「セキュリティ対策はしているつもりなのに、なぜか被害が出る」
中小企業の経営者の方から、こうしたご相談を受けることは少なくありません。
実はその多くが、“入口対策”の不足によるものです。
サイバー攻撃は、企業の内部にいきなり侵入してくるわけではありません。
ほとんどの場合、「メール」か「Web」を入り口にして侵入してきます。
今回は、なぜメールとWebが最も狙われるのか、そして中小企業がまず取り組むべき対策について分かりやすく解説します。
なぜメールとWebが攻撃の入り口になるのか
企業のIT環境において、メールとWebは「誰もが毎日使うもの」です。
- メール:社内外とのやり取り
- Web:情報収集、業務システム利用
つまり、“必ず開かれる場所”であるため、攻撃者にとって最も効率のよい侵入経路になります。サイバー攻撃の起点となるルートの約9割が、実はメールとWebサイト閲覧だと言われています。
さらに重要なのは、これらが「人の判断」に依存している点です。
例えば以下のようなケースです。
- 取引先を装ったメールを開いてしまう
- 「請求書」や「重要なお知らせ」という件名で添付を開く
- 検索結果から偽サイトにアクセスする
- ログイン画面でID・パスワードを入力してしまう
これらはすべて、システムの問題ではなく“人の行動”を突いた攻撃です。取引先を装ったメール、請求書を装った添付ファイル……。「仕事の一環」として届くため、社員は疑いながらも開かざるを得ない心理状況に置かれます。
つまり、どれだけ社内システムを強化していても、入口で侵入を許せば意味がありません。どれほど高価なファイアウォールを導入しても、社員が1回クリックするだけで、防御の壁の内側に「鍵」を開けて招き入れてしまうことになります。攻撃者にとって、システムの穴を探すより、人間の心理を突く(フィッシング)方が圧倒的にコストパフォーマンスが良いのです。
中小企業が狙われやすい本当の理由
「うちは大企業じゃないから狙われない」
「うちは守るほどの機密情報なんてないよ」
そう考えている企業ほど、実は危険です。
現在のサイバー攻撃は、特定の企業を狙うものだけではありません。
多くは「ばらまき型」です。
攻撃者は、何万件・何十万件とメールを送り、そのうちの数%でも引っかかれば成功と考えています。
中小企業が狙われやすい理由は主に3つです。
① セキュリティ対策が手薄
専任担当がいない、予算が限られているなどの理由で、基本的な対策が不十分なケースが多く見られます。
② 教育が行き届いていない
従業員が「怪しいメールの見分け方」を知らないため、攻撃が成立しやすくなります。
③ 取引先経由の踏み台になる
中小企業は、大企業のサプライチェーンの一部です。そのため、「弱い企業から侵入し、大企業へ広げる」という攻撃も増えています。
これは近年、サプライチェーン全体でセキュリティが求められている背景とも一致します。
(参考)迫る!経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」とは?〜発注者・受注者が今すぐ知るべきポイントを徹底解説〜
実際に多い攻撃パターン(メール・Web)
では、どのような攻撃が行われているのでしょうか。
最近の攻撃は、一昔前の「日本語が不自然な迷惑メール」とは別次元です。
代表的なものを紹介します。
| フィッシングメール | 銀行やクラウドサービスを装い、ログイン情報を盗み取る攻撃です。 ・「アカウントがロックされました」 ・「至急確認が必要です」 といった緊急性をあおる内容が特徴です。 |
| ビジネスメール詐欺 (BEC;Business Email Compromise) |
取引先になりすまし、振込先口座の変更を指示し、入金を促す詐欺のことです。 |
| マルウェア付きメール | 添付ファイルを開くことでウイルス感染するパターンです。 ・ExcelやPDFを装う ・ZIPファイルで送付 など、業務に見せかけて送られてきます。 |
| 偽サイト(フィッシングサイト) | 本物そっくりのWebサイト(例えばMicrosoft 365などのログイン画面)に誘導し、IDやパスワードを入力させる手口です。 検索結果やメール内リンクから誘導されるケースが多く見られます。 |
| 不正広告・改ざんサイト | 正規サイトに見えても、内部に悪意のあるコードが仕込まれている場合があります。 |
| ドライブバイダウンロード | 普段見ているニュースサイトやブログが改ざんされており、閲覧しただけでウイルスがダウンロードされるものです。 |
つまり、「怪しいサイトに行かなければ大丈夫」という時代ではありません。これらは、従業員の「リテラシー教育」だけでは防げません。「人は必ずミスをする」という前提に立ち、システムで自動的に遮断する仕組みが必要です。
従来のウイルス対策では防げない理由
「ウイルス対策ソフトを入れているから安心」
これは半分正解で、半分は危険な考え方です。
従来のウイルス対策は、「既知の脅威」を防ぐことには強いですが、以下のような攻撃には弱い傾向があります。
-
新種のマルウェア
-
フィッシングサイト
-
正規サービスを悪用した攻撃
-
ユーザーの誤操作による侵入
特に、メールやWebを起点とした攻撃は、「ユーザーが操作してしまう」ことで成立するため、防ぎきれないのです。
例えば、こんな事例があります。
| 事例1: |
取引先を装った「見積依頼」のメールが届きました。添付ファイルを開くとウイルスに感染。その時は自社データは取られずに済み安心していると、数日後、添付メールを開いてしまった社員のメールアカウントから、本物の取引先(大手メーカー)へ向けて、ウイルス付きのメールが自動送信されてしまいました。
| 事例2: |
