大阪の小さな製造会社が昨年11月にランサムウェア攻撃を受けました。
攻撃者は、所有者がメールと管理者パネルの両方に使用していたパスワードを使用してアクセスを取得していました。そのパスワードは2019年のデータ侵害で侵害されていました。彼は侵害について通知されませんでした。誰もチェックしていませんでした。4年後、誰かがそのパスワードを使用して彼を自分のビジネスからロックアウトしました。
回復コスト: 2,300万円のダウンタイム、クリーンアップ、身代金交渉。
修正には15分かかったはずです: 2要素認証を有効にする。
これは技術会社ではありません — 12人の従業員を持つ小さな製造業です。専任のIT部門を持っていません。セキュリティ専門家である必要はありません。それでも、中小企業のブリーチの大多数は、高度なゼロデイエクスプロイトではなく、予防可能なチェックから発生しています。
良いニュース? CISOや6桁の予算は必要ありません。中小企業が実際に狙われている攻撃ベクトルをブロックする10個の具体的なステップが必要です。
現実: ほとんどの攻撃は技術的な天才を必要としません
ここに不快な真実があります: ブリーチの91%はフィッシングから始まります。ゼロデイエクスプロイトではなく。高度なAPTグループではなく。誰かにパスワードを入力させる説得力のあるメール。
2番目に一般的なベクトル? 再利用されたまたは弱いパスワード。別の会社のブリーチで侵害され、あなたのビジネスに侵入するために使用されました。
3番目? 未修正のソフトウェア。Windows更新通知を無視しました。誰かが2年前に脆弱性を見つけました。あなたは今さらされています。
これらはすべて予防可能です。どれも誰かを雇う必要はありません。どれも高価なツールを必要としません。必要なのは実際の脅威を理解し、特定の単純な行動を取ることです。
それでは進めましょう。
中小企業のサイバーセキュリティのための10個の高速な勝利
1. すべての重要なものに2要素認証(2FA)を有効にする
メール、銀行、管理者パネル、クラウドストレージ — お金または運用データを含むもの。
ほとんどの2FAは無料です(Google Authenticator、Microsoft Authenticator、Authy)。一部のサービスはSMSをサポートしており、これは理想的ではありませんが、何もないよりは優れています。
なぜ機能するのか: 誰かがあなたのパスワードを持っていても、2番目の要素なしには入ることができません。大阪の製造会社は今日も操業しているはずです。
時間: 30分。コスト: ¥0。
2. 一意の強力なパスワードを強制する — またはパスワードマネージャーを使用する
あなたの従業員は仕事とプライベートアカウント全体でパスワードを再利用しています。それは確実です。
複雑なパスワードを覚えさせようとするのをやめてください。機能しません。代わりにパスワードマネージャーを提供してください。
無料オプション: Bitwarden(デバイス間で動作、シンプル)。有料: 1Password、LastPass(より洗練された、より良いサポート)。
マネージャーは一意のパスワードを生成して保存します。従業員はマスターパスワードを覚えるだけです。中央ダッシュボードからアクセスを監査および取り消すことができます。
なぜ機能するのか: 従業員AのNetflixパスワードが侵害されると、攻撃者はそれをあなたのメール、銀行、顧客データベースで試します。一意のパスワードがあれば、Netflixのブリーチは重要ではありません。
時間: スタッフの設定とトレーニングに2時間。コスト: 10人のチームで¥0-5,000/年。
3. オペレーティングシステムとソフトウェアを最新に保つ
はい、アップデートは煩わしいです。はい、時間がかかります。はい、時々物を壊します。
アップデートはまたセキュリティパッチが住むところです。
Windows、Mac、Linuxシステムを自動更新するように設定します。制御するソフトウェア(自動更新する必要があるWebブラウザではなく)の場合、毎月アップデートを確認するためのカレンダーリマインダーを作成します。
Windows 7または8を実行している場合、すぐに停止してください。Windows 7は2020年以来セキュリティパッチを受け取っていません。ロックのない建物でビジネスを操作しています。
なぜ機能するのか: ほとんどの攻撃者は新しい脆弱性を発明しません。彼らは既知のものを見つけ、企業がパッチを適用する前にそれを利用します。自動アップデートは攻撃者が使用できる前にこれらのギャップを閉じます。
時間: 自動更新の設定に1時間。コスト: ¥0。
4. メール認証(SPF、DKIM、DMARC)をセットアップする
攻撃者はしばしばあなた会社のメールアドレスになりすましてクライアントにお金を送信させたり、悪意のある添付ファイルを開かせたりします。
