사이버 공격 대책이란 무엇입니까?
정보 보안 설문 조사에 근거한 중소 기업의 손상 사례 요약

サイバー攻撃は他人事ではない？

「サイバー攻撃により数万件の個人情報が漏洩した可能性があります」このようなニュースを見ても、自分の会社では起こらない出来事だと思っていませんか？「サイバー攻撃と言われてもピンとこない」「ウチは大丈夫だろう」と、なんとなく思っている方も多いのではないでしょうか。
しかし、今やサイバー攻撃が狙っているのは大企業だけではありません。むしろセキュリティ対策が強固な大企業よりも、対策が不十分な中小企業を積極的に標的にしています。攻撃者は、組織の脆弱性を突いて情報を窃取し、不正に悪用するサイバー犯罪を日常的に行っています。サプライチェーン（※1）の一環である取引先、つまり情報セキュリティ対策が大企業と比べて十分でない中小企業をターゲットにして、そこを足がかりに目的の企業を攻撃しようとするケースも増えているのです。これは「サプライチェーン攻撃」と呼ばれている手法です。2024年の調査では、警察庁が検知した脆弱性探索行為などの不正アクセス사례 수는 하루에 IP 주소 당 9,5202의 사상 최고치에 도달했습니다 이것은 전년 대비 41% 증가한 것입니다

情報セキュリティ対策投資を行っていない中小企業は60％超

IPA (독립 행정 기관 정보 기술 촉진 기관)는 중소 기업의 정보 보안 조치에 대한 2024 설문 조사에 대한 보고서를 작성했습니다 설문 조사 결과에 따르면, 중소 기업의 626%가 정보 보안 조치에 투자하지 않았으며, 2021 년 331%에서 상당한 악화가 발생했습니다 특히 주목할만한 점은 지난 3 년 동안 IT 투자를하지 않은 회사가 거의 없다는 것입니다

情報セキュリティ対策を行わなかった理由としては、「必要性を感じていない 44.3%」「費用対効果が見えない 24.2%」「コストがかかり過ぎる 21.7%」「どう始めたらよいかわからない 6.9%」などが上位を占めています。

また、情報セキュリティ対策の必要性を感じない理由としては、「重要情報を保有していないため 36.5％」、「他社とのネットワーク接続がない 31.6％」「被害に遭うと思わないため 24％」の3つが約92%を占めています。

しかし、これらは心もとない理由と言わざるを得ません。もし自社内に重要情報がないとしても、取引先に重要な情報があるかもしれません。攻撃者は、そうした油断を突いてネットワーク経由で情報を窃取し、サイバー犯罪に悪用します。「被害に遭うと思わない」というのも、何ら根拠のない自信です。実際、近年ではエモテット（Emotet）などのマルウェアが添付された巧妙なメールや、セッションハイジャック（※2）といった手口により、企業ネットワークへの侵入が試みられています。こういった現状から中小企業はサイバー攻撃の格好の標的となっています。

"나는 위협을 느낀다 그러나 "딜레마

반면에, 정보 보안 위협과 관련하여 "매우 큰 위협"과 "오히려 위협"을 포함한 모든 사건의 결합 된 비율은 50%를 초과합니다 각각의 특정 위협과 각각의 특정 위협을 살펴 보겠습니다

この結果から、何らかの脅威は感じていながら情報セキュリティ対策があまり進んでいないところに、中小企業のジレンマのようなものを感じずにはいられません。「脅威の度合いがわからない」という声もありますが、わかったときには取り返しのつかないインシデント（※3）になっているということもあり得るでしょう。

実際に中小企業を狙った攻撃は多岐にわたっており、脆弱なシステム設定や対策の隙を突いたパスワードリスト攻撃やブルートフォース攻撃、不正ログインなどが日常的に発生しています。 また、サイトに悪意のあるスクリプト|를 사용하는 비교할 수없는 크로스 사이트 스크립팅 (XSS)과 정보를 사용하여 사용자를 속이는 피싱 유형 기술도 있습니다

さらに、まだ公表されていない脆弱性を突くゼロデイ攻撃や、処理能力を超えたデータを書き込むことで不具合を引き起こすバッファオーバーフローなど、高度で深刻な手口も存在しています。

