サイバーセキュリティ – ビジネスを守るには

複雑なサイバーセキュリティの世界に目を向け、簡単なステップでも悪意ある勢力からビジネスをより強固に守ることができることを示す。

マークス・アンド・スペンサー、H&M、コープ、ジャガー・ランドローバー、ハロッズ、ヒュンダイ、アディダス。
答えは、2025年にサイバー攻撃の犠牲になっているからだ。

英国のサイバーセキュリティ侵害調査2024によると、大企業の74％が昨年サイバーインシデントに直面した。しかし、サイバー犯罪者は多国籍企業や数十億ポンド規模の企業だけを食い物にしているわけではない：中堅企業の70％、英国の中小企業の50％が2024年にサイバー攻撃を確認し、英国の中小企業の約4社に1社が実際にサイバー犯罪を経験している。

「
FESPAの会員は、自社のビジネスデータとテクノロジー、そしてサプライヤーと顧客のデータを扱うという3つの問題を抱えており、サイバーセキュリティは最も重要である。

そこで、自社のサイバーセキュリティに取り組む際に考慮すべき重要な問題や、万が一侵害された場合の対処法をまとめました。

企業のサイバーヘルスは、少なくとも1つの点では個人の健康と同じである。予防は治療に勝る」ということです。ビジネスのデータを保護するために多くのことを行えば行うほど、大規模なサイバー攻撃に直面する可能性は低くなります。

そのための簡単な第一歩は、NCSCの無料オンライン・サイバー・アクション・ツールキットを利用することである。このツールキットは、特に中小企業向けに設計されており、簡単に始めることができ、あなたのビジネスを保護する層を形成するために組み合わせるいくつかの重要な個人化されたアクションをガイドします。

このような行為は必ずしも複雑ではない。約25年前、イギリスのコンピューター・ハッカー、ゲイリー・マッキノンは、パスワードが空白またはデフォルトのアカウントを探すだけで、NASAと米軍のITシステムに侵入した。それ以来、状況は変わったと思いたいところだが、サイバー犯罪者は今でも、簡単に特定できるパスワードや漏洩したパスワードを使って簡単にアクセスしている。

パスワードが単純すぎる場合、または他のデータ漏洩で確認された場合は、すぐに変更しましょう。実際、迷惑に思えるかもしれないが、定期的にパスワードを変更することは良い習慣だ。

ちなみに、マッキノンが公式コンピューターにアクセスする2つ目の方法は、一晩中電源が入ったまま放置されていたコンピューター端末を特定することだった。簡単なことだが、一日の終わりに電源を切ることで、無許可のリモートアクセスを防ぐことができる。

英国のサイバーセキュリティ侵害調査2024によると、最も一般的なサイバー脅威は比較的単純なものであるため、組織に対する基本的なガイダンスには、最新のマルウェア防御の使用、クラウドバックアップの確保、管理者権限の制限、ネットワークファイアウォールの設置、フィッシングメールへの対処プロセスの合意といったステップが含まれる。

フィッシングは、最も一般的なサイバー侵害や攻撃であり、84％の企業に影響を与えている。次いで、メールやオンライン上で組織になりすました他者による攻撃が35％、ウイルスやその他のマルウェアによる攻撃が17％となっている。

クラウドのバックアップを取ることは重要だが、それ以上にクラウドシステムに注意を払う必要がある。パスワードの問題と同様に、クラウドシステムへのアクセスや、一般にアクセス可能なストレージの設定ミスは、悪意のある行為者にとってもう一つの侵入口となる。そのようなシステムにアクセスする必要があるユーザーだけがアクセスできるようにし、デフォルトでログを有効にすること。

サイバー侵害による現実的かつ明白な脅威があるにもかかわらず、英国のサイバーセキュリティ侵害調査2024では、企業の30％しかサイバーセキュリティ・ギャップのリスク評価を定期的に行っておらず、重要な脆弱性が露呈したままになっていることが明らかになった。さらに悪いことに、サイバー侵害が発生した多くのケースで、アクセスポイントは以前から特定されていたにもかかわらず修正されていなかった。

