コラム

 公開日: 2016-04-09  最終更新日: 2016-06-02

2015年度中小企業のセキュリティ(3)-情報セキュリティの被害状況

前回までの内容:
2015年度、中小企業における情報セキュリティ対策状況(1)-モバイルデバイス
2015年度、中小企業における情報セキュリティ対策状況(2)-情報セキュリティに対する意識

今回は前回に引き続き、独立行政法人情報処理推進機構(IPA)の「2015年度中小企業における情報セキュリティ対策に関する実態調査」の結果に基づいた内容を確認します。今回は、情報セキュリティに関する脅威の発生状況や被害状況について確認します。
なお、調査結果における「企業規模」について、以下の様な分類がされていること、ご留意ください。
企業規模分類

1.コンピュータウィルス感染の状況

コンピュータウィルスの感染による被害が後を絶ちません。その手口は年々多様化、巧妙化しており、昨年からはランサムウェアと呼ばれる、PC内のファイルや共有ドライブのデータを暗号化してしまうウィルスが広まっていることはご存知だと思います。
2014年度(2014年4月〜2015年3月)の中小企業におけるコンピュータウィルスの感染状況を確認したところ、約半数の企業はウィルス自体発見されませんでしたが、約1/4の中小企業でウィルスが発見されました。
コンピュータウィルス感染実績
企業規模別に見ると、企業規模が大きくなるにつれてウィルスが発見され、感染する企業が増加しています。
今回の調査では「ウィルスを発見しなかった」「わからない」の割合が高い結果となっていますが、これをそのまま額面通りに受け止めることはできません。実際に社内のデータファイルや情報システムに悪影響が出ればウィルス感染の可能性を疑いますが、メールアドレスやデータファイル等が流出する、社内ネットワークの探索が行われている、といったことが行われているだけでは、ウィルス感染に気づいていない、という可能性もあります。ウィルスチェックソフトを導入し、定期的なウィルスチェックの実施を行うことが望まれます。

コンピュータウィルスが社内に侵入した経路について確認したところ、電子メールの添付ファイル等によるものが全体の6割を超え、続いてホームページ閲覧によるウィルスのダウンロード等が6割弱という結果でした。特に従業員101名以上の中小企業では、電子メールによる侵入が7割を超えていました。
コンピュータウィルス侵入経路
侵入経路として割合の低い「ダウンロードしたファイル」「ファイル共有ソフト」「USBメモリ等の外部記憶媒体」「持ち込みパソコン」については、社内のセキュリティルールが明確に定義されていない、または実施が徹底されていないことが原因である可能性があります。社内ネットワークでファイル共有ソフトを使用することは通常考えにくいですし、外部から持ち込んだPCを社内ネットワークに接続したり、USBメモリを安易に社内PCに接続したりすることは、従業員のセキュリティ意識にも問題があるのでは、と考えます。

2.サイバー攻撃の状況

最近は耳にすることも多いサイバー攻撃ですが、これには不正アクセス、DoS/DDoS攻撃、標的型攻撃などの総称です。2014年度(2014年4月〜2015年3月)の中小企業におけるサイバー攻撃の状況を確認したところ、実際にサイバー攻撃を受けたと考える企業は全体の1割程度であり、7割以上の企業はサイバー攻撃を受けた認識がありませんでした。
サイバー攻撃を受けた実績
企業規模別に見ると、企業規模が大きくなるにつれてサイバー攻撃を受けた企業が増加し、被害も大きくなっています。
こちらもウィルス感染と同様、「サイバー攻撃をまったく受けなかった」「わからない」を額面通りに受け止めることはできません。中には社内ネットワークに不正アクセスされ、様々な情報が探られたかもしれません。また、他の企業をサイバー攻撃する際の踏み台として利用された可能性もあります。日本年金機構の事件でも、攻撃者とは無関係の、とある企業のサーバーから日本年金機構のネットワークに侵入し、顧客情報をダウンロードした形跡が残されていました。サイバー攻撃の踏み台として利用されないためにも、セキュリティ対策を行うことが必要です。

実際にどのようなサイバー攻撃を受けたのかを確認したところ、IDとパスワードを搾取されたことによる不正アクセスが5割弱、OSなどの脆弱性を突かれた不正アクセスが約4割という結果となりました。
サイバー攻撃の手口
企業規模別に見ると、「DoS攻撃」「標的型攻撃」のほとんど従業員101名以上の中小企業で発生しているのが特徴的です。現在も行われている「オペレーション・キリング・ベイ」という反捕鯨を名目にしたDDoS攻撃は、当初イルカやクジラ関連の業者などに行われていましたが、最近では示威効果を狙って、有名な企業やブランドなどのサイトが無差別に攻撃されている状況です。その攻撃リストに載ってしまった場合、中小企業といえどもプロのハッカー集団の標的となる可能性があります。
また、小規模企業に限ると、「手口が分からない」と回答した企業が半数を占めていました。これは社内リソースに調査等を行う人材もなく、外部サービスを利用するコストもかけられないことが原因であると考えられますが、こうした企業に対しては繰り返しサイバー攻撃が行われる可能性が高いので、注意が必要です。

アンケート結果に基づく考察

今回は中小企業における情報セキュリティの脅威の発生状況を確認してみました。
全体的に発生状況はそれほど高い割合ではありません。しかし、中小企業だからと言ってコンピュータウィルス感染やサイバー攻撃と無縁ではないとも言えます。上記でも申しあげましたが、この調査結果がすべてであるとは思わないことです。言い換えれば、知らない間にウィルスに感染したり、不正アクセスされたり、情報が漏えいしたりしている企業は、今回の調査結果以上に存在する可能性が高いということです。特に中小企業で問題になりそうなのは、直接的な被害を受ける訳ではなく、他の企業に対するサイバー攻撃のために利用されてしまうことです。サイバー攻撃者も自分が何者かを明らかにしたくはないので、セキュリティの十分でないサーバーを幾つも乗っ取り、そのサーバーを経由してターゲット企業に攻撃を行います。乗っ取られたサーバーに対しては何も行わないので、乗っ取られたサーバーを所有する企業にとって実害は無く、通常通りの運用がされているので、攻撃に利用されていることに気付きません。こうした状況を防ぐには、従来の様な「不正アクセスさせない」ための水際対策だけでは不十分であり、「不正アクセスされてもすぐに気付く」ための対策を行うことが重要になってきます。

また、コンピュータウィルス感染やサイバー攻撃の結果、被害を受けるのは自社内部とは限らないことも注意しなければなりません。最も分かり易いのは顧客情報の漏えいでしょう。その他でも、コンピュータウィルスの場合は取引先に送信するメールやUSB等で渡すデータファイルなどがウィルスに感染してしまうと、取引先でもコンピュータウィルスに感染してしまうことになります。サイバー攻撃の場合であれば、自社が提供するネットサービスが停止することで取引先の業務に影響を与えたり、IDやパスワードが漏えいしてなりすましでログインされてしまい、様々な不正な操作が行われたりする可能性があります。もしそのような事態になった場合は、取引の停止や損害賠償等の追加的な弊害を受ける可能性もあります。

参考:
独立行政法人情報処理推進機構(IPA)、「プレス発表 「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を公開

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・情報セキュリティに関する規程やルール等の策定、改訂
・情報セキュリティ環境の現状調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