二進コードの描かれた青緑色の背景に、赤い壊れたロックと安全な青いロックの 2D イラスト

中小企業がセキュリティ上の欠点を補う方法

#KingstonCognate が Sally Eaves 教授を招待

Sally Eaves 教授の写真

Sally Eaves 教授は、Cyber Trust の主事を務め、サイバー調査と研究の国際機構(Global Foundation of Cyber Studies and Research)のシニアポリシーアドバイザーです。「倫理重視テクノロジーの先駆者」として知られ、国連の先端技術と社会的インパクトアワード(Frontier Technology and Social Impact Award)の第一回受賞者です。最高技術責任者(CTO)としての豊富な経験を活かし、現在は先進技術分野の教授と、新興技術分野のグローバル戦略アドバイザーを務めています。教授は、デジタル変革(AI、5G、クラウド、ブロックチェーン、サイバーセキュリティ、統制、IoT、データサイエンス)の他に文化、スキル、DEI、持続可能性、社会的インパクトなどに関して著作、司会、基調講演、ソートリーダーシップなどの活動を行い、受賞しています。

教授は次世代の才能ある技術者を積極的に支援するため、教育やメンター活動などを行っており、インクルージョン、ダイバーシティ、教育と技術の公平性などを促進するために Aspirational Futures 社を設立しました。「Tech For Good」(倫理的なテクノロジー)に関する最新の著作をまもなく発行予定です。教授は技術分野で世界的に影響力がある人物として、Onalytica などの一流の団体によって常に高く評価されており、AI や 5G から持続可能性まで、多くの分野で世界的権威のトップ 10 に名を連ねています。

中小企業のサイバー脅威の状況

中小企業(SME)は、国内外の経済の安定と成長に大きな役割を果たしています。約4億社の中小企業がグローバル経済を支え、雇用創出の主要な源泉となっています。中小企業は全企業の 95% を占め、雇用の 60%~70% を賄っています。

したがって、現在のようにオムニチャネルの普及したデジタル世界で、中小企業がすべての機会を妥当な価格で利用でき、一方で強固なサイバーセキュリティも維持できることが、経済とセキュリティの両面で重要です。

また、今は大きな変化の時期でもあります。多くの中小企業が、世界規模のパンデミックに対応しつつ、リモートワークやハイブリッドワークに移行しながら、事業活動やビジネスモデルを維持、転換、多様化するために、新しいデジタル戦略や技術に迅速に適応する必要があります。しかしこれによって、サイバーリスクも増加します。

現状の厳しさを述べると、サイバー攻撃は 39 秒ごとに発生しており、一日あたり平均 2,244 件に達しています(Varoni 社の2020年調査)。中小企業のサイバー攻撃に対する脆弱性は毎年 400% 以上悪化しています。一方で、防衛策は逆に緊縮され、効率的な管理のためのリソースや予備費が削減されています。この記事では、悪化を続けるサイバーセキュリティの脅威への対策を変更し、将来に備えることの大切さを啓蒙するために、中小企業にとっての脅威の最新状況と、それが深刻である理由、および現在直面している主な課題について手短に説明します。

「犯罪者やハッカー、およびグローバル経済全体にとって中小企業のデータは価値が低いという誤った認識を改め、中小企業は今こそ重要なリスクに対して投資、教育、調査、意識向上を行うべきです。」Sally Eaves 教授

中小企業のリスクの増大重要な理由

フードをかぶってキーボードを叩くコンピュータハッカーのシルエットと、その前に浮かぶ数字と、背景の二進データと世界地図

業務の中断や財務上の損失など、サイバー攻撃による被害額やサイバー攻撃に対する防御力の欠如による損害額は、企業規模に比例するという大きな誤解があります。この文脈に沿って最近イギリスで実施された調査(Vodafone Business 社の2021年調査)では、サイバー攻撃が成功した際の平均被害額は £3,230 で、イギリスの中小企業の4分の1弱が倒産し、16% 以上で人員削減が必要になりました。これは他のグローバル研究とも一致しています。リスクはこれにとどまらず、企業が最初の攻撃を生き延びた後も、企業イメージ低下、消費者離れ、エコシステムの信用低下などの悪影響はさらに長期間続きます。消費者の約 81% が、データ漏洩後はそのブランドとオンラインでやり取りするのは止めると答えています。