ビジネス・プロセス・アウトソーシングのプロバイダーであるインベンシスによると、「2025年に最も大きな被害をもたらすサイバー・セキュリティ侵害は、未知の脅威に起因するものではなく、対処されないまま放置された既知のギャップから生じるものである：「2025年に最も大きな被害をもたらすサイバーセキュリティ侵害は、未知の脅威から生じるのではなく、対処されないまま放置された既知のギャップから生じるだろう。

ビジネスリスク、データの機密性、悪用可能性に基づいて脅威の優先順位をつけ、最も危険な弱点から確実に対処していく。

ソフトウェアのパッチ適用にはある種の皮肉がある。パッチは既存のソフトウェアで確認された弱点に対処するものだが、そのようなパッチの公開は、そもそも存在した弱点を浮き彫りにするものでもある。したがって、パッチの遅れはサイバーセキュリティにとって重大なリスクとなる。

パッチがインストールされるまでのダウンタイムの問題、その後のテスト要件、そしてシステムの互換性やパッチ適用後の運用に関する疑問が残るからだ。しかし、攻撃者は新たに公表された脆弱性に驚くほどのスピードで反応し、ランサムウェアキャンペーンやパッチ未適用のシステムに対するサプライチェーン攻撃など、直接的な脅威を作り出すことができる。

自社のサイバーセキュリティのリスクアセスメントを行うことが重要であることを述べた。また、印刷会社は自社のシステムだけでなく、サプライヤーや顧客のシステムにも対応しなければならないという3重の問題を抱えていることも述べた。この2つの問題もクロスオーバーしている。

特に、統合やリモートアクセスを通じてサービスを提供したり、機密データを扱ったりしている組織のサイバーセキュリティへの取り組みを監視することは極めて重要だ。

「サプライチェーンのデジタル化が進むにつれ、攻撃者はベンダーをより大きなターゲットへのバックドアとして利用するようになっています。継続的なリスクスコアリング、コンプライアンス追跡、ベンダーの階層化、契約上のセキュリティ条項がなければ、企業はベンダーの行動が自社のリスクサーフェスにどのような影響を与えるか分からないままです」とインベンシスは述べています。

このような脅威は単なる机上の空論ではない。2020年、ハッカーたちはソーラーウィンズのソフトウェア・サプライチェーンに侵入し、同社のOrionソフトウェアに悪意のあるコードを挿入した。

最後に、一人で抱え込む必要はありません。中小企業の印刷会社は、サイバーセキュリティのパートタイムの専門家にならなくても、十分すぎるほどの事業活動に取り組んでいることが多いので、専門家に依頼するのは賢明な考えです。

独立系のサイバーセキュリティ企業は、実戦的な知識と専門知識をもたらすだけでなく、システムを見る新しい目を持つことで、これまで見過ごしていた比較的単純なステップを発見することができる。保険と同様、サイバーセキュリティへの投資は決して実現したいものではないが、専門のセキュリティ・パートナーは、脅威への迅速な対応やより具体的な知識を提供し、ビジネスの成長に合わせて新たな問題への対処を支援することができる。

しかし、すべてのサイバーと同じように、ただクリックして忘れるわけにはいかない。監視は非常に重要である。何を望んでいるのかを正確に定義し、協力する組織が要件に適しているかを徹底的にチェックし、常に自社のデータとシステムに直接アクセスできるようにしておかなければならない。

航空業界は、差し迫った危険にタイムリー、集中的かつ効果的に対処するアプローチの最前線にいる。その方法として、チェックリストという重要なツールを活用している。

その結果、サイバーセキュリティ侵害を発見した場合、パニックの高まりを背景に目に見えない攻撃者に対応しながら、その場で考え決断するのではなく、必要な行動を導くためのシンプルなインシデント対応チェックリストを用意する必要がある。

インシデント対応チェックリストには、以下を含めるべきである：

これに加えて、企業は定期的にサイバー侵害のシミュレーション演習を受けることが推奨される。そして、シミュレーション後のレビューを実施し、得られた教訓に基づいて行動すべきである。

サイバーセキュリティの戦いでは、備えが最も重要である。