#情報セキュリティ - 使えるねっと

テレワークの増加で、サイバーセキュリティの重要性はますます高まっています。企業のセキュリティ対策として大切なポイントはもちろんたくさんありますが、なかでも「メールセキュリティ」は真っ先に対応すべき分野のひとつです。

この記事では、中小企業を含めてすべての企業がメールセキュリティに注力すべき理由と具体的な対策について解説します。

メール経由のウイルス・マルウェア感染は、多様化し続けるサイバー攻撃の手法のうち、依然として一番被害の多いタイプだといわれています。特に増えているのは、特定の個人や企業を狙った「標的型メール攻撃」です。

標的型メール攻撃は、取引先や顧客などを装ったメールを送信して、マルウェアの仕込まれたリンクや添付ファイルをクリックさせようとする巧妙な攻撃手法です。一見通常のビジネスメールに見えるので、普段から注意していないと、知らないうちにうっかりマルウェアをダウンロードしてしまうことになりかねません。

IPA（独立行政法人情報処理推進機構）は毎年「情報セキュリティ10大脅威」を発表しています。最新の2024年版では「標的型攻撃による機密情報の窃取」は第4位で、9年連続でランクインしています。

2024年3月に警察庁によって発表された「令和5年におけるサイバー空間をめぐる脅威の情勢等について」には、警察が把握した標的型メール攻撃の具体的事例が挙げられています。いくつか紹介しましょう。

・メール本文のリンクからファイルをダウンロードさせ、そのファイルを開くことで不正プログラムに感染させる標的型メールが部品加工メーカーに送信された

・実在の組織になりすましてメールを送信し、添付ファイルを開かせ、実在するウェブサイトのログイン画面を装い、ID・パスワードの入力を求めるフィッシングサイトに誘導した

・知人になりすまして「論考を作成したので興味があれば送る」とのメールを送り、何度かやり取りした後、不正プログラムが仕掛けられた添付ファイルを送信した

業界や組織に関わりなく、広く標的型攻撃の被害が発生していることがお分かりいただけるのではないでしょうか？

メール経由で感染するマルウェア「Emotet」の脅威とは？

さらにここ数年、標的型メール攻撃に似た新たなマルウェア「Emotet（エモテット）」が全世界的に猛威を振るっています。Emotetは標的型メール攻撃と同じく、巧妙に仕組まれたスパムメール内のリンク・添付ファイルをクリックすることで感染します。Emotetが怖いのは、一旦感染してしまうと、社内ネットワークにどんどん攻撃を仕掛けて増殖していく点です。

Emotetは2段階のプロセスを経て感染します。最初の段階はWordやExcel、OneNote形式のファイル、またはそれらを圧縮したパスワード付きのZipファイルが添付されたメールを受信することです。添付ファイルではなく、URLリンクが本文に挿入されている場合もあります。いずれにしても、受け取った添付ファイルやURLを開くことでEmotet本体がダウンロードされる仕組みです。

2022年7月27日以降、MicrosoftはWindowsアップデートを適用することで、インターネットやメールから入手したOfficeファイルについてはマクロが無効化されるようになりました。これにより、Emotetを感染させていた「コンテンツの有効化」ボタンが表示されなくなり、Emotetへの感染リスクも低減しました。

その甲斐あってか、IPAによると2023年4月～12月において、Emotetの被害届はなかったとのことです。ただ、他のマルウェアでもそうであるように休止と再開を繰り返しており、Emotetに関しても今後いつ大規模な攻撃が始まるか分からないため、警戒を緩めないようにしなければなりません。

「読まない・開かない」努力だけでは限界になりつつあるメールセキュリティ

メールセキュリティに関しては、Emotetの感染再拡大のリスクに加え、フィッシングメールの激増にも注目しなければなりません。フィッシング対策協議会が毎年発表しているフィッシングレポート2024年版によると、2019年のフィッシング詐欺報告件数は5万件を超える程度だったのが、2023年はおよそ120万件にまで増えています。

その背景にはフィッシングメールの配信量の増大とともにフィッシング詐欺の認知度向上もあり、単純に5年余りで20倍以上に増加したとはいえないものの、悪化していることは確かです。2023年には212のブランドを騙ったフィッシングが確認されており、金融系からオンラインサービス、官公庁、クレジットカードまで多種多様でした。

各企業も注意喚起を促してはいるものの、メール受信者を騙す手口もどんどん巧妙化しています。最近では、よほど気をつけないとスパムであることを見抜けないようなものも多く、受信者側の用心や基本的なウイルス対策ソフトだけでは感染リスクを防げない状況になってきています。