IPA (Independent Administrative Agency Information Technology Promotion Agency)의 최신 설문 조사에 따르면 지난 3 년 동안 사이버 사고가 발생한 회사의 평균 피해 금액은 730,000 엔이며 평균 회복 기간은 58 일 이었다는 심각한 현실이 밝혀졌습니다

特に注目すべきは以下の統計です。

• 9.4%の企業が100万円以上の被害（最大1億円）
• 2.1%の企業が50日以上の復旧期間（最大360日）
• 1.7%の企業が10回以上の被害（最大40回）

サイバーインシデントの被害状況のアンケートでは「被害に遭っていない 76.7%」「コンピュータウイルス感染 14.8%」「不正アクセス 10.0%」「ランサムウェア攻撃 8.3％」と、「被害に遭っていない」という回答が圧倒的に多いことから、多くの人が「自社（自分）は大丈夫だろう」と油断しているのではないかということが推測できます。しかしこれまで大丈夫だったからと言って、これからも大丈夫とは限りません。インターネットがこれほどに普及し、それらを悪用したサイバー攻撃が増加する中、いつまで他人事だと言っていられるでしょうか。

実際には、メールに不審なファイルを送り付ける手口や、感染経路をたどって社内ネットワーク全体にマルウェア퍼지고 있습니다 공격자가 중간의 공격 (※ 4) 또는 주입 공격 (※ 5)을 통해 시스템에 침투하는 경우도 있습니다 웹 사이트 자체를 납치하여 시청자에게 손상을줍니다 이러한 공격은 서비스 중단 및 운영 중단과 같은 심각한 결과를 초래할 수 있습니다

被害を認識できていないケースも多い

「被害に遭っていない」のは、もしかしたら単にサイバー攻撃を認識できていないということかもしれません。実際、令和2年度「中小企業サイバーセキュリティ対策支援体制構築事業（サイバーセキュリティお助け隊事業）成果報告書（全体版）」では、中小企業1,100社以上に設置した機器が、18万件を超える外部からの不審なアクセスを検知したことが報告されています。

また、今後ますますサイバー攻撃が多様化していくであろうことを考えると、どんな会社も標的になる可能性はあります。サプライチェーン攻撃では、中小企業は被害者になるだけでなく「踏み台」として利用され、加害者にもなり得るのです。そうしたリスクをしっかりと認識したうえで、適切な情報セキュリティ対策を実施する必要があります。

「まさか、ウチのような小さな会社が」

2024年度の調査では、不正アクセスを受けた企業の約5割が脆弱性を突かれ、約2割が他社経由での侵入という結果が出ています。

なぜサイバー攻撃対策が必要なのか？

우리는 회사이기 때문에 규모에 관계없이 비즈니스 파트너와 연결되어 있으므로 보안 조치가 필수적입니다 IPA (독립 행정 기관 정보 기술 프로모션 기관)의 설문 조사에 따르면 회사의 약 70%가 사건으로 인해 고객에게 영향을 미쳤습니다

必要性を感じていても取り組みが十分でない

우리는 중요한 정보 보안 조치 인 직원 교육이 필요하다고 생각하지만 실제 노력은 충분하지 않습니다 IPA (독립 행정 기관 정보 기술 프로모션 기관)는 직원을위한 정보 보안 교육 구현을 조사하고 있습니다 다음 세 순위 상위 :

• 特に実施していない：63.6％
• 関連情報の周知（社内メール・回覧・掲示板など）：21.2％
• 엘러닝 : 110%

ここでもまた、必要性を感じながらも、そのための取り組みは十分ではない、というパターンが見て取れます。

一方で、情報セキュリティ対策をさらに向上させるために必要と思われることとして、以下の3つが上位を占めています。

• 特にない：38.9％
• 経営者の情報セキュリティ意識向上：32.6％
• 従業員への情報セキュリティ意識向上：26.8％

「特にない」の回答が前回調査（14.6％）より上昇しており、セキュリティ対策への意識改革や具体的な対策強化が進んでいない現状が浮き彫りになっています。

経営者が意識を変えることから始めよう

従業員の意識を向上させるためには、まず経営者自身が意識を変えることが大切です。少し前に、情報セキュリティ対策の必要性を感じない理由として「重要情報を保有していないため」「被害に遭うと思わないため」という回答を紹介しましたが、そうした思い込みを捨てるところから始めなければなりません。リスクをしっかり理解したうえで、従業員の意識啓発を行い、研修や教育を実施しましょう。

