サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2023.7.28 サイバー保険

中小企業がサイバー攻撃の対象になる理由とは?対策方法も解説



近年、企業に対するサイバー攻撃は増加の一途をたどっており、企業のサイバーセキュリティ対策の重要性はますます高まっています。
特にセキュリティ対策の遅れている中小企業が狙われるサイバー事故が多発しています。
本記事では、サイバー攻撃の直近の状況と中小企業へサイバー攻撃が行われり理由と対策方法について解説します。

サイバー攻撃とは

サイバー攻撃とは、パソコンやスマートフォンなどに悪意をもって侵入する行為全般のことです。サイバー攻撃の目的は主に以下が挙げられます。

• 情報窃取
• データ破壊
• 業務妨害
• 金銭の獲得
• 情報操作

近年では、上記のようなサイバー攻撃のうち特に金銭目的のサイバー攻撃が世界的に増加しています。さらに、企業や組織のセキュリティ対策が高度化するにつれ、攻撃者の手口も巧妙化する傾向にあります。
またインターネットを利用したあらゆるサービスやソフトウェアは、いまや社会基盤の一部となっており、サイバー攻撃がもたらす被害は深刻かつ無視できない脅威となっています。
サイバー攻撃による被害件数を見てもその傾向は顕著です。

▼サイバー攻撃の脅手口事例の詳細は、以下の記事もご覧ください。
サイバー攻撃の脅威とは?目的や攻撃別の手口事例を紹介


コロナ禍によりサイバー攻撃が133%も増加

JPCERTに寄せられたコンピューターセキュリティインシデントの年間報告の推移

参照元:一般社団法人JPCERT/CCインシデント報告対応レポート/ 2022年1月1日~2021年3月31日」

一般社団法人JPCERTコーディネーションセンターの「インシデント報告対応レポート」によると、過去5年間のインシデント(サイバー事故)の件数は以下のとおりです。

<報告されたインシデント件数>
2022年度 53,921件(+6%)
2021年度 50,801件(+8%)
2020年度 46,942件(+133%)
2019年度 20,147件(+23%)
2018年度 16,398件

まず目につく2020年度が2019年度に比べて133%も増加している点は、新型コロナウイルスの流行に伴い、企業の急速なDX化とサイバー攻撃の被害急増が背景にあり、セキュリティ環境や意識が十分に整っていなかったためと考えられます。
2021・2022年度はやや鈍化してはいるものの、依然として高い水準で推移していることがわかります。
このトレンドは続くとみられており、マイクロソフト社は年間で1,000億円ものセキュリティ投資を発表するなど、サイバー攻撃への危機意識を強く表明しています。
さらに、近年は大企業を直接狙うよりも下請け企業や関連会社を狙った「サプライチェーン攻撃」も活発です。これは中小企業であっても、セキュリティ対策をおろそかにできない時代になってきていることを示しています。

サイバー攻撃対策をしていない企業は約2割

日本国内において、サイバー攻撃対策をしていない企業はどのくらいあるのでしょうか。
下記はIPA(独立行政法人情報処理推進機構)が2021年に中小企業へ行った情報セキュリティ対策調査のデータです。


参照元:IPA(独立行政法人情報処理推進機構)「2021年度中小企業における情報セキュリティ対策に関する実態調査」

調査によると2021年の直近3期で、サイバー攻撃対策をしていない企業は33.1%という結果が出ています。
サイバー攻撃対策をしていない理由は以下の通りでした。

中小企業が情報セキュリティ対策投資を行わなかった理由
1位:必要性を感じていない 40.5%
2位:コストがかかり過ぎる 22.0%
3位:費用対効果が見えない 24.9%
4位:どこからどう始めてよいかわからない 20.7%
5位:導入後の手間がかかる 6.5%
6位:その他 8.2%
7位:無回答 0.2%

参照元:IPA(独立行政法人情報処理推進機構)「2021年度中小企業における情報セキュリティ対策に関する実態調査」

中小企業においては、セキュリティに対する課題意識が低い傾向にあり、まだまだ対策が浸透しているとはいえない状況と推測ができます。
しかしサイバー攻撃はある日突然、自社の機密情報を盗んで大きな被害を出します。気づいたときには、多大な損害を出してしまうのがサイバー攻撃なのです。

