【連載第1回】なぜ中小企業がサイバー攻撃に狙われるのか ― 「うちは関係ない」が最大のリスク
サイバーセキュリティと聞くと、「うちは中小企業だから狙われない」「盗まれるような機密情報はない」と考える経営者は少なくありません。しかし、近年のサイバー攻撃の実態は、この認識が極めて危険であることを示しています。
中小企業が狙われる3つの理由
1. セキュリティ投資が少なく、侵入が容易
攻撃者は「最も侵入しやすいところ」を狙います。大企業が数億円規模のセキュリティ対策を講じる一方、中小企業はファイアウォールとウイルス対策ソフトだけという企業も珍しくありません。
2. サプライチェーン攻撃の踏み台になる
大企業を直接攻撃できなくても、取引先の中小企業を経由して侵入するケースが増えています。2022年のトヨタ自動車の国内全工場停止は、サプライヤーへの攻撃がきっかけでした。
3. ランサムウェアは「数撃てば当たる」戦略
ランサムウェア攻撃は無差別にばらまかれることが多く、企業規模は関係ありません。身代金額は企業の支払い能力に応じて設定されるため、中小企業であっても数百万円単位の被害が生じます。
攻撃者から見た「狙いやすい企業」の特徴
攻撃者が偵察段階でチェックするポイントがあります。
- メールセキュリティが未設定: SPF/DKIM/DMARCが未設定の企業はフィッシング攻撃の標的になりやすい
- VPNやリモートデスクトップが公開されている: 既知の脆弱性が放置されていると自動ツールで発見される
- Webサイトの情報が古い: CMSのバージョンが古い、SSL未対応などは「セキュリティ意識が低い」シグナルになる
- 従業員のSNS: 社内システムや使用ツールの情報が公開されていることがある
中小企業が取るべき第一歩
すべてを一度に対策する必要はありません。まずは現状を把握し、優先度の高いものから着手することが重要です。
次回は、知っておくべきサイバー攻撃の手口と種類について解説します。
この連載について: 「中小企業のためのサイバーセキュリティ入門」は全10回の連載で、情シス担当者やIT兼任者が最低限押さえるべきセキュリティの基礎知識を解説します。
次回: 【連載第2回】知っておくべきサイバー攻撃の手口5選 →
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。