会社の信用度がアップする

IPA (독립 행정 기관 정보 기술 프로모션 기관)의 설문 조사에 따르면 보안 시스템이있는 회사의 약 50%가 새로운 거래를 인수 한 것으로 나타났습니다 이는 정보 보안 조치가 새로운 비즈니스 기회를 창출 할 수 있음을 나타냅니다 일할 때, 손상을 방지 할 때 조심해야 할 것을 고려할뿐만 아니라, 사건이 발생했을 때 보고서와 상담 해야하는지 여부에 관계없이 규칙을 설정하는 것이 중요합니다

また、自社の情報セキュリティ対策の実施内容について外部に公開することも、企業価値を高めるうえでは有効です。ホームページで公開する、あるいは取引先から要望があれば個別に提示する、そうした取り組みが会社の信用度を大きく向上させます。

保険への加入も有効な備え

サイバー保険に加入しておく、というのもリスクに対する一つの備えになります。サイバー保険とは、情報セキュリティに関するリスクを包括的に補償する損害保険のことです。ウイルス感染による情報漏洩の損害賠償、システムの復旧費用などが補償されます。

IPA 보고서 (독립 행정 기관 정보 기술 프로모션 기관),サイバー保険などをワンパッケージで提供している「サイバーセキュリティお助け隊サービス」の認知度はわずか7.0％にとどまり、実際に導入している企業は非常に限られているのが現状です。導入を見送った理由として「リソース不足」や「費用対効果が不明確」といった点が挙げられています。しかし、2024年の被害実態を考えると、サイバー保険の導入は検討すべき重要なセキュリティ対策の一つです。

UTM 단위로 외부와 내부에서 위험을 방지하기위한 UTM

「コストを抑えて簡単にできる情報セキュリティ対策はないだろうか」と考えている経営者の方に注目していただきたいのがUTM（※5）です。UTMはネットワークの入口に設置することで外部からの脅威はもちろん、内部からの脅威も防ぐことができる製品です。

UTMなら、先ほど述べたウイルス、不正アクセス, DOS 공격 등을 종료하고 스팸 이메일을 종료합니다フィッシングメール를 감지하고 가짜 사이트 등에 의해 ID와 암호가 도난당하는 것을 방지합니다 내부 장비에서도不正アクセス、ウイルス拡散、情報漏洩、さらに不適切サイト閲覧なども防止します。

専任の部署や担当者は不要！

いくつものソフトやツールを組み合わせて多層防御を行うためには、専任の部署または担当者を置く必要がありますが、人的リソースを割けない中小企業にとっては難しいところです。

その点、UTMなら個別にソフトやツールを導入しなくても、一台で高度な情報セキュリティ対策が可能になります。膨大な手間とコストが抑えられ、さらに専任の担当者を置かなくてもよいなど、UTMには多くのメリットがあるのです。

さらに言えば、UTMにはサイバー保険が標準で付いたものもあります。使いやすさ、耐久性、サポート体制などをしっかり比較検討したうえで、自社のニーズに最も適したUTMを選んでください。

이번에는 IPA (독립 행정 기관 정보 기술 프로모션 기관)에 의해 "2024 년 중소 기업의 정보 보안 조치에 대한 설문 조사를 소개 할 것입니다サイバー攻撃への対策について解説してきました。サイバー攻撃はどんどん巧妙化・多様化しています。その中で中小企業の脆弱性が狙われています。約6割の企業でセキュリティ体制が未整備という現状の中、「これまで大丈夫だった」という経験則は、もはや通用しません。高度な情報セキュリティ対策によって自社を守ることで、企業の信頼感をしっかり高めていくことが大切です。適切な対策により取引機会の拡大も期待できます。その際に有効なのが、専任の担当者がいなくても一台でさまざまな情報セキュリティリスクに備えることができるUTM이러한 IT 솔루션 제안을 통해 Sakusa는 중형 및 소규모 비즈니스를 지원할 것입니다 귀하의 문의 및 문의를 기대합니다