誰かがあなたのCEOからだと思われるメールを受け取り、緊急の送金を求める場合、彼らはお金を実際に送る可能性があります — それがハッカーだったことに気づくまで。
メール認証は受信者のサーバーに通知します: 「@yourcompany.comからのメールで、これらの暗号化署名と一致しないものはすべて偽物です。」
ほとんどのドメインレジストラとメールプロバイダーには、これをセットアップするための組み込みウィザードがあります。これは1回限りの30分の設定です。
なぜ機能するのか: これは90%のなりすまし攻撃をトラック内で停止させます。攻撃者がメールを送信することに成功しても、それは疑わしいとしてマークされるか、完全に拒否されます。
時間: 30分。コスト: ¥0。
5. リモートアクセスにVPNを必須にする — またはゼロトラストVPNを使用する
従業員が在宅勤務している場合、彼らは信頼されていないネットワーク(カフェ、ホテルなど)からネットワークにアクセスしています。
VPN(Virtual Private Network)を使用して、デバイスとオフィスネットワーク間のすべてのトラフィックを暗号化します。
小さなチーム用の無料オプション: WireGuard(オープンソース、軽量)。有料: Cloudflare Zero Trust、Tailscale(セットアップが簡単、技術の少ないチームに適している)。
なぜ機能するのか: 彼らがハッキングされたWiFiネットワーク上にいても、攻撃者は彼らのトラフィックを見たり傍受したりできません。暗号化はデバイスレベルで発生します。
時間: セットアップに2-3時間。コスト: ¥0-5,000/年。
6. 重要なデータをバックアップ(オフラインおよび自動化)
ランサムウェアはファイルを暗号化し、支払いを要求します。ただし、攻撃者が到達できないバックアップがある場合、要求を無視してバックアップから復元します。
自動の毎日のバックアップを設定します: 1. クラウドサービス(Google Drive、Dropbox、OneDrive) — 暗号化、オフサイト 2. 使用していないときは切断したままの外付けハードドライブ(ランサムウェアが到達できない)
多くの中小企業はBackblaze(デバイスあたり¥150/月)またはAcronis True Image(ワンタイム購入¥6,000-8,000)を使用しています。
なぜ機能するのか: 数時間の仕事を失い、ビジネス全体を失わないでください。身代金要求は歯が立たなくなります。
時間: セットアップに1-2時間。コスト: ¥0-2,000/月。
7. ファイアウォールをインストールして設定する(またはあることを確認する)
ファイアウォールはデバイスとインターネットの間に位置し、望まない着信トラフィックをブロックします。
企業ネットワーク上にいる場合、すでにネットワークがある可能性があります。リモートチームまたは小さなオフィスがある場合: ルーターにファイアウォールが有効になっていることを確認してください(デフォルトではおそらくそうです — 確認するだけです)。
より多くの制御を行うために、pfSense、OPNsense(無料、オープンソース)またはFirewalla(¥1,000-5,000、プラグアンドプレイ)などのツールは、許可されたトラフィックの細かい制御を提供します。
なぜ機能するのか: ほとんどの攻撃者は、IPアドレス範囲をスキャンして、悪用できるオープンポートとサービスを探すことで開始します。適切に設定されたファイアウォールはこれをはるかに難しくします。
時間: 1つあることを確認するのに30分。コスト: ¥0-5,000。
8. フィッシング認識トレーニングプログラムを作成する
あなたの従業員は防衛の最前線です。1人が疑わしいリンクをクリックすると、攻撃者にすべてへのアクセスを与えることができます。
毎月30分をあなたのチームと一緒に過ごしてください。フィッシングの様子: - 正式に聞こえるメール内の文法エラー - 通常のプロセスをバイパスする異常な要求(送金、認証情報の変更) - *ほぼ*正しいが正確ではない疑わしい送信者アドレス([email protected] vs company.com) - URLテキストと一致しないリンク
Knowbe4、Gophish(無料バージョン)、またはYouTubeセキュリティビデオのようなツールが役立つことができます。
なぜ機能するのか: 訓練された従業員は、訓練されていない従業員がクリックする明らかなフィッシング攻撃をキャッチします。フィッシングを排除しませんが、成功率を5%から0.5%に削減します。
時間: 30分/月。コスト: ¥0-3,000/月。
9. ユーザーアクセスを監視および監査する
誰が管理者権限を持っていますか? 誰が機密データにアクセスできますか? 誰かが会社を離れた場合、彼らのアカウントはまだアクティブですか?
