情報共有することも重要です。
  2. 電信送金に関する社内規程の整備
    • 振込先や決済手段の急な変更が発生したら、電話やFAXなどメール以外の方法で取引先へ確認しましょう。複数の担当者によるチェック、電子署名付きメールの活用も有効です。
  3. ウイルス・不正アクセス対策
    • メールを盗み見られないよう、基本の対策を万全に。セキュリティソフトを導入して最新の状態にする、メールアカウントに複雑なパスワードを設定する、メールシステムでの多要素認証、アクセス制限の導入などがあります。

偽の口座へ送金してしまったら、早急に銀行や警察に連絡しましょう。その際、攻撃者のメールやログなどを提出できれば状況の把握に役立ちます。

対策のポイント

1. こうした詐欺があることを従業員が認識する。
2. 普段と違う言い回しや表現の誤りがあれば注意。
3. 振込先等の急な変更は、電話などで取引先に確認。
4. ウイルス・不正アクセス対策の基本を徹底する。

IPA NEWS Hot & New Topics

関連リンク