さらに、もうひとつの誤解の問題に関して、中小企業はさまざまなサプライヤやパートナーと協業しているため、そのデータは大企業のデータと同様に価値があり、他の企業や組織への侵入口になる恐れがあります。サイバー攻撃によってサプライチェーン内のリンクに侵入された場合、チェーン内の他の企業も攻撃されやすくなります。その中には、大企業も含まれることがあります。中小企業のデータは容易に盗まれる傾向があります。さらに、今やハッカー達は共通の金銭目的の下に組織化して行動するようになっており、このセクターを狙ったサイバー攻撃は回数が増加しているだけでなく、巧妙化し、着実に悪質化しています。

中小企業にとっての脅威の状況の悪化

新たに実施された調査によって、大企業と比較した際の中小企業の脅威の大きさが明らかになりました。2019~2020 年には、全企業でサイバー攻撃が 46% 繰り返されており、中小企業ではなんと 65% となっています。(Towergate 社の調査)。侵入された中小企業は、期間中に平均6回攻撃されています。2か月に1回という驚くべき数字です(NatWest 社の調査)。

では、中小企業が直面している主な脅威の戦術はどのようなものでしょうか?

サプライチェーンのエコシステムでは、外部からの主な攻撃方法として、フィッシングとソーシャルエンジニアリングが真っ先に思い浮かびます。これと併せて、攻撃対象となる社内の脆弱性には、リスク評価の不足や、アクセス管理、データ保護、デバイス保護およびパスワード保護の不徹底や、投資不足、研修や啓蒙の不足、正しいセキュリティ習慣やスキルの不徹底などがあり、攻撃対象領域を大きく拡大する恐れがあります。

メール開封のシンボルと、文字を突き刺す釣り針

フィッシングとソーシャルエンジニアリング
サイバー攻撃の 85% はフィッシング行為によるもので、多くの場合、メールのやり取りを通じてユーザーを騙し、マルウェアのダウンロードなどの「間違った行動」に誘います。フィッシングはますます巧妙化しています。最近のテストでは、人工知能(AI)のほうが、より説得力のあるフィッシングメールを記述できることが発見されました。ソーシャルエンジニアリングは、よくフィッシングと関連付けられ、なりすまし、説得、脅迫などによって人々を操り、特定の行動や機密情報の開示をさせる手段のことを指します。コロナ禍を例に挙げると、サイバー犯罪者は社会全体の脆弱性を悪用し、件名にコロナを入れたフィッシングメール、テキスト、WhatsApp メッセージなどを使用したり、世界保健機関(WHO)からと称するファイルを添付したりして、アカウントに侵入しようとします。1988 年に「モリスワーム」と呼ばれるサイバー攻撃が初めて記録されたときのことを考えると、このタイプのサイバー脅威は非常に大きく変化しています。6,000 台のコンピュータに悪影響がありました。これは当時のインターネット全体の約 10% に相当します。時代は変化しました。

サプライチェーン
ほとんどの侵入はハードウェアソースではなくソフトウェアからで、サイバー犯罪にとって好都合な攻撃の手口になっています。たとえば、定期ソフトウェアアップデートにマルウェアが潜んでいる場合などです。中小企業を狙った攻撃は、中小企業自体のサプライチェーンを経由します。さらに、中小企業に侵入してから大企業に到達することもよくあります。オープンソースソフトウェアのライブラリは、サプライチェーンが抱えるもう一つの脆弱性です。今後、2025 年までに IoT 接続が2倍以上の 750 億台のデバイスへ普及し、それによって新しいサイバーリスクが生まれます。低価格のハードウェアがネットワークに接続され、そこに内蔵されているデバイスの多くが攻撃に対して脆弱です。先進的な IT/OT コンバージェンスとサプライチェーンエコシステムの観点からこれを考えると、脅威の範囲拡大が中心課題になります。

