近年、不正アクセスやマルウェア、標的型攻撃メールなどのサイバー攻撃・犯罪が頻発しています。その攻撃は中小企業にも向けられており、事業規模にかかわらず多くの企業が日々脅威にさらされています。自社だけでなく顧客や取引先にまで被害が広がることもあるサイバー攻撃には、どのような対策が必要なのでしょうか。中小企業を取りまくサイバーリスクの現状と、サイバー攻撃・犯罪への対策方法を解説します。

この記事でわかること

1. 中小企業におけるサイバーリスクの現状
2. サイバー攻撃・犯罪の被害事例
3. サイバーリスクに備える3つの方法

中小企業におけるサイバーリスクの現状

NRIセキュア「企業における情報セキュリティ実態調査2020」によって、過去1年間に情報セキュリティに関する事故・事件があった企業はおおよそ2社に1社であることがわかりました。また、日本損害保険協会の調査 「中小企業の経営者のサイバーリスク意識調査2019」によると、1,000万円以上もの被害を受けた事例もあり、サイバーリスク対策の必要性が伺えます。今やサイバー攻撃はすべての企業が対象となる可能性が高いリスクです。ところが、 自社がサイバー攻撃の対象となる可能性が「高い」もしくは「やや高い」と考えている中小企業は6.2％と極めて低いのが現状です。サイバー攻撃は、高度かつ巧妙な手口で企業を狙っています。顧客や取引先にまで被害が拡大する可能性のあるサイバー攻撃は、看過できない問題です。

サイバー攻撃・犯罪の被害事例

国内におけるサイバー攻撃・犯罪は増加傾向にあります。警視庁が公表している「令和２年におけるサイバー空間をめぐる脅威の情勢等について」によると、2016年のサイバー犯罪の検挙件数が8,324件であったのに対し、2020年は9,875件だったとのことです。不正アクセスや標的型メール攻撃が多く、標的型メール攻撃においては2020年の1年間だけで4,119件発生しています。

これらサイバー攻撃・犯罪は個人だけでなく企業にも向けられています。具体的な被害事例をもとに、その動向と必要な対策について見ていきましょう。

不正プログラムによる情報漏えい

外部サーバーに不正プログラムが仕掛けられて、顧客のクレジットカードや氏名などの情報が漏えいする事件が発生することもあります。会社役員のPCがウイルスに感染し、PC内にあった取引先の顧客情報まで漏えいしたケースもあります。

マルウェア（ウイルス） による情報漏えい

出張先にてホテルの無料Wi-Fiを利用した際、なりすましメールを受信し、添付ファイルを開きマルウェアを実行したことによりウイルスに感染する事例が発生しました。これによりEメールアドレス情報が抜き取られ、取引先などに攻撃者からメールが送信される事態となってしまいました。

支社のPCがウイルスに感染したことで本社にまで被害がおよび、数日間の休業を余儀なくされ数千万円の損失を招いた事例もあります。

サイバー攻撃を原因としたサプライチェーン全体への被害

サプライチェーンのなかにサイバー攻撃への対策が不十分な企業があると、内部・外部からの不正アクセスによってサプライチェーン全体に被害がおよんでしまう可能性があります。事業や製品にまったく関係性のない攻撃者によって情報が抜き取られることもありますが、委託先企業の従業員が機密情報を持ち出して、競合他社に売却する事例も実際に発生しているため注意が必要です。

また、サイバー攻撃で納品物にマルウェアが仕込まれていることを、制作側も納品された側も気づかず、 納品された側のPCがウイルスに感染した事例もあります。製造業の会社で従業員がメールの添付ファイルを開いたところ、ウイルスに感染し基幹システムの設定が書き換わってしまった事例も報告されています。

サイバーリスクに備える3つの方法

こうしたサイバーリスクに備えるには、まず自社の状況を理解しておくことが大切です。セキュリティ対策は万全か、役員および従業員はサイバーリスクに対して危機意識を持っているかなどをチェックしてみましょう。

