【2024年版】年末年始のWebセキュリティ対策:中小企業の皆様へ
皆さまこんにちは。今回は、Web業界30年のWebプロデューサーがお知らせしたい年末年始のWebセキュリティ対策について紹介します。年末年始は、一年を締めくくり、新たな年を迎える大切な時期です。しかし、この期間は、サイバー攻撃が活発化する時期でもあります。(私達が年末年始、対処に追われることも・・・)
特に中小企業は、大企業に比べてセキュリティ対策が不十分な場合が多く、狙われやすい傾向にあります。
この記事を書いている今現在でも、全体的にサイバー攻撃の数は増加しています。
本記事では、中小企業の皆様が年末年始を安心して迎えられるよう、具体的なWebセキュリティ対策について解説します。
なぜ年末年始にサイバー攻撃が増えるのか?
年末年始にサイバー攻撃が増えるのには、いくつかの理由が考えられます。
従業員のセキュリティ意識の低下
年末年始は、従業員が休みを取りがちで、組織全体のセキュリティ意識が低下しやすい時期です。また、提携しているWeb専門会社も長期休みに入っており、対応できる人も少なくなるため、対応が遅れるケースが多発します。
緊急性の高いメールへの対応
年末年始は、取引先からの緊急の連絡や、年末調整など、重要な業務が集中する時期です。焦って対応することで、不審なメールをクリックしてしまうリスクが高まります。忙しい時や焦っている時に事故が起きやすいように、普段では開かないような怪しい添付ファイルやURLをついクリックしてしまいます。
新しいデバイスの利用
新しいスマートフォンやパソコンを年末年始に購入する人が多く、初期設定が不十分なまま利用されるケースも少なくありません。特にアップデートを怠るとセキュリティリスクは格段に上がるため、必ずアップデートをしましょう。
中小企業を狙うサイバー攻撃の手口
年末年始に多く見られるサイバー攻撃の手口としては、以下のものが挙げられます。
フィッシング攻撃
銀行や取引先を装った偽のメールを送信し、個人情報やパスワードを盗み出す攻撃です。
銀行や取引先の公式サイトに注意喚起のアナウンスが出ていますので、必ず確認してください。
マルウェア感染
添付ファイルやURLをクリックすることで、マルウェアに感染し、システムを乗っ取られる攻撃です。
例としてとある企業の人事部あてに「履歴書・職務経歴書を送ります」というタイトルの添付ファイルをクリックしたところ、トロイの木馬(※)が仕込まれていた、というケースがありました。
※トロイの木馬:マルウェアの一種で、無害なプログラムを装ってパソコンに侵入し、さまざまな攻撃を行う悪意のあるソフトウェア。
ランサムウェア攻撃
重要なデータを暗号化し、復号の代わりに身代金を要求する攻撃です。
最近ニュースでも話題になりました。
▼国内外の事例は以下のGMO公式サイトに詳しく掲載されています。
https://www.gmo.jp/security/cybersecurity/cyberattack/blog/ransomware-case-study/
年末年始のWebセキュリティ対策
上記のリスクを回避するためにも年末年始に備えて、以下の対策を実施しましょう。
1. 従業員へのセキュリティ意識啓発
定期的なセキュリティ研修
年末年始前に、フィッシング攻撃やマルウェア感染などの事例を交えながら、セキュリティ意識向上のための研修を実施しましょう。一人ひとりがセキュリティ意識を持つだけでも随分とリスクは軽減します。
注意喚起メールの配信
不審なメールの見分け方や、パスワードの重要性などをまとめた注意喚起メールを定期的に配信しましょう。
2. 多要素認証の導入
パスワードに加えて、ワンタイムパスワードや生体認証などを組み合わせることで、アカウントの不正利用を防ぎます。パスワードだけでは不十分です。
ほとんどのシステムでは多要素認証が導入されていますが、使っていない企業様も多く見受けられます。自分たちのシステムが不安な場合は、導入元の会社に問い合わせてみてください。
3. ファイアウォールの強化
外部からの不正アクセスを防ぎましょう。ファイアウォールの設定を見直し、外部からの不正アクセスを遮断しましょう。これも、社内ネットワークの設定ができていないところも多く見受けられます。
セキュリティの専門家が必要な場合はお気軽にお問い合わせください。
ファイアウォール(Fire Wall)とは、元々「防火壁」を意味する言葉です。これがITの分野では、あらかじめ設定しておいたルールに従って、通してはいけないデータを止める機能のことを指します。
ファイアウォールは、不正アクセスによるデータの改ざんや情報漏えいなどを防ぐ、セキュリティ対策では必須の機能です。このファイアウォールの機能は、ソフトウェアとして提供されたり、ルーターなどのネットワーク機器に実装されたりするもののほか、ファイアウォール単体の専用機器も存在します。引用元:NTTコミュニケーションズ https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_09.html
4. 侵入検知システムの導入
ファイアウォールをすり抜けて侵入されるケースもあります。その場合、侵入検知システムを導入していれば、不正アクセスを検知することが出来ます。
侵入検知システムにはIDS(不正侵入検知システム)とIPS(不正侵入防御システム)があります。
詳しくは以下のNTTコミュニケーションズの記事をご参照ください。
▼不正アクセスを検知する「IDS」と検出と遮断をする「IPS」
https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_14.html
5. 定期的なソフトウェアアップデート
OSやアプリケーションの脆弱性は、定期的にアップデートすることで修正しましょう。
Windows Updateは最新になっていますか?
WordPressは最新になっていますか?
必ず確認してください。
赤い文字で注意や警告が出ているものを無視しないようにしましょう。
6. バックアップの徹底
万が一の場合に備えることも重要です。
重要なデータは、定期的にバックアップを行い、外部のストレージに保存しておくことが重要です。
実は100%完璧なセキュリティというものは存在しておらず、何重にも防御壁を作ることや、一人ひとりが気をつけることが定番で、これを徹底するだけでも完璧に近づくのですが、万が一を考えてバックアップを取ることは最も重要なセキュリティ対策です。
実際に、失ったケースは業務に支障が出るどころか売上ダウンに繋がることもありました。
できればクラウドや県外など、二重三重のバックアップで災害にも備えるくらいの構えが欲しいところですね。
もちろんコストも計算しながらです。
年末年始に増える詐欺に注意!
年末年始は、以下のような詐欺が増える傾向にあります。
年末ジャンボ・お歳暮・年末調整に関する詐欺
高額当選やお歳暮、年末調整の手続きに関するメールや電話で、個人情報を聞き出そうとする詐欺です。
これらの詐欺に共通しているのは、緊急性を煽ったり、巧妙な言葉で誘導したりする点です。不審なメールや電話には、安易に返信したり、個人情報を伝えないようにしましょう。
まとめ
以上、年末年始のWebセキュリティ対策でした。
年末年始は、サイバー攻撃のリスクが高まる時期です。中小企業の皆様は、従業員へのセキュリティ意識啓発や、多要素認証の導入など、さまざまな対策を講じることで、安全に新年を迎えることができます。本記事が、皆様のセキュリティ対策の一助となれば幸いです。