中小企業を狙うサイバー攻撃が一向に減りません。
今や、天災や火災、感染症と並ぶ企業を脅かす大きなリスクになっています。
そんな中「事業継続計画(BCP)」の策定に取り組んでいる、またはすでにある企業も多いのではないでしょうか。しかしながら、天災や感染症のBCPはあるものの、サイバーリスクに対してはまだ、という企業がほとんどだと思います。
ネットや本を見ても大企業しか対応できない、現実的でない内容も多い中、中小企業でもできるサイバーBCPについて、何回かにわけてご紹介したいと思います。
第一回目は「サイバーリスク発生の予防(発生リスクの低減)」です。
サイバー攻撃はソフトウェア、ハードウェア、脆弱性対策等の予防措置を行うことで、発生のリスクを低減させることができます。これは、災害とは異なる部分です。
一言でいうと
セキュリティのレベルを高める
です。
しかしながら巷にはいろいろなセキュリティ製品が溢れ、自社の脆弱性を見つけるにも多額のお金がかかります。
中小企業でもできることはなんでしょうか。
①すでに導入しているサービスのID、パスワード、権限の管理を見直す
②二段階認証、多要素認証を導入する
③ソフトやハードの定期的なアップデートを徹底する
④従業員の教育を定期的に行う
⑤最低限のセキュリティ製品を導入する(ウイルス対策ソフトやFW、UTMなど)
⑥クラウドサービスを活用する(セキュリティレベルや利用規約は要確認)
①~④は無料でできることです。すこし手間がかかる事柄ですが、実際にインシデントに合う確率を下げるには非常に効果的です。ほとんどのランサムウェア(身代金目的のマルウェア)の入り口はIT機器(VPN,NAS等)の脆弱性です。
この作業だけでも約6割近くのランサムウェアは防げると言われています。
⑤、⑥は少しお金がかかります。
⑤に関してはすでに多くの企業が導入済みではないでしょうか。ここでも必ずアップデートは定期的に行ってください。せっかく導入しても最新の攻撃に対応していなければ無用の長物です。
⑥は頑丈な金庫だと考えてください。データの保管やアプリケーション等の利用にも非常にセキュリティは優れています。ただこれを使うためのID,PWにあたる鍵は厳重に管理する必要があります。
また、クラウドサービス事業者自体がサイバー攻撃に合う事例も増えています。その二次被害を防ぐためにも、セキュリティレベルや利用規約はしっかり確認しておくことが必要です。
このようにほとんどが手間を少しかけることで対応できる事柄です。
中小企業でもできることから始めてまいりましょう。
>>中小企業のサイバーBCP②に続く(9月後半にアップ予定です)