小規模企業向けサイバーセキュリティ
チェックリスト

小規模企業にサイバーセキュリティ計画が必要な理由

サイバー犯罪が休むことのない世界では、組織には「常時稼働」のサイバーセキュリティ計画が必要です。そしてSMB（中小企業）にとっては、その必要性はさらに大きくなります。近年、サイバー犯罪者は小規模組織を標的とする傾向を著しく高めています。2023年には小規模企業の41%がサイバー攻撃の被害に遭い、2022年の38%、2021年の22%から増加しています。

SMBにとっての朗報は、強力なセキュリティポスチャを確立することが手の届く範囲にあるということです。当社のサイバーセキュリティチェックリストは、リスク領域を明らかにし、運用のセキュリティを向上させる機会を特定するのに役立ちます。

小規模企業に対する最も一般的なサイバー脅威

チェックリストに進む前に、そもそも自社が何を阻止しようとしているのかを理解することが重要です。サイバー脅威の状況は甚大であり、小規模企業も大企業を脅かしているものと同じ攻撃に対して防御する必要があると聞いても、おそらく驚きはないでしょう。特にSMBにとって、2024年の最も一般的なサイバーセキュリティの脅威には次のようなものがあります。

• ランサムウェア
• セキュリティの設定ミスおよびパッチ未適用のシステム
• クレデンシャルスタッフィング攻撃
• ソーシャルエンジニアリング

しかし、大企業とは異なり、小規模企業がランサムウェア、マルウェア、またはデータ侵害に見舞われた場合、事業への影響ははるかに大きく（そしてはるかに深刻に）なる可能性があります。特筆すべきは、小規模企業でデータ侵害が発生した場合の平均コストは331万ドルであるということです。

小規模企業向けサイバーセキュリティ
チェックリスト

1. 環境を理解する
2. 従業員をトレーニングする
3. セキュリティ防御を実装する
4. 適切なITセキュリティハイジーンを維持する
5. 対応計画を準備する

環境を理解する

サイバー犯罪者の最終的な狙いは、貴社の高価値なデータにアクセスすることです。このデータはダークウェブのマーケットプレイスでかなり高値で取引されるため、自社の環境を点検して、導入されているさまざまなデバイスやシステム、および貴重なデータがどこにあるのかを把握することが重要です。

侵害を想定する

自社の環境を十分に理解し、侵害に備えておくことで、攻撃が成功してしまった場合でも迅速に対応できるようになります。この場合、「最善を期待しつつ、最悪に備えよ」という古い格言が当てはまります。

計画において重要な考慮事項の1つは、対応のスピードです。これが不可欠になるのは、攻撃速度（つまり、攻撃のスピード）が増し、攻撃者がデータを盗むのにかかる時間が短縮されているためです。例えば、2023年のサイバー犯罪 (eCrime) の平均ブレイクアウトタイムはわずか62分でした（2022年は84分）。

デバイス、施設、ネットワークの状況を評価する

データ侵害は、サイバー犯罪者が無防備な従業員を利用したり、巧妙な手口で人を操作して施設へのアクセス権を得たりすることで発生する可能性があります。機密文書やコンピューターファイルをロックして物理的に保護するよう、従業員をトレーニングしてください。同様に、会社のデバイスやラップトップについても、適切な安全対策を講じるよう推奨してください。これらは目を離した隙に簡単に盗まれる可能性があります。開放された公共の場や、施錠されていない無人のオフィスに設置されたデスクトップやサーバーも、容易に持ち去られる可能性があります。

ITセキュリティリソースを特定する

組織のインフラストラクチャを安全に稼働させ続けるには、多大な時間と専門知識が必要になります。現在のリソースを評価して、知識や人員に不足がないかどうか確認することが重要です。もし余裕がないと感じていても、それは貴社だけではありません。企業の59%が、自社の人員がある程度または大幅に不足していると感じており、それが組織にさらなるサイバーリスクを生み出していると回答しています。

サイバーセキュリティが終わりのない「ToDoリスト」に常に掲載される項目である場合は、それはさらなる支援を求めるべきタイミングを示している可能性があります。社内スタッフを増員するか、ITセキュリティリソースをマネージドサービスプロバイダーにアウトソーシングすることを検討しましょう。

