中小企業はなぜサイバー攻撃の標的になりやすいのか?
中小企業は、大企業に比べてサイバー攻撃の標的になりやすいです。その理由は、以下の通りです。
セキュリティ対策にかけるリソースが少ない
従業員のセキュリティ意識が低い
システムやネットワークが脆弱
大企業に比べてサイバー攻撃のリスクを理解していない
こちらはIPA(情報処理推進機構)がまとめた情報セキュリティ白書2023に掲載されているグラフで、中小企業で、サイバーセキュリティ対策を実行できない一番の理由は、資金面になっています。
なお、2番目、3番目については、経営者のITそもそもの知識、サイバーセキュリティの知識の問題があり、4番目にそれを聞く相手がいないということが原因のようです。
以下に、中小企業がサイバー攻撃の標的になりやすい特徴について詳しく説明します。
セキュリティ対策にかけるリソースが少ない
中小企業は、大企業に比べてセキュリティ対策にかけるリソースが少ないため、サイバー攻撃に対する脆弱性が高くなります。
例えば、セキュリティソフトの導入やセキュリティ監査などのコストがかかる場合があります。
専門知識の不足
多くの中小企業は、サイバーセキュリティの専門家を雇うことが困難で、結果としてセキュリティ対策の知識やスキルが不足する場合があります。
従業員のセキュリティ意識が低い
中小企業の従業員は、大企業に比べてセキュリティ意識が低い傾向にあります。例えば、パスワードの使い回しや不正なメールを開封するなどの行為が、サイバー攻撃のリスクを高めます。
また、経営者も内部者が不正にデータを持ち出しなどをすると想像ができず、内部攻撃者が生まれやすい状況にあると言えます。
システムやネットワークが脆弱
中小企業は、大企業に比べてシステムやネットワークが脆弱な傾向にあります。
例えば、古いソフトウェアやアップデートされていないシステムを使用している場合、サイバー攻撃のリスクが高くなります。
以下はエレコム社のルーターで脆弱性が発見され、メーカーが利用中止を勧告したITメディアさんの記事です。
この記事に気づかずに、対象機種のエレコムルーターを使っているお客さまも実際に先日いらっしゃいました。
また、以下は警視庁の注意喚起です。
こちらは警視庁がホームページにに公開した家庭用ルーターの不正利用に関する注意喚起です。
家庭用ルーターでは、設定を簡単にするため、パスワードが単純になっているものが多く、またルーターの管理画面に頻繁にアクセスすることもないと思いますので、不正利用されても気づくことができなかったりします。
警視庁は、以下の対策を推奨していますが、実際に行うのは簡単ではないでしょう。
=================================
見覚えのない設定変更がなされていないか定期的に確認する。
- 見覚えのない「VPN機能設定」や「DDNS機能設定」、「インターネット(外部)からルーターの管理画面への接続設定」の有効化がされていないか確認する。
- VPN機能設定に見覚えのないVPNアカウントが追加されていないか確認する。
- 見覚えのない設定があった場合、ルーターの初期化を行い、ファームウェアを最新に更新した上、ルーターのパスワードを複雑なものに変更する。
=================================
規模が小さいための誤認識
中小企業は自社の規模が小さいため、攻撃者のターゲットにならないと誤認識することがあります。
しかし、実際には攻撃者は中小企業を容易なターゲットと見なし、攻撃の対象としています。
大企業に比べてサイバー攻撃のリスクを理解していない
中小企業は、大企業に比べてサイバー攻撃のリスクを理解していない傾向にあります。
例えば、サイバー攻撃の種類や手口、対策方法などを知らない場合、サイバー攻撃の被害に遭う可能性が高くなります。
中小企業は、これらの特徴を理解し、サイバー攻撃対策を実施することで、サイバー攻撃のリスクを低減することができます。
