カスペルスキーは7月7日、小規模企業が重大なサイバー脅威から資産を守る方法を同社のブログ「Kaspersky Daily」で解説した。
ブログによると、多くの小規模企業はセキュリティコストを抑える傾向にあるため、セキュリティ上の不備が多いと指摘している。同社の調査では、サイバー攻撃のうち最大31%が従業員数250名未満の企業を標的とすることがわかっている。サイバー攻撃を受けるのは大企業ばかりではなく、小規模企業もしっかりとした対策が必要になっている。
一般的な対策としてはセキュリティ製品を使う、保護が必要な重要データを把握するなどある。さらに、同社は小規模企業に実践してほしい対策を3つ紹介している。
1つ目は、経営者は、サイバー攻撃、マルウェア、フィッシング、悪意あるサイトなどについての知識を得て、具体的なセキュリティ対策を学習することだという。
サイバー犯罪者が攻撃するとき、最初から重要データが保管される端末ではなく、従業員が日常的に使っている端末を狙うケースが多い。攻撃者は、罠を張り巡らせて社員が誤ってマルウェアを端末内にインストールするように誘導させる。罠に引っかかった端末があれば、それを起点として同じネットワーク内のさまざまな端末を次々と攻撃する。
経営者は、自社の企業を守る立場であるため、同時にサイバー攻撃への具体的な対策を講じる立場でもある。セキュリティ対策への費用を捻出したり、従業員へのトレーニングを行う必要がある。
2つ目は、強力なパスワードやパスワードマネージャーを使用すること。今でも「123456」や「password」をパスワードにするケースが多い。そういった解読されやすい脆弱なパスワードが使われていることを同社は「犯罪者の思うツボ」とし危惧している。
パスワードの安全性を上げるには、パスワードの文字列を複雑にするしかない。数字や英字だけの覚えやすいパスワードを作るのではなく、記号と数字、辞書に載っていない単語を含ませるなどしてパスワード作りをする必要があるとしている。
最後は、重要度の高いデータを一番安全な方法で保存すること。これまでの傾向から、サイバー犯罪者は大規模・小規模の企業問わず、興味のあるデータがあれば攻撃を仕掛けてくる。サイバー犯罪者が興味の持ちそう情報には、しっかりとした保護対策をしておく。
重要なデータは、ネットワークに繋がっていないストレージに保存し、自社のインフラ全体は小規模企業向けのセキュリティ製品で保護するようにと呼び掛けている。