こんにちは！山崎光春です。

ナノオプト・メディアが主催する「Security Days Fall 2024」では、さくら情報システムが中堅・中小企業向けのセキュリティ対策について講演を行った。講演では、300社以上を対象にした調査結果を基に、中小企業が直面する「対策方法がわからない」や「予算が取れない」といった課題が浮き彫りになった。

さくら情報システムの竹井宏真氏は、攻撃者が大企業から脆弱な中小企業へとターゲットを移している現状を指摘した。特に、サプライチェーンを狙った攻撃が増加しており、最新のランサムウェア被害報告でも中小企業が64%を占めている。竹井氏は、中小企業はまず攻撃手法を理解し、その上で対策を講じる必要があると強調した。

講演では「サイバーキルチェーン」という概念も紹介され、攻撃者の行動を「偵察」「武器化」「配送」「攻撃実行」「インストール」「遠隔操作」「目的の実行」の7つのプロセスに分けて説明された。このフレームワークを用いることで、中小企業は自社の脆弱性を把握しやすくなる。

さらに、さくら情報システムは実際に中堅企業への攻撃を試み、その結果から得られた教訓を共有した。物理セキュリティの突破や外部公開情報からの調査などで、管理されていないドメインや脆弱なVPN機器が発見されるなど、セキュリティ対策の不備が明らかになった。

これらの実例は、経営層に対する説得材料としても機能している。最後に、竹井氏は効果的なセキュリティ対策には「技術」「物理」「組織・人」の3つの領域でバランスよく取り組むことが重要であると述べた。特に、組織や人に関する対策として「セキュリティポリシー」の策定が必要不可欠であり、経営層への説得にはビジネスリスクとの関連付けが有効であるとアドバイスした。

このように、中堅・中小企業はサイバーセキュリティ対策を進める上で多くの課題に直面しているが、具体的な事例と戦略を通じてその重要性を認識し、適切な対策を講じることが求められている。

Citations:
https://www.boxsquare.jp/blog/information-security-guidelines
https://nexus.tkym.co.jp/?p=334
https://www.murc.jp/library/report/cr_210909/