海外企業と取引のある商社の社長宛に、いつもやり取りしている担当者の名前で「振込先口座を変更しました」とメールが届きました。署名も文体も完璧。唯一違ったのは、送信元アドレスのアルファベットが「i」ではなく「l(エル)」になっていたことだけ。寸前のところで電話確認し難を逃れましたが、担当者は「100%信じて疑わなかった」と語りました。
| 事例3: |
テレワーク中の社員が、お昼休憩中にニュースサイトを閲覧。そのサイトに仕込まれた不正な広告(メディバタイジング)により、気づかぬうちにランサムウェアをダウンロードしてしまいました。オフィスの強固なファイアウォールを通っていないため、PCは即座にロック。午後の業務が全てストップし、復旧のために情シス担当者が社員の自宅まで駆けつける事態に。
これらはフィクションではなく、IPA(情報処理推進機構)などが警鐘を鳴らしている、今まさに中小企業が直面している実例に基づいたシナリオです。
(参考)IPAの『中小企業の情報セキュリティ対策ガイドライン』
だからこそ、“入口で止める仕組み”が必要になります。
入口対策の中核「SEG」と「SWG」とは
ここで重要になるのが、入口対策を担う2つの仕組みです。メールとWebそれぞれに特化した専用の防御壁です。
■ SEG(セグ)(Secure Email Gateway)
メールの入口で不審なメールをブロックする仕組みです。メールの送受信時に「中身を精査する」ゲートウェイです。
主な機能:
|
届いたメールにウイルスが含まれていないか、フィッシングサイトへのリンクがないか、送信元が偽装されていないかをチェックし、危険なメールを社員に届く前に隔離します。社員が「これ怪しいかな?」と悩む時間をゼロにし、誤クリックによる被害リスクを根本から断ち切ります。
つまり、「怪しいメールをユーザーに届かせない」役割です。
※SPF/DKIM/DMARC;SPF・DKIM・DMARCとは、メールの「なりすまし」を防ぐための認証の仕組みです。SPFは送信元サーバーが正しいかを確認し、DKIMはメール内容が改ざんされていないかを検証します。さらにDMARCは、その結果をもとに受信・隔離・拒否といった処理ルールを決める役割を持ちます。これらはメール設定として実装するもので、組み合わせて利用することで、なりすましメールの被害を大きく防ぐことができます。多くの場合、Microsoft 365やGoogle Workspaceで対応可能(最初からサービスに含まれている)です。
■ SWG(エスダブリュジー)(Secure Web Gateway)
Webアクセス時に危険なサイトへの接続を防ぐ仕組みです。インターネット利用を安全にするための「クラウド上の検問所」です。
主な機能:
|
社員がWebサイトにアクセスしようとした際、そのサイトが危険でないかをリアルタイムで判定します。また、業務に不要なサイトや、情報漏洩のリスクがあるストレージサービスへのアクセスを制限することも可能です。テレワーク中でも、会社の外(自宅やカフェ)からのWebアクセスを会社と同じ安全基準で保護できます。
つまり、「危険なWebにアクセスさせない」役割です。
この2つは、いわば“会社の玄関に立つ警備員”です。
どれだけ内部の対策(EDRなど)を強化しても、入口が開きっぱなしでは意味がありません。
(参考)EDRとは?ウイルス対策ソフトとの違いをわかりやすく解説|中小企業のエンドポイント対策
中小企業がまず取り組むべき優先順位
すべてを一度に導入する必要はありません。中小企業の場合、優先順位をつけることが重要です。
| Step1:メール対策(最優先) |
| 被害の大半はメールから始まります。 まずはSEGの導入、もしくはメールセキュリティ強化が最優先です。 |
| Step2:Web対策 |
| 次にSWGなどでWeb経由のリスクを低減します。 |
| Step3:内部対策(EDRなど) |
| 入口対策を行った上で、侵入後の検知・対応を強化します。 |
この流れが、「守れる会社」を作る基本構造です。
中小企業が攻撃を受ける最大のデメリットは、自社の情報流出だけではありません。自社を「踏み台」にして、親会社や重要な取引先にウイルスメールを送りつけてしまうことです。これは社会的信用の失墜に直結します。
クラウド型のSEG/SWGを導入すれば、オフィス内にいなくてもセキュリティの壁が適用されます。場所を問わない働き方を推進する企業にとって、これほど心強い味方はありません。
まとめ|“入口を守る”ことが最もコスト効率が高い
サイバーセキュリティ対策というと、高度で高額な仕組みをイメージされる方も多いかもしれません。
しかし実際には、「そもそも入らせない」ことが最も重要で、最もコスト効率が高い対策です。
- メールで入らせない(SEG)
- Webで入らせない(SWG)
この2つを押さえるだけでも、リスクは大きく低減できます。
そしてその上で、万が一に備えるのがEDRやSOCといった対策です。
(参考)SOCとは?中小企業に監視体制は必要か|SIEM・MDRとの違いも解説
(参考)EDRとは?ウイルス対策ソフトとの違いをわかりやすく解説|中小企業のエンドポイント対策
それらを活かすためにも、まずは入口対策から見直すことが重要です。
「自社のメール対策・Web対策は十分なのか?」
「どこから手を付けるべきか分からない」
「今のメールサーバーに標準でついている機能で十分なのか?」
「社員がどんなサイトにアクセスしているか把握できていない」
といった不安はありませんか?
LYSTではそのような企業様向けに、現状診断や最適な対策のご提案も行っています。
中小企業でも“守れる会社”を実現するために、
まずは現状を把握することから始めてみてください。
