セキュリティDX

フィッシングと不正アクセス:中小企業が「今日から」できる最初の一手

株式会社プリファード
フィッシングと不正アクセス:中小企業が「今日から」できる最初の一手

狙われるのは「大企業だけ」ではない

「うちは小さいから狙われない」——情報セキュリティの相談で、いまだに聞く言葉だ。しかし攻撃側にとって、企業規模はあまり関係ない。むしろ対策が手薄な中小企業は、取引先の大企業へ侵入するための「踏み台」として狙われやすい。自社が被害者であると同時に、加害者(の入口)になってしまうリスクがある、という視点が抜け落ちていることが多い。

入口の大半は、高度な技術ではなく「人」

ニュースになる派手なハッキングを想像しがちだが、実際の侵入経路で圧倒的に多いのは、フィッシングメールとパスワードの使い回しだ。取引先や配送業者、社内システムを装ったメールのリンクを踏み、本物そっくりの偽ログイン画面に認証情報を入力してしまう。あるいは、どこかで漏れたパスワードを他のサービスでも使っていて、芋づる式に破られる。技術ではなく、人の油断が入口になる。

今日からできる、効果の大きい3つ

1. 多要素認証(MFA)を全アカウントで有効化する

最もコストが低く、最も効果が高い対策だ。パスワードが漏れても、スマホのワンタイムコードや認証アプリという二つ目の壁があれば、不正ログインの大半は防げる。メール・グループウェア・主要SaaSから順に、例外なく有効化する。「面倒だから一部だけ」が穴になる。

2. パスワードマネージャーを配る

「複雑なパスワードを、使い回さずに」を人間の記憶力で実現するのは不可能だ。パスワードマネージャーを全社に配布し、サービスごとに強固でユニークなパスワードを自動生成・保管する運用に切り替える。使い回しをやめるだけで、被害の連鎖はほぼ断てる。

3. 「怪しいメールの報告先」を決めておく

従業員教育というと堅苦しいが、まずは「おかしいと思ったメールを、気軽に相談・報告できる窓口」を一つ決めるだけでいい。踏んでしまった後に隠されるのが一番怖い。責めない文化と、すぐ止められる連絡経路。この二つがあるだけで、初動が大きく変わる。

「破られる前提」で被害を小さくする

どれだけ対策しても、侵入をゼロにはできない。だからこそ、破られたときに被害を最小化する設計も同時に考える。アクセス権限を必要最小限にする、重要データへの操作ログを残す、退職者のアカウントを当日中に停止する——こうした地味な運用が、いざというときの被害範囲を大きく左右する。派手な製品を買う前に、まずは無料でできる「入口を固める」ところから始めてほしい。

#フィッシング#不正アクセス#MFA#情報セキュリティ

Related articles

You can talk to us before requirements are finished.

We can start by sorting what to do first. We run businesses ourselves, so the conversation stays about labor and ops. Consultation and estimates are free.

Online meetings / reply by next business day / free consult & estimate