中小企業のサイバーリスクのバリア

ここで、中小企業がサイバーリスクに積極的に対応するために、最新の防衛策を採用しない主な原因は何かという根本的な疑問が生じます。まず、リスクの認識と実際の対策には明らかに差があります。たとえば最近の調査によると、中小企業の 93% はサイバーセキュリティが事業継続のために不可欠と考えていますが、実際にサイバーセキュリティソリューションを使用しているのはわずか 64% です。さらに、ヨーロッパで実施された調査でも認識と現実の差が見られました。たとえば多くの中小企業は、購入した IT 製品がサイバーセキュリティ対策機能を内蔵しているので、コンプライアンス要件や規制で義務付けられていない限り、追加のセキュリティ対策は不要だと誤解していました(enisa 社の2021年調査)。

もうひとつ、資金能力の課題もあります。Statista 社の調査(2020年)では、サイバーセキュリティへの投資は平均 £5,100 に達しており、中小企業が十分な出費を行っていると安心できそうな結果となりました。しかし、零細および小企業のみの値では、平均は £3,490 にまで縮小します。これと比較して大企業では、当然対応が進んでいるか、少なくとも多くのリソースを持っているため、平均投資額は £277,000 と高く、大きな差があります。この差は、犯罪者が悪用する上で好都合です。

対策が進まない原因には他に、「サイバー文化」の発展不足や、複雑すぎるという意識、クラウドセキュリティへの懸念と誤解、中小企業が実際に利用できる技術とサポートに関する全体的な認識不足などがあります。驚くべきことに最近のアンケート調査で回答者の 54% が、自分の会社ではデータセキュリティやサイバーセキュリティ脅威に関する研修を実施していないと回答しました(Vodafone Business 社の2021年調査)。

サイバーリスクの軽減

ノートパソコンに挿入された Kingston DataTraveler Vault Privacy 3.0 と、背景の二進コードと、ロックとパスワードのシンボル

企業の大小を問わず、サイバーセキュリティはすべての人にとって当然最優先の課題です。脅威は絶え間なく増大し広がり続けているため、システムが攻撃に対して「ドアを開け放した状態」でないように図ることが、非常に重要になっています。これには、人員、プロセス、システム、ネットワーク、技術などを慎重に配置する必要があり、それには責任感の共有、行動の変化に見合う文化と価値観の変化、技術変革を成功させる基本条件である協力的な態度などが含まれます。中小企業への侵入でもっとも多いのは、フィッシングやソーシャルエンジニアリングなど人間性につけこんだ戦術であるため、このような対策を戦略的に実現し推進する上で教育が重要です。この分野の危険についてよく認識するほど、サイバーセキュリティの堅牢性が向上します。

今日からできる最初のステップとして、データ損失防止に重点的に取り組み、従業員がローカルに保持しているデータに注目することが大切です。この場合、暗号化 USB が非常に効果的で、可能な限り安全に機密データの保管や移動ができます。

Kingston Technology には長年の実績があり、暗号化 USB ドライブの分野で非常に信用されており、ビジネスニーズの利点や方向性に合わせたカスタムサポートを提供できます。また、Kingston Technology の優れた「Ask an Expert(エキスパートに照会)」チームは、お客様の特定のストレージ環境やニーズに合わせて、利点についてアドバイスをご提供できます。

最後に、この記事の補足情報として、技術、プロセス、人によるアプローチでサイバーセキュリティに対する姿勢を改善するために中小企業が実行できる 12 のヒントについて、詳しく説明する記事をまもなく掲載する予定です。

#KingstonIsWithYou

回路基板のチップセット上にある Kingston の Ask an Expert (専門家に照会)アイコン

専門家に照会する

正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。

専門家に照会する

関連記事