なぜ中小企業が狙われやすいのか

一昔前までは、サイバーテロのターゲットは大企業がメインであり、有名企業による個人情報の流出事件は毎年のように報道され、その被害額や数億円とも言われています。
そのため大企業はサイバー攻撃が「経営に直結するリスク」であることを踏まえ、リスク管理を高めセキュリティ体制を構築なり、攻撃者が大企業を攻撃することが難しくなっています。

そこで新たなターゲットとなったのが中小企業です。
中小企業は、前述のようにまだまだセキュリティ意識が低く、しっかりと対策をしている企業は多くありません。
とくに近年では「サプライチェーン攻撃」による中小企業への攻撃が増加しています。サプライチェーン攻撃は、メインターゲットの大企業に関わる子会社や取引先を狙う手法です。セキュリティレベルの低い中小企業から侵入し、メインターゲットの大企業への踏み台にします。
このため、中小企業とはいえセキュリティ対策をおろそかにしていい時代ではなくなりました。
もし、顧客や取引先の機密情報が漏れてしまえば、取引の中止や損害賠償といった最悪のケースも起こり得るでしょう。
そうならないためにも、今からセキュリティ対策を整えることは非常に重要といえます。

▼サプライチェーン攻撃の詳細は、以下の記事もご覧ください。
なぜ中小企業が狙われる「サプライチェーン攻撃」とは?


サイバー攻撃の目的

なぜ、サイバー攻撃は行われるのでしょうか。以下は代表的な目的です。
• 情報システムの破壊・機能妨害
• 反社会的組織による恐喝
• 不正な金銭獲得
• 愉快犯
• テロリスト

情報システムの破壊・機能妨害

サイバー攻撃によって情報システムを停止、または誤作動させることで業務妨害します。代表的なサイバー攻撃としてはDDoS攻撃、ウェブサイトの改ざんなどが挙げられます。 とくに、基幹システムが破壊または感染すると、関連システムもすべてシャットダウンに追い込まれ、業務が遂行できなくなる可能性があります。自動車メーカーでは、ランサムウェアに感染した結果、世界9工場が一時的に停止するという事件もありました。

反社会的組織による恐喝

近年では、企業の機密情報や業務システム情報を窃取、人質にして恐喝するケースが増えています。代表的なのは「ランサムウェア」です。
ランサムウェアは、不正アクセスによって企業に侵入したのち、重要情報やシステムファイルを暗号化してしまうマルウェアの一種です。
暗号化したファイルを復元する代わりに多額の身代金を要求されます。また、金銭を支払わなければ企業の重要情報を公開すると脅してくることもあります。

不正な金銭獲得

個人や法人の銀行預金や暗号資産を狙う攻撃もあります。たとえば、銀行やクレジットカード会社を装ったメールを送り、誘導先の偽サイトでIDやパスワードを入力させることでログインに必要な情報を抜き取る「フィッシングメール」が有名です。
近年では、QRコード決済やICカードなどのオンライン決済の手段が飛躍的に増えたこともあり、金融サービスの個人情報を狙ったサイバー攻撃が増加中です。暗号資産を狙った手口もあり、多額の資産が仮想通貨取引所から流出したというニュースもたびたび聞かれます。

愉快犯

自分のスキルを試したくなる、または自己顕示欲を満たすため犯行に及ぶパターンもあります。
コンピューターに関する知識(ネットワークやプログラミング)を身に付けていくと、自分のスキルがどの程度のものなのかを確認したくなる人がいます。ダークウェブでは、簡単にウイルス作成ソフトなどが手に入ってしまうため、それらを使って自作ウイルスをばらまくなど迷惑行為に走ってしまうのです。

テロリスト

組織あるいは国家に対して、自分たちの主張を通すために暴力や犯罪行為で脅してくるのがテロリストです。近年では、中東のテロ組織が有名でしょう。彼らは自分たちの要求を世界に示すため、世界中で非人道的な行為をしました。
その中で、世界中のウェブサイトをハッキング、または改ざんして存在を誇示していました。日本の企業や公共団体もハッキング被害に遭っています。

中小企業が狙われるのはハッカーだけではない!身近な内部不正も注意

情報漏えいは外部からの攻撃だけとは限りません。
外部からの攻撃ではなく、従業員や委託先業者などの内部の人間から情報漏えいをしてしまうことも「サイバー事故」に含まれます。