従業員をトレーニングする

従業員は企業にとって最大のアセットですが、残念ながら、サイバー脅威から保護する上での最大の弱点になることも少なくありません。人的要素（フィッシングに引っかかる、リンクをクリックする、単純な人為的ミスなど）は引き続きセキュリティインシデントを引き起こしており、2022年11月から2023年10月までの侵害の68%を占めています。ここでは、従業員をサポートするために実施すべきベストプラクティスをいくつか紹介します。

セキュリティ意識向上トレーニングを提供する

従業員は、サイバー脅威から会社を守る上で最大の味方になり、またリソースにもなり得ます。そのため、組織の72%が、人材およびテクノロジーへの投資の一環として、拡充したセキュリティトレーニングを提供しているか、提供を計画しています。

セキュリティのベストプラクティスに関するトレーニングを提供して従業員の知識ギャップを埋めることで、このリスクが軽減され、ユーザーが組織のセキュリティ防御において積極的な役割を担えるようになります。

強力なパスワードを作成して強制する

組織のルーターやファイアウォールデバイスに強力なパスワードを使用することは、非常に重要です。最も避けたいのは、ハッカーにネットワーク全体、およびその中のすべてのファイルやデータへのアクセスを許してしまうことです。ユーザーに対して強力なパスワード慣行を使用し強制することは、SaaS（サービスとしてのソフトウェア）アプリケーション、ラップトップ、デバイスへの不正アクセスを防ぐためにも不可欠です。

パスワードポリシーでは、多様な文字を組み合わせた長く複雑なパスワードを義務付けるべきです。本人任せにすると、78%の人が複数のアカウントで同じパスワードを使いまわすため、使いまわしのない一意のパスワードを使用するよう従業員に義務付けてください。パスワードプログラムの効果を高める方法の1つは、90日ごとにパスワードを更新するよう従業員に義務付けることです。

人事セキュリティポリシーを作成して強制し、継続的に更新する 

変化はどの組織においても必ず生じるものです。従業員の入社、退社、および社内での役割変更は常に発生します。セキュリティポリシーを導入すると、常に変化する人員に対し、最低限のITセキュリティおよびデータ保護の要件を満たすために従うべきルールと振る舞いに沿わせることができます。

セキュリティ防御を実装する

セキュリティテクノロジーは、不正アクターが使用するさまざまな攻撃ベクトルから組織を保護するのに役立ちます。多くのツールは、特定の環境に合わせてカスタマイズできますが、適切なセキュリティテクノロジーを探す際に共通して確認すべき項目がいくつかあります。

MFA（多要素認証）を実装する

MFA（多要素認証）は、ユーザーに対してユーザー名とパスワードだけでなく追加の要素での本人確認を要求することで、組織のセキュリティを強化する強力な手段です。適切なユーザー名とパスワードは重要ですが、それだけでは疑わしいログインアクティビティに対する万全な対策とは言えません。そのため、SMBの46%がすでにMFA（多要素認証）を導入しており、今後この割合はさらに増えると予想されています。

MFA（多要素認証）を導入すると、ユーザーはパスワードに加えて、PINやスマートフォンからのモバイルプッシュなどの別の「要素」を提供するよう求められます。これにより、ログインしようとしている人物が本当に本人である可能性が大幅に高まります。Microsoft Securityによれば、MFA（多要素認証）によってアカウントへの攻撃の99.9%を阻止できます。

実装するセキュリティレイヤーの数を決定する

階層型セキュリティとは、複数のセキュリティコンポーネント（レイヤー）を使用して組織のインフラストラクチャを保護するという概念です。このベストプラクティスアプローチの目的は、個々のセキュリティコンポーネントが脅威を検知できなかった場合でも、常にバックアップが機能するようにすることです。例えば、フィッシングEメールがEメールセキュリティテクノロジーをすり抜け、ユーザーがEメール内の悪意のあるURLをクリックしてしまったとしても、エンドポイントセキュリティ製品が別のセキュリティレイヤーを提供して脅威を阻止し、組織を保護します。

