皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

5月に書いた記事、『ランサムウェアが世界的に猛威』、そして6月に書いた記事、『新たなランサムウェア攻撃多発』の通り、ここ最近で2つの大規模なサイバー攻撃があったのはご承知の通りですが、これらの被害の大半は、このWindows OSが大半であったことがわかっています。

Windows7搭載機が被害の大半だった

現在サポートされているWindowsOSにおいては最新のセキュリティパッチが適用されていれば感染を防げた可能性は高いわけですが、それでも『WannaCry』や『Petya』による被害を拡大させたのは、それを放置していたことに他なりません。

しかし、大きな被害があったことは事実で、その被害の大半はWindows7を搭載したPCであったこともわかっています。

これを受けての話しではないかもしれませんが、今、グローバル企業においてはWindows10への移行を加速させるような動きが出ているようです。

セキュリティ最優先という考え方

Microsoftは、『WannaCry』が猛威をふるった直後にこのようなことを言っています。

現時点では WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認している。

そして、このブログにおいてもご紹介した通り、米国防総省は2016年の初めに、1年以内に管轄の400万台のデバイスをWindows10にアップグレードする計画を明らかにしていました。

そして今、大企業の大半がWindows10への移行完了や直近におけるアップグレードの開始を計画しているようです。

これらが意味するものは、セキュリティ最優先という考え方です。

これは中小・零細企業、小規模事業者においても意識して欲しいところで、今のうちからWindows10への移行計画を立てていただき、ある程度前倒しでWindows10への移行を完了していただきたいところでもあります。

この時代において何も施していないというのは論外ですが、セキュリティは一概に何をするのが正しいという答えはありません。

それぞれの企業にあったセキュリティ対策があります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

よく、『うちのような零細企業は狙われるはずがないから大丈夫ですよ！』と仰られる社長もおられますが、その考え方は間違っています。

ターゲットとなっているのは大企業や行政機関だけではありません。

ハッカーも中小・零細企業を狙う

メディアで報道される被害は行政機関や大手企業ばかりですが、実際のところは中小・零細企業が狙われるケースもあります。

ハッカーにはタイプがあり、自身を誇示するために大規模な組織を狙うケースとそうではないタイプが存在します。

後者の場合、いきなり大規模な組織を狙うには労力や時間などがかかるため、そこに関連する企業の一番ハードルの低いところから狙っていくケースがあります。

つまり、最終的には何らかの形で大規模組織にたどりつくようなケースにおいては小規模な零細企業もターゲットになるということです。

例えば、零細企業A社は中小企業B社と取引があり、中小企業B社は大企業C社と取引があるようなケースです。

これ、大半の零細企業が当てはまると言っても良いでしょう。

もちろん、途中に他の企業が存在しているケースもありますし、クライアントが個人を対象としているところであっても、仕入においてつながっていることもありますから。

上記のケースの場合、零細企業は踏み台として真っ先に攻撃を受ける可能性を秘めています。

情報資産などのリスク分析をする

セキュリティ対策は、○○をすれば絶対安全であるというものは存在しません。

過去にもあったように、DoD アメリカ国防総省もハッカーによる攻撃を受けます。

では、どういったセキュリティ対策をすれば良いのか？

これらに関しては、自社内における業務運用などを洗い出し、それに対して想定されるリスクにはどのようなものがあるのか？を洗い出すことと、自社内にてどれくらいの情報資産を抱え、それが被害にあった場合にどれくらいの対応コストがかかるのか？を洗い出します。

そして、洗い出しを行った結果から、行うべきセキュリティ対策にかかるコストと、被害にあった時の対応コストとを比較します。

その結果として、被害にあった時のコストがセキュリティ対策にかかるコストを上回るのであればそのセキュリティ対策は必須であると認識していただいた方が良いでしょう。

セキュリティ対策に関して小規模事業者が確保できる予算は多くはないですが、どうしても予算を確保できない部分においては運用形態などを見直すことも含めて検討しなければいけません。