フィッシングと不正アクセス:中小企業が「今日から」できる最初の一手

狙われるのは「大企業だけ」ではない
「うちは小さいから狙われない」——情報セキュリティの相談で、いまだに聞く言葉だ。しかし攻撃側にとって、企業規模はあまり関係ない。むしろ対策が手薄な中小企業は、取引先の大企業へ侵入するための「踏み台」として狙われやすい。自社が被害者であると同時に、加害者(の入口)になってしまうリスクがある、という視点が抜け落ちていることが多い。
入口の大半は、高度な技術ではなく「人」
ニュースになる派手なハッキングを想像しがちだが、実際の侵入経路で圧倒的に多いのは、フィッシングメールとパスワードの使い回しだ。取引先や配送業者、社内システムを装ったメールのリンクを踏み、本物そっくりの偽ログイン画面に認証情報を入力してしまう。あるいは、どこかで漏れたパスワードを他のサービスでも使っていて、芋づる式に破られる。技術ではなく、人の油断が入口になる。
今日からできる、効果の大きい3つ
1. 多要素認証(MFA)を全アカウントで有効化する
最もコストが低く、最も効果が高い対策だ。パスワードが漏れても、スマホのワンタイムコードや認証アプリという二つ目の壁があれば、不正ログインの大半は防げる。メール・グループウェア・主要SaaSから順に、例外なく有効化する。「面倒だから一部だけ」が穴になる。
2. パスワードマネージャーを配る
「複雑なパスワードを、使い回さずに」を人間の記憶力で実現するのは不可能だ。パスワードマネージャーを全社に配布し、サービスごとに強固でユニークなパスワードを自動生成・保管する運用に切り替える。使い回しをやめるだけで、被害の連鎖はほぼ断てる。
3. 「怪しいメールの報告先」を決めておく
従業員教育というと堅苦しいが、まずは「おかしいと思ったメールを、気軽に相談・報告できる窓口」を一つ決めるだけでいい。踏んでしまった後に隠されるのが一番怖い。責めない文化と、すぐ止められる連絡経路。この二つがあるだけで、初動が大きく変わる。
「破られる前提」で被害を小さくする
どれだけ対策しても、侵入をゼロにはできない。だからこそ、破られたときに被害を最小化する設計も同時に考える。アクセス権限を必要最小限にする、重要データへの操作ログを残す、退職者のアカウントを当日中に停止する——こうした地味な運用が、いざというときの被害範囲を大きく左右する。派手な製品を買う前に、まずは無料でできる「入口を固める」ところから始めてほしい。