デジタルデータソリューション、「中小企業に求められるセキュリティ対策|2020年総括および2021年展望レポート」を発表
- 2020/12/24 10:00
- SecurityInsight
デジタルデータソリューションは12月21日、2020年の企業のセキュリティ対策への動きや、中小企業の情報漏洩リスク増加と2021年に向けた対策などについて言及した「中小企業に求められるセキュリティ対策|2020年総括および2021年展望レポート」を発表した。その概要は以下のとおり。
●急速にDXが進んだ2020年、セキュリティに懸念が残る
これまでの企業は、社内PCを一括管理し、ウイルス対策ソフトやファイアウォール、仮想サーバーなどでセキュリティ対策を講じ、それに加えPC作業を社内に限定することでサイバー攻撃のリスクを最小限に留めていた。しかし、テレワークの普及により社外でのPC作業が増加し、社内だけではなく社外のネットワークならびに個人単位でのセキュリティリスクに備える必要が発生した。
企業はさまざまな対策を講じたものの、結果としてマルウェアによる個人情報流出のニュースが目立つ年となった。しかし、攻撃の対象になっているのは報道で取り上げられる一部の大手企業だけではなく、実際には世間の目が届いていないところで中小企業へのサイバー攻撃が多発している。
●ハッカーに狙われる中小企業たち
大手企業は強固なセキュリティ対策を行なっているため、ハッカーはまず中小企業に対してマルウェアによる攻撃を仕掛ける。するとセキュリティ対策が十分でない中小企業は容易にマルウェアに感染する。このマルウェアが大手企業へとたどり着くための感染経路が「取引メール」。2020年に流行した「Emotet」や「IcedID」といったマルウェアは、取引メールを巧妙に偽装することでメールの受け手に添付ファイルのダウンロードと実行を促し、マルウェアに感染させる手口がとられていた。
特に危険があるのが製造業で、巨大なサプライチェーンのトップにある大手企業が保有する情報はハッカーにとって大きな価値がある。そのため、サプライチェーン内に属する中小の製造業者がサイバー攻撃の標的となる。製造ラインのIoT化に伴うセキュリティ対策が追いついていない企業も散見されるため、特に注意が必要。
●マルウェアが起こすリスクを理解していない経営者が多数
11月に製造業経営者100人に対して実施した調査では、「自社PCの感染が取引先の感染を招くリスクがある事実」を「知らなかった」という回答が25.7%、「大手企業がセキュリティ対策を審査基準として強めている事実」を「知らなかった」という回答が31.2%だった。一方、両設問で「知らなかった」と回答した方のうち56.4%がこの事実を知り、「よりセキュリティ対策に力を入れるべきだと思った」と回答している。この結果から、中小製造業の企業経営者は、自社がセキュリティ事故のリスクを抱えていると認識することが一つの課題だと言える。
●セキュリティ対策の鍵は「出口対策」
どの企業においても必要なのが通信の最後の砦を守る「出口対策」。マルウェアによる情報流出は、PC内でマルウェアが外部との不正通信を行なうことによって起こる。その不正通信を遮断してしまえば、たとえマルウェアに感染してしまっても情報流出の被害は生じない。この通信の出口を監視し、不正な通信を検知・遮断することでセキュリティの安全性を保つのが「出口対策」となる。