追加の保護レイヤーはいずれも重要です。ほとんどの組織では、ファイアウォール、パッチ管理、エンドポイント保護、WebおよびEメールのコンテンツのフィルタリング、そしてMFA（多要素認証）をレイヤーに含める必要があります。自社の階層型セキュリティ戦略にどれが欠けているかを判断し、自社のIT環境をサポートする適切なものを導入する計画を立てましょう。

従業員によるデータおよびソフトウェアインストールへのアクセス制限を実装する

ベストプラクティスとして、組織の高価値なデータにアクセスできる人物を制限する必要があります。アクセス制御ポリシーを導入すると、誰が自社のデータやリソースにアクセスできるかを示したガイドラインを確立するのに役立ちます。また、ソフトウェアのインストールへのアクセス権も制限したいところです。例えば、顧客の連絡先詳細を含むCRM（顧客関係管理）ソフトウェアなどのアプリケーションには、特定のユーザーのみがアクセスできるようにする必要があります。

RBAC（ロールベースのアクセス制御）を実装すると、許可されたユーザーのみがデータとソフトウェアにアクセスできるようになります。つまり、RBACを使用すると、従業員に対してその職務や役割に必要なデータ、タスク、アプリケーションのみへのアクセスを許可できます。

すべてのデバイスにアンチウイルスソフトウェアをインストールする

ユーザーのデスクトップ、ラップトップ、およびモバイルデバイス（すなわちエンドポイント）をマルウェアやランサムウェアなどの脅威から保護することは、これまでも常に重要なセキュリティ慣行でした。現在はリモートワークやハイブリッドワークが広がっているため、アンチウイルスソフトウェア（エンドポイント保護と呼ばれることも多い）を導入することが、これまで以上に重要になっています。なぜなら、エンドポイントはサイバー犯罪者が企業のネットワークにアクセスするための入り口となり得るからです。

適切なITセキュリティハイジーンを維持する

継続的にデータをバックアップする

サイバー攻撃が成功してしまった場合は、バックアップがしばしば組織の「切り札」として機能します。影響を受けたマシンやシステムを最新のバックアップに復元することで、被害を元に戻すことができるからです。

定期的で信頼性の高いデータバックアップを行うことは、SMBが導入すべき重要なIT慣行です。セキュリティインシデント、誤って行った削除、または自然災害によるデータの損失から生じる長期的な損害を防ぐことができます。データバックアップがあれば、データ損失の原因に関係なく、システムの完全なコピーを復元できる状態に保つことができます。

ソフトウェアを更新し、システムにパッチを適用する

SMBは、ソフトウェア、ハードウェア、またはファームウェアに新たな欠陥が発見されてから、その欠陥を悪用する脆弱性エクスプロイトがリリースされるまでの短い期間に、迅速に行動できる体制を整えておく必要があります。なぜなら、侵害被害者の57%が、既知の脆弱性に対してパッチが適用されていなかったことが原因で侵害を受けたと回答しているからです。

パッチ管理は、脆弱性管理計画の礎となります。どのパッチが優先度が高く、影響を受けるシステムに対して即時展開が必要かを可視化できるよう、常時稼働し連携された強力なパッチ管理プロセスを確立しましょう。

対応計画を準備する

攻撃が成功してしまった場合、事前に計画を立てておくことで、適切な人材を迅速かつ効率的に動員し、必要な措置を講じ、被害を軽減することができます。

NIST（米国国立標準技術研究所）のフレームワークを活用してインシデント対応計画を確立する

インシデント対応と計画構築の基盤に関しては、NISTが、小規模企業が従うべき強固なフレームワークを提供しています。これには、インシデント対応ライフサイクルの4つのフェーズが含まれています。

• ステップ#1：準備 
• ステップ#2：検知と分析 
• ステップ#3：封じ込め、根絶、復旧 
• ステップ#4：インシデント後の活動 

成功してしまった攻撃を検知し、封じ込めるには、スピードが重要です。攻撃を隔離する（例えば、影響を受けたマシンをネットワークから切断する）ことで、その後の対応を調整および実行するための余裕が生まれます。

すべての項目にチェックが入っていますか？詳細については、今すぐサイバーセキュリティの専門家にご相談ください。

専門家に相談