[TOPIC/22/10/25]サイバー攻撃を過去1年に受けた企業は◯社に1社もある？

今回のテーマはサイバー攻撃です。帝国データバンクの調査をもとに、中小企業でもかなりの割合で攻撃を受けているという話から入りつつ、では何をどう備えるべきかを、実際に起きた事例に沿って見ていく内容でした。Webマーケティングの話から少し外れるようでいて、信頼や業務継続を守る意味では非常に実際の現場的な回です。

中小企業でも「うちは関係ない」は危ない

まず印象的なのは、直近1年以内にサイバー攻撃を受けたと答えた企業が約4分の1あったという点です。さらに、過去には受けたことがある企業や、受けたかどうか分からない企業まで含めて考えると、かなり高い割合になります。少なくとも、中小企業だから狙われにくいという前提は持たないほうがよい、というのがこの回の出発点でした。

特に問題なのは、自社だけで完結しないことです。取引先や顧客に迷惑がかかる形になると、信頼の残高が大きく減ります。だからこそ、保険やリスクヘッジの一部として、一定のコストをかけて備えるべきだとお伝えしました。

対策はシステムと人の両輪

ただ、何かひとつのシステムを入れれば100パーセント守れるわけではありません。システム側で防げる部分はきちんと防ぎつつ、最後は人が関わるからです。そこで基本方針として示されていたのは、ツール導入や設定変更でできることは先にやる、そのうえで人に関わる部分は啓発やルールで補う、という考え方でした。

たとえばウイルス対策ソフトを入れるのは当然としても、更新が止まっていれば意味が薄れます。全員がルーチンとして更新する、外回りの人も含めて守る、スマートフォンにも必要な対策を入れる。そうした基本を崩さないことがまず重要です。

メールとフォームの被害は運用で減らせる

事例として挙がっていたのが、不正メールの大量受信や、お問い合わせフォームからの大量送信です。どちらも業務を止めるには十分な被害になり得ますが、この回では自社だけで抱え込まず、対策してくれるサーバー会社やサービスを選ぶことの重要性があります。

値段だけで選ぶと、こうした攻撃への自動遮断や通知が弱いケースがあります。多少コストがかかっても、異常な送信元を止めてくれる環境へ移すほうが、結果的に安心です。フォームについても、キャプチャのような基本的な対策を入れるだけでかなり違ってきます。

ランサムウェアで効くのは「払わない前提」とバックアップ

ランサムウェアの話では、まずお金を払わない前提で動くべきだという点が強く押さえられていました。解除鍵を買う方向へ行くのではなく、まずはネットワークから切り離し、既知のランサムウェアかどうかを調べ、復旧の可能性を探る。そうした順番です。

そして何より大切なのがバックアップでした。しかも、ネットワークにつないだままのバックアップでは一緒に暗号化される可能性があるため、外付け媒体などに定期的に保存し、普段は切り離しておく運用が勧められていました。面倒でも、それだけの価値があるという話です。

最後はルールで事故を減らす

この回では、怪しい添付ファイルやリンクを開かない、気になったら取引先に確認する、個人のメールや個人デバイスを会社業務に使わせない、といった運用面の話もかなり重視されていました。実際、知り合いを装ったメールや、営業担当の個人利用が起点になることは少なくありません。

だからこそ、もし何か起きたらどうするかという緊急時の行動計画も必要です。しかもその手順書を、感染したパソコンの中だけに置かないことまで含めて考える必要があります。派手ではありませんが、こうした地味な整備がいちばん効いてきます。

まとめ：守りは仕組みと習慣で作る

サイバー攻撃は、もう大企業だけの話ではありません。中小企業でも十分に起こり得ますし、被害が出れば自社の信頼にも直結します。大切なのは、完璧な防御を夢見ることではなく、システムで防げることを先にスムーズにし、人の動きはルールと習慣で補うことです。メール、フォーム、バックアップ、個人利用の制限。そうした基本を積み重ねることが、いちばん現実的な守りになります。