小規模企業へのサイバー攻撃：
現状とその防御方法

小規模企業のオーナーがインフレや経済の不確実性といった問題に対処する中で、ビジネスを壊滅させる可能性を秘めた別の重要な課題、すなわちサイバー攻撃は見落とされがちです。

「2023 Internet Crime Report」のデータ（FBIのIC3 (Internet Crime Complaint Center) が公表した最新の数字）によると、米国内だけでサイバー攻撃の苦情件数は合計880,418件に達し、前年比で10％増加したことが明らかになりました。

残念ながら、懸念されるのはその件数だけではありません。報告された攻撃による推定損失額は125億米ドルを超え、前年比で22%以上増加していることもこのデータに示されています。

企業のオーナーや役員は日々の運営や長期的な成長計画を優先するかもしれませんが、近年SMBに対する攻撃の発生可能性と重大度の両方が高まっていることを考えると、サイバーセキュリティを議題に盛り込むことも重要です。

小規模企業が危険にさらされている理由

多くの小規模企業のオーナーにとって最大のリスク要因は、自分が直面しているリスクを認識していないことである可能性があります。

ここ数年において、サイバー攻撃に対する認識と懸念は高まっています。MetLifeおよび全米商工会議所による「Small Business Index for Q1 2024」の最新データでは、小規模企業の60%がサイバー脅威を経営上の最大の懸念事項であると回答しています。とはいえ、依然として多くの小規模企業がサイバー脅威を最優先の懸念事項として捉えていません。その理由は、脅威そのものを認識していないか、攻撃を自力で解決できると考えているためです。 

まさにこのような誤った安心感と自信を、サイバー犯罪者が悪用するようになっています。リスクを認識していない企業は、自らを守るために必要な対策を講じません。だからこそ、SMBはサイバー攻撃の犠牲になるリスクが特に高いのです。

サイバー犯罪者にはもっと大きな標的があるはず

長年、多くのSMBは、自社が比較的目立たない存在であるという理由から、誤った安心感を抱き続けてきました。結局のところ、なぜハッカーは、大病院のネットワークに同じくらい簡単に侵入できるのに、小規模な地方の診療所を標的にするのでしょうか。

今のところその答えは、大規模で目立つ標的を仕留めることが実際にははるかに困難になっているということです。近年、大企業やエンタープライズ組織がセキュリティツールやシステムへの投資を強化し、攻撃に対する防御を強固にしたため、ハッカーは別の標的、つまりSMB市場に目を向けるようになりました。

多くの小規模企業は、依然として、自社が攻撃者の標的になるほど大きくなく、注目もされていないという思い込みに陥っていることがあります。しかし実際には、多くがビジネスを守るための高度なツールを持っていないものの、ハッカーが狙っているもの、つまりデータは持っているため、格好の標的になっているのです。

SMBが認識する必要があるのは、サイバー攻撃が通常、ハッカーにとって個人的に関心のあることではなく、多くの場合、中小企業と大企業を区別して盗むわけではないことです。結局のところ、ハッカーが狙っているのは、支払い詳細、個人データ、医療情報など、ダークウェブで販売できたり、より巧妙な攻撃を進めるために使用できたりするあらゆるデータです。

多くの小規模組織はリスクを認識していないため、すべての取引に暗号化を使用する、または安全なデータベースにファイルをバックアップするなど、アセットや業務を保護するための重要な措置を講じていない可能性があります。これにより、サイバー犯罪者は、攻撃計画を実行して、いったん攻撃が始まれば最大限の混乱をもたらすことが簡単になります。

さらに、小規模企業に対する攻撃の多くは全国的または世界的な注目を集めることがなく、場合によっては関連機関や顧客への即時報告を義務付けられていないこともあります。そのため、非常に多くの攻撃が、比喩的に言えばレーダーの下を飛び交う形で見過ごされ、ハッカーは同じ手口を別の企業に対しても検知されることなく繰り返し使用できてしまいます。

最もリスクの高い小規模企業はどこか

端的に言えば、あらゆる企業がサイバー攻撃の標的になり得ます。顧客データ、IP（知的財産）、従業員データ、その他の機密情報など、データを保有する組織はすべて、ハッカーにとって潜在的に魅力的な標的です。

急成長中の小規模組織は、特に高いリスクにさらされています。急速な成長期にはセキュリティの維持や強化が困難になる場合があるためです。さらに、組織の従業員や顧客が増え、ビジネスに対応するためのネットワークとデジタルフットプリントが拡大するにつれて、企業のリスクプロファイルも同時に増大します。

