Bob Coleman氏、NightwingのCEO。
大手組織でのデータ侵害のニュースが報じられない月はほとんどありません。残念ながら、私たちは銀行やカードプロバイダーなどから、自分のデータが盗まれた可能性があるという警告に慣れてしまいました。大企業がデータ侵害を発表すると、私たちは注目します。なぜなら、今日の取引を行うためには、個人情報の共有を避けることができないからです。そのため、彼らがサイバー攻撃を受けると、その痛みは私たちの痛みでもあるのです。
しかし、サイバーセキュリティの課題は、大企業や国家を超えて広がっています。メインストリートの小規模ビジネスから通信を維持する衛星まで、あらゆる領域がサイバーリスクの現実に直面しています。
しかし、私たちが常に知るわけではないのは、中小企業(SMB)に関わる一般的なセキュリティインシデントです。Infosecurity Magazineによると、2024年上半期に中小企業の45%がサイバー攻撃を受けていますが、これらの一般的なインシデントはほとんど注目されていないようです。
そのため、ハッカーは中小企業を標的にします。彼らはめったに注目されず、成功の可能性が高まるからです。レストランのウェブサイトが数時間ダウンしても、ほとんど気づかれませんが、配信サービスや主要アプリでは壊滅的な事態となるでしょう。実店舗から数千件の記録が盗まれても、ハッカーが大企業から得る可能性のある数百万件に比べれば小さなことですが、小規模な店舗を攻撃するリスクは低く、支払いを受ける確率ははるかに高くなります。時間が経つにつれ、これらの小さな犯罪は積み重なっていきます。
大小のサイバーセキュリティ:その違いとは
スタッフやリソースに大きな違いがあるため、大企業のサイバーセキュリティ対策は一般的な中小企業とはほとんど共通点がありません。ほとんどの大企業では、サイバーセキュリティは高度なツールやインフラに多額の予算を持つ専門チームによって管理されています。彼らはファイアウォール、侵入検知、データ暗号化、リアルタイムモニタリングなど、多層的なセキュリティシステムを導入しています。さらに、多国籍企業は包括的な災害復旧計画を策定し、サイバーセキュリティ意識の職場文化を作り出すことができます。
対照的に、限られたスタッフと予算を持つ中小企業は、複雑なセキュリティのためのインフラが不足していることが多いです。PRiSMランサムウェアデータベースの5年間(2019年から現在まで)のデータは、大企業と小規模企業の間の明らかな格差を浮き彫りにしています。従業員200人以下の企業はランサムウェア被害者の約57%を占める一方、従業員5,000人以上の大企業はこれらの攻撃の犠牲になる割合が3%未満です。元ホワイトハウスCIOのTheresa Payton氏は2025年のMyCyberIQ記事で警告しています。「サイバー犯罪者は大企業だけを狙っているわけではありません。彼らは通常最も簡単に侵入できるため、中小企業を狙っています」
ハッカーが求めるもの
中小企業はハッカーにとって魅力的な獲物であり、ランサムウェア攻撃が選択される戦略であることが多いです。これらの攻撃では、ハッカーはネットワークに侵入し、重要なデータを暗号化し、その解放のために身代金を要求します。適切なデータバックアップシステムや災害復旧計画がない中小企業は、支払う可能性が高くなります。サイバー犯罪者は、ビジネスメール詐欺(BEC)などの戦術を通じて機密データを盗み、資金を流出させ、詐欺を行います。BECでは、ハッカーが所有者、従業員、または信頼されたパートナーを装って、中小企業に資金の送金を騙します。
もう一つの目的は、顧客記録や従業員情報などの機密データを盗み、ダークウェブで販売し、身元盗難に使用することです。ハッカーはまた、ビジネス運営を妨害することを目的とする場合もあります。トラフィックでネットワークを圧倒するサービス拒否攻撃は、中小企業のオンラインプレゼンスを麻痺させ、ビジネスシステムへのアクセスを妨げる可能性があります。中小企業にとって、このような攻撃による財務的損害、法的責任、評判の損害、顧客の信頼喪失は深刻なものとなり得ます。
自社での保護の始め方
中小企業の制約にもかかわらず、ますます洗練された脅威からビジネスを保護するための実践的なステップがあります。すべてのログインには多要素認証と複雑なパスフレーズを使用すべきです。定期的にソフトウェアを更新し、ファイアウォールを採用し、ネットワークをセグメント化し、Wi-Fi Protected Access 3(WPA3)を使用してワイヤレスネットワークを保護し、従業員のシステムへのアクセスを制限します。さらに、適切なトレーニングにより、従業員はフィッシングメールやその他のサイバー脅威を認識することを学ぶことができます。
また、攻撃から回復し、情報損失を制限するための自動バックアップ手順の実装をお勧めします。重要なビジネスデータは、オンサイト(迅速な復元のため)とオフサイト(施設の損傷の場合)の両方に保存し、定期的にテストする必要があります。システムが復元されると、ランサムウェアグループが潜在的なマルウェアをインストールしている場合に備えて、データは別のネットワークに配置する必要があります。
予防策を講じていても、侵害は発生する可能性があります。サイバーセキュリティインシデント対応計画を用意して、被害と回復時間を最小限に抑えるのに役立てましょう。計画には、脅威の封じ込め、ステークホルダーとのコミュニケーション、システムの復元など、侵害が発生した場合に取るべき手順を概説する必要があります。ビジネスの成長に合わせて計画を更新し、侵害が発生した場合に備えて定期的に練習してください。
専門家と協力すべき時
必要なスタッフがいない場合、サイバーセキュリティのアウトソーシングは、小規模ビジネスがコア業務に集中しながら、データとシステムを保護し続けるためのコスト効率の良い方法となります。選択できるサイバーセキュリティプロバイダーは2種類あります:
• マネージド検知・対応(MDR)プロバイダー:名前が示すように、これらのプロバイダーは積極的な脅威の検出と、それに対応するために企業と協力することに焦点を当てています。
• マネージドセキュリティサービスプロバイダー(MSSP):これらは予防的なセキュリティサービスの幅広い範囲を提供し、通常は組織のセキュリティインフラを管理します。ただし、彼らは通常、脅威に自ら対応するのではなく、社内のITチームに警告を送信して対応できるようにします。
また、サイバーセキュリティ保険の取得も検討するとよいでしょう。侵害が発生した場合、このタイプのポリシーは、データ復旧、法的費用、規制上の罰金、ビジネス損失の高いコストを軽減することができます。MDR、MSSP、および/または保険プロバイダーを選択する際は、予算、社内ITスタッフ、プロバイダーのサイバーセキュリティ成熟度、および現在の会社に対するサイバー脅威の疑いがあるか、または将来の脅威から保護したいだけかを考慮してください。
サイバーセキュリティ:中小企業運営の重要な部分
サイバー攻撃のリスクを完全に排除する方法はありませんが、経営者は自社をより攻撃しにくいターゲットにするための積極的な対策を講じることができます。優れたIT慣行、情報を持った従業員、堅実なバックアップ戦略、そして(必要に応じて)適切な専門的サポートにより、中小企業は潜在的にビジネスを終わらせる可能性のある侵害の可能性を狭めることができます。
近隣の店舗の販売時点管理システムを保護する場合でも、現代の通信を支える宇宙ベースのインフラを保護する場合でも、同じ原則があらゆるレベルで適用されます。サイバーセキュリティはもはやニッチな懸念事項ではなく、すべてのビジネスの重要な部分なのです。
