Rotate(ローテート)のCEOであり起業家のロイー・マルガリット氏。
長年、サイバーセキュリティは主に大企業の懸念事項と見なされてきたが、その考え方はもはや通用しない。今日、中小企業(SMB)はサイバー脅威の標的の中心となっており、多くの場合、最も防御が手薄な状態にある。
2023年には、全サイバー攻撃の43%が中小企業を標的としており、攻撃者が限られた予算と小規模なITチームに起因するセキュリティギャップを積極的に悪用していることが浮き彫りになっている。そしてそのリスクは増大している。これらは単発の事件やランダムなウイルスではない。組織的で、金銭的動機があり、そして人工知能によってますます強化されている攻撃なのだ。
AIを活用した攻撃の台頭
サイバー犯罪者はもはや時代遅れの手法に頼っていない。AIの助けを借りて、攻撃を自動化・拡大し、より高速で、よりスマートに、そしてより説得力のあるものにしている。
フィッシングは依然として最も一般的な侵入口だが、これらのメールは現在、正当なコミュニケーションとほとんど区別がつかないほどだ。AIにより攻撃者はトーン、ブランディング、コンテキストを模倣でき、従業員が偽物を見分けることがより困難になっている。
ビジネスメール詐欺(BEC)も進化している。攻撃者はAIを使用してコミュニケーションスタイルを監視し、経営幹部やベンダーになりすます。タイミングの良いメールによって、従業員が資金を送金したり機密情報を共有したりするよう仕向け、誰かが気づく前に被害が発生してしまう。
ランサムウェアもより高度化している。一部の亜種は現在、バックアップを特定して回避し、重要なシステムを最初に標的にして、デバイスやネットワーク間で横方向に拡散する能力を持っている。たった一回のクリックでビジネスがロックダウンされる可能性がある。
この自動化とパーソナライゼーションのレベルにより、従来の境界ベースの防御の効果は低下している。また、中小企業は厳しい立場に置かれている:脅威は増大しているが、それに対処するためのリソースが追いついていないのだ。
制約を戦略に変える:中小企業がサイバーレジリエンスを強化する方法
リソースが限られている場合、戦略がこれまで以上に重要になる。多くの中小企業にとって、サイバーセキュリティの課題は脅威の増加だけではない。どこから始め、何を優先し、セキュリティに関する決断をどのように効果的に行うかを知ることだ。
最も効果的な前進の道はツールから始まるのではない。マインドセットから始まる:最も重大なリスクに最初に焦点を当て、段階的にレジリエンスを構築していくのだ。つまり、メール、従業員の認証情報、財務システム、クラウドアプリケーションなど、最も価値があるか脆弱な資産を特定し、最も大きな影響を与える場所に保護を適用することを意味する。
実際には、多要素認証の強制、アクセス権限の見直し、または従業員に不審なメッセージの見分け方を教えるフィッシングトレーニングの展開などが含まれるかもしれない。これらは大規模なプロジェクトではないが、時間の経過とともに、より強力な保護へと複合的に発展していく。
多くの中小企業は、戦略の一環として外部パートナーシップも模索している—内部の責任の代替としてではなく、能力を拡張する方法としてだ。例えば、マネージドサービスプロバイダー(MSP)は、より広範なITサービスの一部として不可欠なサイバーセキュリティソリューションの提供を支援できる。マネージド検知・対応(MDR)などのサービスは、特に内部のリソースが限られている場合や社内の専門知識が利用できない場合に、企業がサイバー脅威を24時間体制で監視し対応するのに役立つ。
マネージドサービスが戦略の一部となる場合、それを意図的に取り入れることが重要だ。チームの誰がその関係を所有するのか?成功とは何か?どのようなシステム、プロセス、報告が適応する必要があるのか?私たちの経験では、ビジネス目標、内部のステークホルダー、プロバイダーの範囲の間に明確な一致がある場合、これらのアプローチが最も効果的である。
すべてをカバーできる単一のソリューションはない。しかし、ユーザーアクティビティの定期的なレビュー、従業員トレーニング、アクセス制御への注意など、強力な内部プラクティスと組み合わせると、これらのパートナーシップは力を増幅する要因となる。
セキュリティをビジネスに役立てる
小規模チームにとって、サイバーセキュリティは消耗戦のように感じることがある:絶え間ないアラート、重複するツール、そして明確な方向性がない。しかし、そうである必要はない。適切なアプローチを取れば、ノイズを減らし、重要なことに集中し、日常業務に余分な負担をかけることなく、より迅速に行動できる。それは可視性、明確な優先順位、そして脅威が進化するにつれて計画を見直す意欲から始まる。
自分自身でITを運営しているか、小さなチームを管理しているかにかかわらず、目標はすべてのツールをマスターすることではない。現実的で、適応性があり、あなたのビジネスのために構築された階層的な防御を作ることだ。
ここからどこへ向かうか
脅威の状況は急速に進化し続けており、中小企業はそれに追いつくプレッシャーを感じている。しかし、効果的なサイバーセキュリティは組織の規模に関するものではない。それは、持っているリソースで、正しい順序で、正しい選択をすることだ。
自分がコントロールできることから始めよう。最も重要なリスクを特定し、最も重要なシステムとアカウントを保護する。チームをトレーニングし、セキュリティプラクティスを定期的に見直して、それらが依然として運用方法と一致していることを確認しよう。
必要に応じて、ギャップを埋めるために外部サポートを導入しよう。自動化、AIを活用したツール、またはアウトソーシングされた監視を通じて、そのようなパートナーシップは内部チームへのプレッシャーを軽減し、コアビジネスに集中できるようにする。
すべてを一度に行う必要はない。サイバーレジリエンスの構築はプロセスだ。明確な優先事項に焦点を当て、一貫した行動を取ることで、中小企業は実用的で持続可能かつ効果的な方法で自らを保護できる。
