浅間商事代表の柳沢です。
犯罪者とのいたちごっこが続くサイバーセキュリティ。会社を守るために対策が必要とはいえ、過剰な投資は避けたいものです。
そこで今回のテーマは2025年3月現在における、中小企業が最低限おさえておきたいサイバーセキュリティ対策についてです。
毎年約3,000事業所の中小企業をサポートしている浅間商事ならではの目線で、中小企業向けの情報に絞って解説します。
サイバーセキュリティ対策の目的
本当に必要な対策を選ぶためにも、まずは目的を再確認しましょう。
大きくこの3つがあげられます。
- 事業を止めない
- お金を守る
- 情報漏えいを防ぐ(顧客や社内)
リスクを0にすることはできませんので、これらについてリスクが許容範囲内であるかどうか確認することが大切です。
身近に潜むサイバー犯罪の入口
日々手法が複雑化・多様化しているサイバー犯罪ですが、被害を受けてしまうきっかけは身近なところにありますのでいくつかご紹介します。
VPN接続・リモート接続・テレワーク
コロナ禍を機にテレワークなど会社外で仕事をする機会が増えました。
社外から会社のデータへアクセスする際はVPN接続が主流ですが、VPN接続のための機器やソフトが最新バージョンにアップデートされていないためにセキュリティが弱まり、攻撃をうけてしまう被害が増えています。
AIの悪用による偽(なりすまし)メール
なりすましメールによりクレジットカード情報や各種IDパスワードを盗まれる被害が増えています。仕事以外の場面で被害を受けた方も多いかもしれません。
AIの進化にともない、メールの文面やホームページが本物なのか、偽物なのか見分けるのが非常に難しくなっています。
以前は不自然な日本語でなりすましに気が付けることもありましたが、現在はAI翻訳で言語の壁も突破。世界中の犯罪者が日本を攻撃しています。
クラウドサービス
GmailやYahoo!メールなどのクラウドメールをはじめとして、クラウドサービスを仕事で使わない日はない時代です。
ただし、セキュリティ対策が不十分なクラウドサービスの場合、IDとパスワードを入力するだけで簡単に乗っ取られてしまいます。多くの場合、ID=メールアドレスなので入手するのは簡単です。
パスワードも近年推奨されている、辞書に載っていない言葉・10文字以上・複数サービスで使いまわしをしないなどの条件を満たしているものを使う人が少ないのが実情です。
▶参考情報:チョコっとプラスパスワード|IPA 独立行政法人 情報処理推進機構
Wi-Fi
中小企業でもノートパソコンや社有スマホが普及し、Wi-Fiを設置する企業が増えました。しかし、家庭用の機器で初期設定のID・パスワードのままにしているケースもがあります。
IDの初期設定は「admin」となっていることが多いので、6~8文字英数のパスワードだけを破るのにはそれほど時間も手間もかかりません。
▶参考情報:サイバー犯罪者がパスワードを解析するのにかかる時間とは | Keeper Security APAC株式会社
中小企業に最低限必要なセキュリティ対策
ここまで整理した情報をふまえて、2025年3月時点で最低限必要な対策をまとめました。
<運用編>
- WindowsとOfficeのアップデート
- VPN機器とソフトのアップデート
- ID・パスワードの強化と多要素認証(MFA)
<機器・ソフト編>
- ウイルス対策ソフト
- UTM
- メールとウェブサイトの防御(フィルタリング)
- データのバックアップ
意外にも運用編が多いのがポイントです。
どんなにセキュリティ対策用の機器やソフトを購入し続けても、アップデートがされていなければ犯罪者が利用する穴が開いたままです。
購入先の業者に任せておけば大丈夫…と思っていたら、業者のサポートが不十分で実施していなかったという場合もあります。最新のバージョンにアップデートされているか、定期的に確認することをおすすめします。
具体的な対策手順と注意点
運用編1:WindowsとOfficeのアップデート
アップデート状況を確認して、常に最新バージョンを保つようにしましょう。
Windows
多くのウイルス対策ソフトにアップデート状況を一覧で確認できる機能が導入されています。
Office
Microsoft 365 の管理画面から一覧で状況を確認できます。
運用編2:VPN機能とソフトのアップデート
警察庁の調査によると、ここがもっとも狙われています。
VPNとはインターネット上に仮想的な専用回線を作って離れた場所同士でも安全に通信できるようにする機能ですが、毎月のように脆弱性が見つかっています。ソフトとともに最新バージョンへのアップデートをこまめに行うことがおすすめです。
VPN機能
VPNルーターかUTMのVPN機能を使っていることが多いです。どちらもファームウェアを最新にアップデートしましょう。
VPNソフト
上記の機能を使っていない場合には、リモート接続ソフト・リモートデスクトップソフト・遠隔操作ソフト等と呼ばれるVPN接続ができるソフトが使われています。こちらのソフトも常に最新バージョンにアップデートが必要です。
運用編3:ID・パスワードの強化と多要素認証(MFA)
IDパスワードの強化
「推測されやすいものを避ける・10文字以上・使いまわしをしない」など、まずは社内ルールを決めて周知しましょう。さらに徹底するのであればパスワード管理ツールを使う方法もあります。
多要素認証(MFA)
多要素認証とは、ID・パスワードなどの「知識情報」、PCやスマートフォンの認証コードなどの「所持情報」、指紋や声紋などの「生体情報」の3要素から2つ以上の要素を使用して認証する方法です。
例えばMicrosoft 365 でも多要素認証を設定することができます。他のサービスでも設定できる場合はできるだけ使うようにしましょう。
ここまではほとんどお金をかけずにできる対策です。
機器・ソフト編1:ウイルス対策ソフト
ウイルス対策ソフトは導入するだけでなく、最新版にアップデートされているか定期的に確認しましょう。
特に日常的にパソコンをシャットダウン・再起動する習慣がない方はアップデートが実施されていないことが多いので要注意です。
機器・ソフト編2:UTM
インターネットの門番、出入口対策に最適です。VPNルーターをセキュリティ強化するためにUTMに変更する事例が多いです。
UTMについてはこちらの記事で詳しく解説しています。
▶(初心者向け)「UTM」って何? ~UTM解説から導入まで
機器・ソフト編3:メールとウェブサイトの防御(フィルタリング)
メールサーバー、ウイルス対策ソフト、UTMなどを用いて防御できます。
浅間商事はこの3重の防御を実施しているおかげで迷惑メールや犯罪メールは各人月に1通あるかないかの状態まで減少しています。
機器・ソフト編4:データのバックアップ
うっかりミスや機器の故障など、様々な理由でデータは消えます。
データのバックアップを取ることはもちろん必須ですが、バックアップデータから「復旧」ができる状態であることも定期的に確認しましょう。
実際、大丈夫だと思っていたのにバックアップがとれていなかった、またはバックアップは取れていたけれど復旧ができなかったという事例も多くあります。
おわりに
中小企業においてはセキュリティ対策に詳しい人材が不足しているのが現状です。
社内で手が足りない時にはセキュリティ対策のノウハウを持った外部の業者に相談してみることをおすすめします。
浅間商事では無料セキュリティ診断をはじめとしたセキュリティ対策の初めの一歩から、導入後の運用までサポートしています。お気軽にご相談ください。
お電話でのお問合せ:0120-830-414(あさま よいよ)
お問合せフォームはこちら
代表取締役社長 柳沢 太一
