従来の「セキュリティ対策」の限界と中小企業が取るべき新たな視点
今回の事件が浮き彫りにしたのは、従来のパスワード認証に依存したセキュリティ対策の限界です。
- パスワードを定期的に変更する
- 複雑なパスワードを設定する
- 多要素認証を導入する
こうした従来型の一般的な対策だけでは、もはや巧妙化するサイバー攻撃から企業資産を守ることは困難です。中小企業がDXを推進していくためには、セキュリティに対するアプローチ全体を見直す必要があります。
侵害を前提とした「ゼロトラスト」の考え方
これまでのセキュリティ対策は、社内ネットワークを「信頼できる領域」、社外ネットワークを「信頼できない領域」とみなし、境界防御を行うのが一般的でした。しかし、クラウドサービスの普及やリモートワークの増加により、この境界線は曖昧になり、内部からの脅威や、従業員のデバイスが感染源となるリスクが高まっています。
そこで重要となるのが、「ゼロトラスト」の考え方です。
- 何も信頼しない(Never Trust)
- 常に検証する(Always Verify)
この2つの考え方を基本原則とし、社内ネットワークであろうと社外ネットワークであろうと、すべてのアクセスを疑い、常に認証・認可を行うことでセキュリティを強化します。中小企業においても、クラウド管理ツールによるスモールスタートや、特定の重要資産に対する段階的な検証の仕組みを導入すべきです。
これは例えば、従業員が利用するすべてのアプリケーションやサービスへのアクセスについて、本人確認を求めるMFAの徹底、デバイスの状態(セキュリティパッチ適用状況など)をチェックする仕組みの導入などが挙げられます。
パスワードレス認証への移行の検討
今回の事件で最も脆弱性が露呈したのは、従来のパスワード認証です。パスワードは盗難や総当たり攻撃、フィッシング詐欺などの標的となりやすく、一度流出すれば複数のサービスで悪用されるリスクがあります。
そこで、中小企業が積極的に検討すべきなのが、パスワードレス認証への移行です。具体的には、以下のような認証方法が挙げられます。
パスキー(Passkey)の導入
パスキーは、FIDO(Fast IDentity Online)アライアンスが提唱する新しい認証技術で、パスワードを必要としない認証方式です。デバイスに生体認証(指紋や顔認証)やPINコードなどを使ってローカルで本人確認を行い、その情報と紐付けられた公開鍵暗号方式の鍵ペアを利用してサービスにログインします。
パスキーのメリットは、フィッシング攻撃に強く、サーバー側にパスワードが保存されないため、サービス側からの情報漏洩リスクを低減できる点にあります。主要なWEBブラウザやプラットフォームが対応を進める中、中小企業でも対応済みのSaaS(Software as a Service)から段階的に導入を進めることが合理的といえます。
社内システムや利用しているSaaS(Software as a Service)がパスキーに対応しているかを確認し、対応している場合は速やかに移行を進めることが推奨されます。
より安全な多要素認証(MFA)の選択
多要素認証は、パスワードと別の認証要素を組み合わせることでセキュリティを強化する有効な手段です。SMSベースのMFAは、SIMスワップ詐欺等のリスクが存在するため、より強固な方式への切り替えが求められます。ただし、他方式が利用困難な環境においては、SMS認証でも一定の防御効果を期待できます。
推奨されるMFAタイプとしては、以下が挙げられます。
- 認証アプリ(Authenticator App):Google AuthenticatorやMicrosoft Authenticatorなど、スマートフォン上でワンタイムパスワードを生成するアプリ
- ハードウェアセキュリティキー:YubiKeyなどの物理的なデバイスで、USBポートなどに挿入して認証を行う。フィッシング耐性が高く、最も安全なMFAの一つとされている
- 生体認証:指紋認証や顔認証など、個人の身体的特徴を利用した認証方法
自社で利用しているクラウドサービスや業務システムがこれらのMFAに対応しているかを確認し、設定を徹底することが重要です。特に、機密情報を扱うシステムや、外部からのアクセスが可能なシステムには、より強固なMFAを適用すべきでしょう。
データ漏洩監視とインシデント対応体制の構築
インフォスティーラー型マルウェアによる攻撃は、ユーザーが気づかないうちに情報が窃取される特徴があります。そのため、自社の情報が漏洩していないかを常に監視し、万が一漏洩が確認された場合には迅速に対応できる体制を構築しなければなりません。
- 個人情報漏洩アラートサービスの活用:自社のドメインや従業員のメールアドレスが過去のデータ漏洩に含まれていないかを継続的にチェックできるサービス(例: Have I Been Pwnedなど)を活用することで、早期に漏洩を検知する
- 脅威インテリジェンスの活用:業界内で共有される脅威情報(脅威インテリジェンス)を積極的に収集し、新たな攻撃手法やマルウェアの動向を把握したうえで先手を打った対策を講じる
- インシデント対応計画の策定:データ漏洩やサイバー攻撃が発生した際の連絡体制、情報共有プロセス、復旧手順などを事前に定めておく。中小企業においては、専門のセキュリティベンダーと連携し、有事の際に迅速なサポートを受けられる体制を構築することも有効
まとめ:DX時代のセキュリティは「備え」から「適応」へ
今回のインフォスティーラー型マルウェアによる大規模データ漏洩事件は、サイバー攻撃がもはや特定の企業や組織を狙うものではなく、インターネットを利用するすべての人々にとって身近な脅威であることを再認識させました。
中小企業においても、DX推進によるビジネスの拡大と同時に、セキュリティリスクの増大という新たな課題に直面しています。
この脅威は「パスワードを定期的に更新する」「パスワードを使いまわさないようにする」というような個人の努力に委ねる従来のセキュリティ対策では克服できません。従来のパスワード認証に依存したセキュリティ対策の限界を理解し、ゼロトラストの考え方に基づいたセキュリティモデルへの移行、パスワードレス認証の導入といった「適応」の姿勢が求められます。
DXを推進する中小企業にとって、セキュリティはIT部門だけの問題ではありません。経営層から従業員まで、企業全体でセキュリティを自分事として捉え、変化する脅威に適応するための継続的な取り組みが不可欠です。
従業員一人ひとりのセキュリティ意識を高め、適切な行動を促すことは、中小企業におけるDX推進の基盤となります。中小企業でもこの視点を持つことで、デジタル変革の波を乗りこなし、持続的な成長を実現できるでしょう。
執筆者
株式会社MU 代表取締役社長
山田 元樹
社名である「MU」の由来は、「Minority(少数)」+「United(団結)」という意味。企業のDX推進・支援を過去のエンジニア経験を活かし、エンジニア + 経営視点で行う。DX推進の観点も含め上場企業をはじめ多数実績を持つ。