以下をリストするスプレッドシート(またはOkta、Azure ADなどの単純なツール)を作成します: - すべてのユーザーアカウント - アクセスできるシステム - 許可レベル - 最後のログイン日
四半期ごとにレビューしてください。完全なアクセスが不要になったアカウントを無効にするか、ダウングレードします。
なぜ機能するのか: インサイダーの脅威の大多数(意図的でない)は、誰かが不要なアクセスを持っているために発生します。元の下請け業者は依然としてあなたのデータベースパスワードを持っています。ジュニア従業員は、必要なことのないクライアント支払い情報へのアクセス権を持っています。
時間: 1-2時間/四半期。コスト: ¥0-5,000/年。
10. インシデント対応計画を立てる(書かれ、練習の)
これすべてにもかかわらず、何か間違っている可能性があります。それでは?
書き出してください: 1. セキュリティインシデントの場合に誰に連絡するか(社内IT担当者、外部ITサポート、保険会社) 2. すぐに何をするか(影響を受けたシステムをシャットダウン、再起動しない、ログを保存) 3. 誰が通知される必要があるか(スタッフ、顧客、法律で必要な場合は当局) 4. 通信方法(テンプレートメール、準備声明)
年に一度これを練習してください。表形式のエクササイズだけであっても。
なぜ機能するのか: 封じ込められたブリーチと壊滅的なブリーチの違いは、最初の1時間でどのくらい速く対応するかによることが多いです。計画は、パニック下で決定をしていないことを意味します。
時間: 書くのに2-3時間。コスト: ¥0。
これをしないコスト
ここに、これらの基本を持たない中小企業に通常起こることがあります:
- ランサムウェア攻撃: ダウンタイム¥500,000 - 5,000,000 +身代金
- メールの侵害: 攻撃者は所有者になりすまし、従業員を¥200,000 - 500,000を送金するトリック
- データ盗難: 顧客情報が盗まれ、ダークウェブで販売されます。GDPR/PPC罰金: ¥200,000 - 2,000,000+
- 認証情報の盗難: 誰かが別のブリーチからのパスワードを使用してあなたのメールにアクセスします。彼はあなたのすべてのツール全体でパスワードをリセットし、あなたを自分のビジネスからロックアウトします。
大阪の製造業者は2FAを有効にしなかったので2,300万円を支払いました。
これらの10個すべてを実装するコスト? おそらく合計¥100,000(ほとんどは無料またはほぼ無料)。ROIは明白です。
今週始めましょう
一度に10個すべてをする必要はありません。最も緊急に見えるものを3つ選びます:
- 2FAを有効にするメール、銀行、管理者パネル上(30分)
- 自動バックアップを設定する(1時間)
- 誰が何にアクセスできるかの更新リストを作成する(2時間)
来週、次の3つをしてください。月末までに、90%の攻撃が成功するであろう隙間を埋めました。
中小企業が狙われている理由はセキュリティが弱いと想定されているからです。これらの手順を採取した瞬間、あなたはもうブロック上の最も簡単なターゲットではありません。
---
SolidTechでは、中小企業向けにITセキュリティ監査と管理ITサポートを提供しています。現在のセットアップを確認し、どのステップが最も緊急に必要かを特定し、操作を中断することなく実装するのを支援します。
目標は軍グレードのセキュリティではありません。それは攻撃者が簡単なターゲットを探すようにします。そしてそれはあなたが思うよりもはるかに安く達成できます。
あなたが立っている場所を評価する準備はできていますか? 話しましょう。
