サイバー攻撃に備える

中小企業は狙われない?

相手を特定して狙う攻撃以外で、不正アクセスの被害にあった会社の規模は関係なかったとのデータがあります。
むしろ、サプライチェーン攻撃のターゲット

サプライチェーン(供給網)を狙う攻撃が急増

関連会社や取引先(中小)企業のセキュリティ対策が甘いところを踏み台にして、大手企業の機密情報を狙う攻撃が増えています。

  • サイバーセキュリティ対策が不十分な場合は損害賠償請求や取引停止も
  • EUや日本等50か国以上では、自動車メーカーに下請けも含めた対策を義務付け

◆攻撃のイメージ

  1. セキュリティの弱い会社を探す
  2. セキュリティの弱い会社を攻撃する
    • 情報を盗み、公開する代わりに金銭を要求する
    • データを暗号化し、身代金を要求する  等
  3. セキュリティ弱い会社を踏み台にして、関連会社・取引先を攻撃する
    • 弱い会社のシステムを経由して、関連会社・取引先にサイバー攻撃をしかける
    • 弱い会社から盗んだ機密情報等を基に、関連会社・取引先に金銭を要求する  等

◆攻撃の目的

  • 金銭(身代金、情報の販売)
  • 産業スパイ(設計情報、図面、研究情報等)
  • 愉快犯
  • 政治的・社会的主張 など

◆攻撃の手段

  • 無差別攻撃
  • 特定のターゲットを狙った攻撃
  • なりすましメール
  • 不正取得したパスワードを利用
  • リモートワークシステムのぜい弱性を突く
など、他にも様々な手口で・・・
対策は?

サイバー攻撃への対策

◆対策1 セキュリティレベルの向上

  • ウイルス対策ソフトの導入、パスワードでの管理は前提
  • OSやソフトウェアは常に指針のバージョンに
  • 役職員への教育と意識向上
  • 専門機関によるセキュリティ対策の評価
  • セキュリティマニュアルの作成、更新、実施
  • バックアップを確実にとる
  • 対応マニュアルの作成、更新、トレーニング

現実は

  • できている事、レベルアップが必要な事、なかなか手が回らない事など様々。
  • サイバー攻撃が日々高度化するのに対応が・・・
  • IT人材不足、費用的にも限度が・・・

◆対策2 攻撃を受けた後の対応の準備

防御の対策はできる限りしますが、攻撃を受ける事は避けられないと考え、その後の調査・対応が重視される傾向があります。

  • サイバーインシデント発生の有無を確認するための外部委託(費用)
  • 弁護士等、外部の専門家への相談(費用)
  • 専門業者による事故原因調査、影響調査(費用)
  • データ復旧、情報機器復旧(費用)
  • 再発防止(コンサルタント費用)
  • 他人に損害を与えた場合の損害賠償、訴訟費用

問題は

サイバー攻撃を受けたり、その恐れがあると分かってもどこに相談や依頼をすれば良いのかわからない事です。通常はそれらの専門業者との取引はないでしょう。

サイバー保険を契約することで対応できます

◆サイバー保険で対応できる事

  • 緊急時に上記専門業者をサポートサービスで手配する事ができます
  • 各専門業者の対応費用を保険金として支払います
  • サイバー攻撃が原因で他人に損害を与えた場合は、賠償金や訴訟費用を補償します

◆保険料例

電子機械器具製造業、機械金属器具製造業等のITサービスを行っていない製造業の場合
利益補償無し

年間売上高 50億円 10億円
保険料 30万円~ 15万円~
※補償内容やセキュリティレベルの状況により変わります。

◆一番のメリットは、すぐに簡単に一応の対応準備ができることです。

資料

経済産業省商務情報政策局サイバーセキュリティ課の報告書より
「サイバーセキュリティお助け隊」による実証事業の結果

  • 実証期間は2019年6月~2020年3月(9カ月間)
  • 実証に参加した中小企業は1,064社
  • 実証期間中に計910件のアラートが発生
    (月平均約100件、10社に1社はアラート発生)
  • 重大インシデントの可能性ありと判断し、対処を行った件数は128件
    (電話及びリモート対応110件、訪問対応18件)