【内部の人間によるサイバー事故例】
・業務用のノートパソコンが盗まれてしまい、機密情報が漏洩してしまった。
・業務で使用しているUSBを自宅に持ち帰り、マルウェアに感染した自宅のPCに接続してしまい、感染に気づかず会社のPCにへUSBを接続し業務サーバーも感染してしまった。
・業務委託先がランサムウェアの被害に遭い、委託していた情報が消滅してしまった。

特にテレワークなどで業務データを社外で取り扱う機会が増えており、情報漏えいのリスクを放置している企業も多く見受けられます。

そして、少しづつ増えているのが従業員の内部不正です。
従業員が働いていた企業に恨みを持ち故意に機密データを持ち出すケースや、退職した従業員が退職時に転職先へ顧客データを持ち出すケースが増えています。
「うちの会社は大丈夫」と考えず、内部の人間もデータを持ち出しにくい体制を作ることが重要です。

企業向けのサイバー攻撃の対策方法

企業向けのサイバー攻撃の対策方法は以下の通りです。
• デバイスのバージョンを最新に保つ
• 多要素認証の導入
• パスワードの使い回しを禁止する
• サイバーセキュリティの最新情報をチェック

デバイスのバージョンを最新に保つ

業務で使用しているパソコンや、スマートフォンなどのデバイス類のOSやアプリケーションを最新バージョンに保ちましょう。
OSやアプリケーションは、定期的にセキュリティバッチを配布しており、これによってぜい弱性対策をしています。そのため、アップデートをおろそかにしていると、ぜい弱性をついて攻撃されるリスクが高まります。

多要素認証の導入

企業で利用している業務アプリケーションは、多要素認証を導入するとセキュリティが高まります。多要素認証とは、ID、パスワードのほかにワンタイムパスワードや本人しか入力できないセキュリティコードを入力することでログインする方法です。
多要素認証を使うことで、悪意のある第三者がアプリケーションにログインしようとしても簡単には入れなくなります。

パスワードの使い回しを禁止する

パスワードは使い回しをせずに、外部の人間が予測困難な文字列を設定するようにしましょう。
日ごろから多くのアプリケーションを利用していると、ついつい同じパスワードを使いがちになります。しかし同じパスワードを使い回して、もし1つのアプリケーションからパスワードが漏れたら、他のアプリケーションにもログインできてしまいます。そのためパスワードの使い回しは避けることが重要です。

サイバーセキュリティの最新情報をチェック

サイバーセキュリティに関する最新情報を定期的にチェックすることも忘れないようにしましょう。
セキュリティトレンドは常に変化しており、最新の情報から適切な対策をとることが重要です。
最新情報を参照するのであれば、以下のサイトがおすすめです。
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)
トレンドマイクロ セキュリティブログ

以下の中小企業向けのセキュリティ対策もお役立てください。
IPA(独立行政法人情報処理推進機構)中小企業の情報セキュリティ対策ガイドライン
東京都産業労働局『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト

まとめ

サイバー攻撃の目的は多岐にわたりますが、企業を狙ったものはその多くが金銭狙いです。また、近年ではサイバー攻撃の対象は大企業よりも中小企業にシフトしてきています。そのため、企業規模にかかわらず、サイバー攻撃対策は必須といえます。
無防備な状態でサイバー攻撃を受けてしまうと、自社の規模ではまかないきれない損害を受ける可能性もあります。被害を最小限に抑えたいのであれば、サイバー保険への加入は有効です。ぜひ一度検討してみてはいかがでしょうか。

当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。

【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社

ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
サイバー保険を選ぶ際は、
大手保険会社の中で比較、
検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
取り扱いのある保険会社
  • 東京海上日動火災保険株式会社
  • 三井住友海上火災保険株式会社
  • 損害保険ジャパン株式会社
  • あいおいニッセイ同和損害保険株式会社
  • AIG損害保険株式会社

関連タグ

関連記事
ACCSS RANKING アクセスランキング
PICK UP ピックアップ
CATEGORY カテゴリ

運営会社について

ファーストプレイスは、
サイバー保険を扱うプロフェッショナルです

当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

運営会社について

pagetopへ