セキュリティDX

フィッシングと不正アクセス:中小企業が「今日から」できる最初の一手

株式会社プリファード
フィッシングと不正アクセス:中小企業が「今日から」できる最初の一手

狙われるのは「大企業だけ」ではない

「うちは小さいから狙われない」——情報セキュリティの相談で、いまだに聞く言葉だ。しかし攻撃側にとって、企業規模はあまり関係ない。むしろ対策が手薄な中小企業は、取引先の大企業へ侵入するための「踏み台」として狙われやすい。自社が被害者であると同時に、加害者(の入口)になってしまうリスクがある、という視点が抜け落ちていることが多い。

入口の大半は、高度な技術ではなく「人」

ニュースになる派手なハッキングを想像しがちだが、実際の侵入経路で圧倒的に多いのは、フィッシングメールとパスワードの使い回しだ。取引先や配送業者、社内システムを装ったメールのリンクを踏み、本物そっくりの偽ログイン画面に認証情報を入力してしまう。あるいは、どこかで漏れたパスワードを他のサービスでも使っていて、芋づる式に破られる。技術ではなく、人の油断が入口になる。

今日からできる、効果の大きい3つ

1. 多要素認証(MFA)を全アカウントで有効化する

最もコストが低く、最も効果が高い対策だ。パスワードが漏れても、スマホのワンタイムコードや認証アプリという二つ目の壁があれば、不正ログインの大半は防げる。メール・グループウェア・主要SaaSから順に、例外なく有効化する。「面倒だから一部だけ」が穴になる。

2. パスワードマネージャーを配る

「複雑なパスワードを、使い回さずに」を人間の記憶力で実現するのは不可能だ。パスワードマネージャーを全社に配布し、サービスごとに強固でユニークなパスワードを自動生成・保管する運用に切り替える。使い回しをやめるだけで、被害の連鎖はほぼ断てる。

3. 「怪しいメールの報告先」を決めておく

従業員教育というと堅苦しいが、まずは「おかしいと思ったメールを、気軽に相談・報告できる窓口」を一つ決めるだけでいい。踏んでしまった後に隠されるのが一番怖い。責めない文化と、すぐ止められる連絡経路。この二つがあるだけで、初動が大きく変わる。

「破られる前提」で被害を小さくする

どれだけ対策しても、侵入をゼロにはできない。だからこそ、破られたときに被害を最小化する設計も同時に考える。アクセス権限を必要最小限にする、重要データへの操作ログを残す、退職者のアカウントを当日中に停止する——こうした地味な運用が、いざというときの被害範囲を大きく左右する。派手な製品を買う前に、まずは無料でできる「入口を固める」ところから始めてほしい。

#フィッシング#不正アクセス#MFA#情報セキュリティ

同じトピックの記事

要件が固まっていなくても、相談できます。

「何から手をつけるべきか」の整理から始められます。
私たちも事業を営む当事者なので、現実的な打ち手の話ができます。相談・見積もりは無料です。

オンラインMTG対応 / 最短翌営業日返信 / 相談・見積もり無料