結局のところ、最もリスクが高いのは、規模もセクターも関係なく、自らを守るために必要な措置を講じていない組織だということです。幸いなことに、SMBには防御力を強化する機会があります。今日の市場では、評判が高く知識豊富なサイバーセキュリティベンダーの多くが、SMBのニーズや予算に合わせて製品パッケージと価格モデルを調整しています。

NGAV（次世代アンチウイルス）やEDR（エンドポイント検知・対応）などの高度なソリューションを含む、包括的かつ高度なツールセットを導入することは、ビジネス、そのアセット、および顧客を保護する上で大いに役立ちます。さらに、修復および復旧サービスを使用できることで、攻撃の継続期間や被害の範囲を大幅に縮小できます。これにより、SMBは、本来最も得意とすること、つまり顧客へのサービス提供に早く戻ることができます。

最も一般的な攻撃は何か

サイバー犯罪者はさまざまな攻撃手法や方式を駆使しますが、最も一般的な攻撃には次のようなものがあります。

マルウェア

マルウェア（悪意のあるソフトウェア）は、コンピューター、ネットワーク、サーバーに害を与える狙いで作成されたすべてのプログラムやコードです。マルウェア攻撃において、ハッカーはフィッシング手法を使用して、従業員や顧客などのユーザーに対し、アカウント認証情報などの機密情報を渡すよう促すことがあります。これらの情報が、攻撃の進展や新たな攻撃の開始に使用される可能性があります。

ランサムウェア

ランサムウェアは、正当なユーザーがシステムにアクセスできないようにし、アクセスを回復するための支払い、つまり身代金を求めるマルウェアの一種です。システムが感染すると、ハッカーはデバイスやシステムへのユーザーアクセスをブロックするか、ファイルを暗号化して、オーナーが実質的に使えない状態にします。

フィッシング

フィッシングは、Eメール、SMS、電話、ソーシャルメディアを使用して被害者を誘い、パスワードやアカウント番号などの機密情報を共有したり、コンピューターや電話にマルウェアをインストールする悪意のあるファイルをダウンロードさせたりするサイバー攻撃の一種です。

中間者 (MitM) 攻撃

中間者 (MITM) 攻撃は、悪意のあるアクターがネットワークユーザーとWebアプリケーション間の会話を盗聴するサイバー攻撃の一種です。MITM攻撃の目的は、個人データ、パスワード、銀行の詳細情報などの情報を密かに収集すること、または一方の当事者になりすまして追加情報を要求したり、アクションを促したりすることです。

サービス拒否 (DoS) 攻撃

サービス拒否 (DoS) 攻撃は、事業運営を混乱させるためにネットワークを偽のリクエストで氾濫させる悪意のある標的型攻撃です。DoS攻撃を受けると、ユーザーは侵害されたコンピューターやネットワークによって操作されているEメール、Webサイト、オンラインアカウント、その他のリソースへのアクセスなど、日常的で必要なタスクを実行できなくなります。

サイバー攻撃のコスト

現在のサイバー攻撃の増加率が続けば、このような攻撃による被害額は2028年までに13兆8,200億ドルに達すると推定されています。

サイバー攻撃の被害者が被る損失や損害には、さまざまな形があります。身代金の支払いや攻撃からの修復のためにサイバーセキュリティ企業を採用するなどの直接的なコストは比較的算出が簡単である一方、評判の毀損などのコストは見積もりがはるかに困難です。

それでも、SMBがサイバーセキュリティ対策の選択肢を検討する際には、サービスやツールのコストだけでなく、何もしないことによる潜在的なコストも考慮することが重要です。多くの場合、侵害やその他の攻撃の対象となった場合、評判の良いサイバーセキュリティベンダーのサービスを確保するコストを容易に超えてしまう可能性があります。

サイバー攻撃のコストの見積もり

サイバー攻撃の正確なコストは攻撃の種類やその期間によって異なりますが、多くの攻撃はビジネスに対して直接的コストと間接的コストの両方をもたらします。以下に、侵害に関連する最も一般的な費用のいくつかをまとめます。

