2023年11月1日 【情報セキュリティ対策】シンガポールで中小企業がすぐにできるセキュリティ対策入門!
シンガポールで日系の中小企業の経営者さんでこんなお悩みないですか?
✅会社のITセキュリティに不安があります。
✅知り合いの企業がサイバー攻撃を受けたらしい。ウチは大丈夫だろうか?
✅取引先のお客さんから情報セキュリティレベルの強化をもとめられたが、どこから手を付けていいのかわからない。
これは、カワテックのお客様から寄せられた悩み事です、今回はそんなお悩みを持つ経営者の方へ向けてシンガポールで中小企業がローコストですぐにできるセキュリティ対策をご紹介いたします。
今回は最低限おさえておきたい中小企業のセキュリティ対策になりますので是非ご参考に頂ければと思います。
2023年に企業で発生した情報セキュリティの主な被害と対策の上位5位
IPA(情報処理推進機構)が公開した「情報セキュリティ大脅威 2023」によると、2023年に発生した「社会的に影響が大きい」と判断した企業部門の上位5位は次の通りです。
ランサムウェア、サプライチェーン攻撃といった常連脅威が今年もランクインしています。これらの攻撃は、添付ファイル付きメールやなりすましメールによる古典的な方法ですが、依然として多くの被害情報が報道されています。
順位 | 攻撃の種類 | 主な被害 | 主な対策 |
---|---|---|---|
1位 | ランサムウェア | インターネットやメール経由でウィルスに感染させてデータを暗号化し、身代金を要求 | •社員教育の徹底 •セキュリティ製品の導入 •データバックアップ対策 |
2位 | サプライチェーン攻撃 | セキュリティ対策に隙のある取引先や委託先を狙い機密情報を盗み取る | •取引先や委託先を含む情報管理の徹底 •取引先や委託先の選定 |
3位 | 標的型攻撃 | メールやフィッシングサイトを通じてウィルスに感染させ機密情報を盗み取る | •社員教育の徹底
•サーバへのアクセス制御 |
4位 | 内部不正 | USBメモリ、スマートフォンのカメラ機能などを悪用しデータを持ち出す | •機密情報の保護・管理 •システム操作履歴の監視 |
5位 | テレワーク攻撃 | 社外のネットワークやWeb会議システムなどの脆弱性を利用し侵入 | •自宅ルーター等のセキュリティ強化 •ソフトウェアを最新版へ更新 |
あなたの企業も他人事ではない実際の事故事例
情報セキュリティ対策を怠ることで企業が被る不利益とは?ここでは実際の被害の事例を紹介いたします。
≪事例①≫ ランサムウェアに感染した一例:
社内で管理するファイルサーバがVPNを通じてにランサムウェアに感染し、ファイルサーバ が暗号化される被害が発生。社内の情報システムが使用できなくなり、1カ月の時間を費やして業務を復旧させたが、取引先への見積もり対応などが遅れたことにより顧客からの信頼関係が喪失してしまった。
≪事例②≫ ビジネスメール詐欺の一例:
社内の営業担当者のメールアカウントがハッカーに乗っ取られ、その営業担当者がやり取りしている顧客向けの請求書に関するメール内容が盗聴された、盗聴された後に営業担当者がやり取りしている請求メールになりすまし、支払い側に偽の振り込み口座を伝え、金銭を振り振り込ませ、顧客に多額の金銭の損失が発生した、その後に顧客からの信頼喪失につながってしまった。
上記のように情報セキュリティの事故を起こすことにより、顧客何よりや取引先との信頼を喪失することで、取引先が離反し業績悪化する可能性も起こりえます。このようなセキュリティ事故は情報セキュリティ対策を経営者が軽視したことによるところが大きいと考えられます、やはり情報セキュリティ対策は中小企業の経営者がトップダウンで取り組む必要があります。
シンガポールで中小企業が最低限やっておくべきセキュリティ対策7項目
シンガポールの社内にITの担当者もいない日系中小企業が、最低限おさえておきたい、必ずやって頂きたい7項目のセキュリティ対策をご案内しますので、できるところから始めてみましょう。
①OSやソフトウェアは常に最新の状態にする
OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。
悪意のある第3者は、ほとんどの場合で既に世間にしられたセキュリティの穴をついてきます。
なのでWindows7やInternet Explore、古いバージョンのAdobe Readerなどはサポートが終了しているで、絶対使わないようにしよう。
※インストール済みのソフトのバージョンか最新かどうかをチェックするツール「MyJVNバージョンチェッカ」で確認できます。MyJVNバージョンチェッカのサイト⇒https://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html
②統合型のセキュリティ対策ソフトを導入する
ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するラインサムウェアなどのウイルスが増えています。統合型のセキュリティ対策ソフト(リアルタイム検索、スケジュールスキャンなどが搭載された多機能なセキュリティ対策ソフト)の導入をしてウイルス定義ファイルは必ず自動で最新の状態にしておくことが重要です。今どきのセキュリティ対策ソフトは「クラウド管理」ができるようになっており、インターネットに繋がっていればいつでもどこからでもデバイスの状態を確認することができます。これにより、ライセンス更新やトラブル対応による管理費用を抑えてセキュリティ対策を行うことができ、ITの担当者がいない場合でも手間なくセキュリティ対策を行うことができるようになっています。
③2段階認証を導入する
パスワードは長く複雑なものを設定します。可能な限り長めで、さらに、英字(大文字、小文字)数字、記号を複雑に組み合わせることをお勧めします。家族の名前や生年月日、電話番号などは避けてください。最近ですとセキュリティ強化のため「2段階認証」が使えるサービスも増えてきています、2段階認証とは、ウェブサービスなどにログインするときに ID とパスワードの入力以外に、スマホアプリやセキュリティ コードでの追加認証を行い、本人確認することでセキュリティを強化する仕組みですので、まだ設定していない場合は必ず2段階認証を設定しましょう。
④ファイル共有設定の見直し
ファイル共有サービスやクラウドストレージサービスのファイルにアクセス権限のある人だけに、適切にアクセス権が付与されていることを確認し、もし本来アクセスしてはいけない人がアクセスできるようになっていれば、アクセス権の変更や共有設定の見直しを早急に行いましょう。
下記は具体的な対応項目となります。
•ファイルサーバやNASのフォルダの共有設定のアクセス権の見直し。
•クラウドのファイル共有サービスの設定の見直し。
•スタッフ毎にユーザーIDを作成して管理する。
•Active Directory(AD) やAzure ADの構築を行いユーザー認証設定をする。
•スタッフ退職時や異動時に設定の変更漏れがないようにチェックリストを作成する。
⑤データのバックアップ
会社の大切なデータはどこに保存していますか?「パソコンの中だけ」「サーバの中だけ」では、非常に危険です。そこにウィルス感染したり、もしストレージ機械が壊れたりしたらデータが消失してしまいます。最近は、「クラウドバックアップ」がトレンドになっております、「クラウドバックアップ」とは、クラウド上にデータを複製・保管してバックアップデータの取得および世代管理をおこなうことです。クラウドバックアップを活用することで、万が一PCやサーバー上のオリジナルデータが破損した場合でも、クラウドサーバーから簡単にデータを復旧することができます。
⑥セキュリティレベルの高いメールサービスへの変更
古いメールシステムの場合、メールのデータがパソコン端末内にしか保存されず、パソコンがウイルス感染や故障をした際には全てのメールデータが失われてしまうことがあります。Microsoft 365 Exchange Onlineなどのクラウドメールサービスを利用すると、メールデータがクラウド上に自動で保存されるため手間なくバックアップを取ることができます。Microsoft 365 Exchange Onlineには標準でマルウェアおよび迷惑メール対策フィルタリング機能を搭載したセキュリティレベルの高いメールサービスとなっています。ウィルス被害や情報漏洩は、メールによる被害が非常に多いので、メールを対策すると非常に効果的です。
⑦UTM(セキュリティ機能付きのルーター)の導入
UTMは「セキュリティ機能付きのルーター」のことです。インターネットに接続するためにはルーターという箱型の機器が必要になりますが、これをセキュリティ機能付きのものにすることでインターネットの出入り口を守ることができます。最近のサイバー攻撃は、メールやホームページなどを利用したインターネットからの侵入が多くみられます。また、ウィルスが社内に入ってしまうと、社外とやり取りした際にウィルスをばらまいてしまう危険性がありますが、それを防ぐことも可能です。加えて、サイバー攻撃されていないか、業務に不必要な活動がないかなどを監視することもできます。UTMを導入した企業の中では、業務に関係ないサイトや動画サイトの履歴、が見つかったという事例もあります。
まとめ
セキュリティ対策のシステムを導入する際には、ひとつの防御で全ては賄えないので、「多層防御」という考え方が大切になります、できるところから1つ1つ導入していきましょう。セキュリティ対策は単なるコストではなく、チャンスでもあります。適切なセキュリティ対策を取ることで取引先からの信頼度が向上し、他社との差別化や社員の安心感にもつながります。
「シンガポールで中小企業がすぐにできるセキュリティ対策」に関してご質問等なんでもお気軽にお問い合わせくださいませ。日本人スタッフが対応させていただきます。
(お問い合わせ先はページ下部に御座います)