中小企業が日本を救うbusiness-doctor-28

中小企業経営のための情報発信。中小企業から日本を元気に

三菱電機にサイバー攻撃

f:id:business-doctor-28:20200120083628j:plain

おはようございます。

今日は「三菱電機サイバー攻撃 防衛などの情報流出か」というニュースを取り上げます。三菱電機が、本社や主要拠点のPCやサーバーが多数の不正アクセスを受けるなどして大規模なサイバー攻撃に晒され、機密性の高い防衛、電力、鉄道といった官民の取引先に関する情報が流出したというのです。防衛関係の機密情報を扱う中国系のサイバー攻撃集団「Tick」(ティック)が関わっている可能性が高いということです。Tickは中国政府と関連が強いと噂されているサイバー攻撃集団です。Tick(ブロンズバトラーとも言われています)は、日本や韓国をターゲットとし衛星技術やEVを狙った攻撃集団で、ターゲットしているのは中国の現地法人です。今回の三菱電機のケースでも、不正アクセスは中国にある関連企業から始まり、乗っ取ったアカウントを使って社内ネットワークに入り込み、機密情報に触れる機会の多い中間管理職のPCをターゲットに不正アクセスし、情報は送信用端末に集約されて外部に流出したというのです。こうした国家組織が関与したと疑われるサイバー攻撃には、企業や組織の垣根を超えて国を挙げて対策をとる必要がありますが、日本政府には危機意識が乏しく後手後手に回っているように思います。こうしたサイバー攻撃を仕掛けてくる国に対して政府はもっと毅然とした態度をとるべきだと思いますが、どうも腰が引けているように思えます。情けないことです。

さて、サイバー攻撃を受けるのは大企業ばかりとは限りません。中小企業においてもサイバー攻撃に対処する体制をとる必要があります。サイバー攻撃は日々進歩しており仕掛けられた時点でもはや手遅れといった状況になりますが、何もしないで放置するわけにはいきません。

まず、パソコンへの対策です。WINDOWSmacなどのOSを最新版にアップデートすることです。2020年1月14日に、WINDOWS 7のサポートが終了してしまいました。Microsoft社によれば、2019年末でWINDOWS7は法人市場で813万台が稼働しているとのことでしたが、そのまま使用すればサポート終了後ウィルス感染やセキュリティリスクが高まります。セキュリティ対策という観点からはWINDOWS10への移行やPCを新しく買い替えるべきでしょう。また、その他利用しているソフトについてもアップデートすべきです。怪しいメールは開かない、怪しいサイト・URLはクリックしないとこも重要です。

情報処理振興推進機構(IPA)が示しているウィルス対策7か条があります。

  1. 最新のウィルス定義ファイルに更新しワクチンソフトを利用すること
  2. メールの添付ファイルは開く前にウィルス検査を行うこと
  3. ダウンロードしたファイルは、使用する前にウィルス検査を行うこと
  4. アプリケーションのセキュリティ機能を活用すること
  5. セキュリティパッチを当てること
  6. ウィルス感染の兆候を見逃さないこと
  7. ウィルス感染被害からの復旧のためデータのバックアップを行うこと

また、IPAの「メールの添付ファイルの取り扱い5つの心得」もあります。

  1. 見知らぬ相手先から届いた添付ファイル付きメールは厳重注意する
  2. 添付ファイルの見た目に惑わされない
  3. 知り合いから届いたどことなく変な添付ファイル付きのメールは疑ってかかる
  4. メールの本文で賄えるものをテキスト形式等のファイルで添付しない
  5. メーラー特有の添付ファイルの取り扱いに注意する

中小企業の場合、いきなり高度なツールを入れる必要はありません。普段使用しているパソコンやスマートフォンなどにセキュリティソフトを入れることから始めましょう。そして、従業員のセキュリティ意識を高めることです。サイバー攻撃やセキュリティリスクは他人事ではありません。明日はわが身かも知れません。

中小企業の場合、サイバー攻撃よりも重要なのは「機密漏洩」です。なんとなく会社や取引先の情報を漏らしているということはあります。セキュリティ意識を高めることで情報の漏洩は防げるはずです。

まずは、次のことに心がけましょう

  1. 会社のパソコンやスマホのセキュリティ対策
  2. 会社のパソコンやUSBの感染防止、社外への持ち出し・紛失防止対策
  3. パソコンの持ち込み・紛失防止対策
  4. 情報セキュリティポリシーの策定

個人情報の取り扱いも重要です。個人情報の取り扱いに関する規定を定めて規定が守られているか管理していく必要があります。具体的には顧客の属性情報や購買情報などの個人情報の取り扱いについて、明確な指針の下でその運用方法を明示しておく必要があります。これには個人情報保護法を順守し、個人情報保護ガイドラインに則って運用されなければなりません。プライバシーポリシーを定めることも重要です。

また、データが運用されている間はセキュリティへの配慮がなされていますが、データを破棄する段階でおろそかになる場合があります。破棄手順を明文化しその手順で処理されているかしっかりと管理する必要があります。