身代金：ランサムウェア攻撃がより一般的になるにつれ、侵害に関連する最も顕著なコストの1つは、システムへのアクセスを復元するために身代金の支払いが必要になることです。要求額は、SMBであっても数百万ドルに及ぶことがあります。実際、「クラウドストライク2024年版グローバル脅威レポート」によると、2023年の身代金要求額は2022年と比べて低下している一方で、脅威アクターおよび要求額や支払いに関してより厳格なプライバシー対策を実施している被害者のため正確に測定することは困難ではあるものの、要求額は依然として高いままです。つまり、ランサムウェア攻撃の平均コストは予測不能ではあるものの、SMBを含むすべてのビジネスにとって依然として非常に現実的な脅威であるということです。

システムの復元：影響を受けたシステムを復元するために身代金を支払うことに加えて、ほとんどの企業は破損したネットワークまたはツールセットを完全に交換する必要があります。これは、場合によってはハイテク関連のコストやITチームの作業時間も伴うため、非常に高額になることで知られています。多くの場合、新しいシステムやツールの再構築または統合のために、外部ベンダーの支援も必要になります。

フォレンジック調査：組織が侵害の被害に遭った場合、攻撃を特定して分類し、損害を評価し、影響を受けたすべての領域をクリーンアップして復元するために、迅速に行動する必要があります。ほとんどの場合、これらのサービスには高度に専門的なスキルが必要です。企業規模に関係なく、これは安価に得られるものではありません。

法律顧問：侵害が発生した場合、組織は通常、国、地域、さらには州によって異なる法的要件に確実に準拠するために、弁護士を採用する必要があります。SMBにとって、信頼できるパートナーと連携して、侵害やサイバー攻撃の発生後に法律で組織に義務付けられているステップの概要をまとめておくことは不可欠です。そうしないと、後になってコンプライアンス違反に対する罰金や罰則のリスクに直面することになります。

通知：サイバー攻撃の後、組織は被害者を特定し、被害者に個人情報が危険にさらされている可能性があることを通知する責任を負います。これには、顧客や従業員の社会保障番号、住所、銀行詳細、クレジットカード番号、運転免許証番号、健康記録など、個人情報の盗難や流出が含まれます。また、組織は、そのような侵害について関係当局および政府機関に通知し、その後、必要な文書または要求された文書を提供する責任も負います。

被害者のクレジットモニタリング：一部の州では、影響を受けた顧客のクレジットモニタリングのコストをカバーする責任や、侵害が発生した場合に顧客が自分のアイデンティティを回復できるよう支援する責任を負う場合もあります。

データ復旧、業務の中断、および収益の損失：大規模なサイバー攻撃の多くは、業務にとって重要なアクティビティの中断やデータの損失をもたらし、ひいては収益の損失につながります。覚えておいてください。システムがダウンすると、ビジネスを行うことができません。そのため、売上を失う可能性があるだけでなく、中断と復元のプロセスによって従業員の時間も失うことになります。

評判の毀損：侵害の後、多くの企業にはイメージの失墜が生じます。顧客、クライアント、パートナーが、その企業はネットワークを保護するために適切な措置を講じていなかったと信じる可能性があるためです。場合によっては、顧客に戻ってもらう動機付けとして、割引やその他のプロモーションの提供などのマーケティングおよび広報活動への投資が必要になることもあります。

小規模企業へのサイバー攻撃を防ぐ方法

ここまでで、SMBがビジネスを保護する必要性と、警戒すべき攻撃の種類について説明しました。ここからが最も重要な部分です。サイバー攻撃を防ぐために何をすべきかです。

ここでは、攻撃のリスクを軽減し、侵害が発生した場合の被害を最小限に抑えるために企業が実行できる最も重要なアクションをまとめます。

ステップ1：従業員をトレーニングする

ステップ2：サイバーセキュリティパートナーを見つける

ステップ3：セキュリティの文化を受け入れる

クラウドストライクでセキュリティを次のレベルに引き上げる

小規模企業でも、包括的でトップレベルの保護を実現できます。CrowdStrike Falcon® Goは、小規模企業向けにカスタムビルドされた、管理が容易で手頃な価格のソリューションです。ランサムウェア、マルウェア、そして最新のサイバー脅威を防止し、SMBが手頃な価格でサイバー脅威の検知と対応を行うのを支援します。

• 巧妙な攻撃を阻止する実績があり、業界をリードするNGAV（次世代アンチウイルス）ソリューションでビジネスを保護
• デバイスコントロールを活用して、ネットワークを危険にさらす可能性のあるUSBデバイスのモニタリングと管理を支援
• デバイスの場所を問わず、単一の軽量センサーを展開するだけで、すぐにビジネスの保護を開始
• 最高水準のファイアウォール管理ソリューションを活用して、会社のネットワークとデバイス、そしてそれらを使用する人を保護