1. リスク診断で自社の状況を知る

東京海上日動では、自社のセキュリティ体制を簡易評価できる「簡易リスク診断サービス」を提供しています。まずは無料のリスク診断で、自社のセキュリティ体制を可視化し、どの部分に対しどのような対策を講じるべきかの判断材料としましょう。

同時に、社内アンケートで従業員全体のサイバーリスクへの危険認知度を測るため、「なぜ情報漏洩に関する事故が発生するのか」「サイバー攻撃の手法にはどのようなものがあるか」のような質問を盛り込んだ意識調査も実施しましょう。全従業員のサイバーリスクに対するリテラシーの深度が明確化され、後述する従業員教育の内容や方法の検討材料にもなります。

2. セキュリティが脆弱なポイントへの対策を行う

自社のどの部分に危険性が潜んでいるのかをリスク診断で把握したあとは、セキュリティが脆弱な部分への対策を行いましょう。費用をかけずに、日々の行動一つでセキュリティ性を向上できる方法もあります。

メールに添付されたファイルによってウイルスに感染しないように、まずはメールのフィルタリング機能を用いてスパムメールを受信しないよう設定しましょう。また、メールの安全な利用方法について従業員教育を行うことも重要です。

添付ファイルを安易に開かない、必ず送信元を確認する、自分が送信するときには誤送信をしない、社外とのやりとりではファイルを直接添付しないルールを付すなど、メールの取り扱いについて全社で共通認識を持てるようにしましょう。

社内ネットワークへの攻撃に対しては、ネットワーク利用者を制限するほか、「デスクにIDとパスワードを書いたメモを置かない」といった、基本的な対策の周知徹底も重要です。こうした対策は、費用をかけなくとも実施可能です。そのうえで有料のシステムやソフトを導入すると、より高いセキュリティレベルが得られます。

費用をかけて行うウイルス感染対策としては、ウイルス対策ソフトの導入が効果的です。ソフトの選定の際には、マルウェアやランサムウェアに対応したソフトを選択するようにしましょう。ログイン時の本人確認に2段階認証を導入するなどの対策方法もあります。

東京海上日動では、無料で行える従業員教育の1つとして、標的型攻撃メールの疑似体験で社員に不審なメールを開かないよう意識づけできる「標的型攻撃メール訓練」サービスを提供しています。セキュリティ意識を高めるための第一歩に、ぜひご活用ください。

3. 万が一に備えてサイバーリスク保険に加入する

セキュリティ対策を行っていても、高度な手口が次々と生み出されていくサイバー攻撃に対して万全な体制をとるのは難しいものです。

特定非営利活動法人日本ネットワークセキュリティ協会「インシデント損害調査レポート 2021年版」に掲載されている被害のモデルケースを見てみましょう。

<軽微なマルウェア感染>

メールの添付ファイルを開封してマルウェアに感染したが、顧客情報や個人情報の漏えいはなかった場合

損害額：600万円

<クレジットカード情報ほか個人情報の漏えい>

ECサイトから利用者の氏名など個人情報とクレジットカード情報、セキュリティコード情報が漏えいした場合

損害額：9,490万円

このように、サイバー攻撃による損害額は、損害の範囲や情報漏えいの有無によって大きく変わります。事故内容、業種・業態によっては損害が数億円に達する例も少なからずあります。

万が一の際に備えて、費用負担のリスクを最小限に抑えられるサイバーリスク保険への加入を検討しましょう。

サイバーリスクへの対策をはじめよう

サイバー攻撃による被害は、自社だけでなく顧客や取引先におよびます。その標的とされるのは大企業だけではありません。まずは全社でセキュリティ意識を高めるところから対策を始め、万が一の際に損害を抑えられるよう保険で備えておくとよいでしょう。

必要となる補償は、事業内容や規模、想定されるリスクによって異なります。自社に適した補償が知りたい方は、保険のプロに相談するのがおすすめです。

企業に必要なサイバーセキュリティに関する基礎知識や被害事例は、サイバーセキュリティ情報発信ポータルサイト「Tokio Cyber Port」からもご覧いただけます。