こうした現状から考えると、今後のメールセキュリティは「読まない・開かない」から「受け取らない」へとシフトしていく必要があるのではないでしょうか。

「使えるメールバスター」で危険なメールをシャットアウト

使えるねっとの「使えるメールバスター」は、巧妙化し進化し続けるメール攻撃に対応するのに最適な、最新のソリューションです。使えるメールバスターには、以下のような特徴があります。

・完全クラウド型だから、個々のPCへのソフトウェアインストールや最新版更新が不要。メールサーバの負荷も最大80%軽減

・標的型攻撃メールを含め、迷惑メールがメールサーバに届く前にブロックし、検出率はほぼ100％、スパム撃退率99.98％の実績

・学習型AI技術を活用した独自のフィルタリングシステムで、未知の脅威もシャットアウト。データの収集と分析を行い、新しいパターンのスパムやマルウェアなどを検知できるように絶えず進化

・高性能なサービスにも関わらず、ユーザフレンドリーな操作性で特別な研修や専門スタッフは必要なし

・初期投資不要＆月単価11,770円（1年契約）であり、1メールアドレスあたりの単価は39円～の優れたコストパフォーマンス

使えるメールバスターは、30日間の無料トライアルも好評受付中です。メールのセキュリティ対策強化に、ぜひ検討してみてください。

FAQ

（1）迷惑メールを見分ける方法とは？

迷惑メールを見分けるポイントは3つあります。「相手先のメールアドレスがおかしくないか」「メールの宛先（「To」欄）が不自然ではないか」「本文の内容に違和感がないか」をチェックしましょう。

（2）メールを用いたサイバー攻撃にはどんなものがありますか？

メールを用いたサイバー攻撃には、メールの添付ファイルからマルウェアをダウンロードさせるEmotetや標的型攻撃、フィッシングメールなどがあります。フィッシングメールはここ5年で激増しており、この手段も巧妙化しているため、見分けるのが難しくなっています。

（3）迷惑メールを受け取ったらどうすればよいですか？

迷惑メールと思われるメールを受け取ったらすぐに削除しましょう。添付ファイルや本文のURLをクリックしなくても、なかには開いただけで感染するメールもあるため注意が必要です。

お電話でのお問い合わせはこちら：03-4590-8198
（営業時間：10:00-17:00）

警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年上半期に警察庁に報告された企業・団体等におけるランサムウェア被害の件数は103件でしたが、そのうち約6割は中小企業でした。このことから大企業だけでなく、中小企業でも情報セキュリティ対策が重要であることが分かります。

しかし、「中小企業における情報セキュリティ対策に関する実態調査」報告書（2021年度）によれば、過去3期において「IT投資」を行っていないと回答した企業は30％、「情報セキュリティ対策投資」を行っていないと回答した企業も33.1％に上りました。サイバー攻撃に加えて災害やシステム障害などのリスクも考えると、BCP（事業継続計画）の策定も不可欠です。

ここでは、中小企業の情報セキュリティ、BCPに欠かせないソリューションであるクラウドバックアップについて取り上げます。

情報セキュリティ5か条とは？

中小企業の情報セキュリティ対策はどこから始めたらよいのか分からないという方も多いでしょう。その場合に参考になるのがIPA（独立行政法人情報処理推進機構）が提唱している「情報セキュリティ5か条」です。以下で一つずつ解説します。

OSやソフトウェアは常に最新の状態にしよう！

OSやソフトウェアのアップデートをせずにそのままにしていると、セキュリティ上の問題点を悪用したサイバー攻撃の対象になるリスクが高まります。WindowsOSの場合はWIndowsUpdate、macOSの場合はソフトウェア・アップデートをするなど、ベンダの提供するサービスを定期的に実行しましょう。また、テレワークで利用するパソコン等のソフトウェアやルーター等のファームウェアを最新版にします。

ウイルス対策ソフトを導入しよう！

ウイルス対策ソフトを導入し、ウイルス定義ファイルは常に最新の状態にしておきます。一般的にウイルス定義ファイルは自動的に更新されるように設定されていますが、念のため設定を確認するようおすすめします。また、マルウェアの種類も多岐に渡りますので、総合型のセキュリティ対策ソフトの導入をご検討ください。

パスワードを強化しよう！

パスワードの基本は「長く」「複雑で」「使い回さない」ことです。具体的には、パスワードは10文字以上にします。また、大文字、小文字、数字、記号を含め、自分の名前や電話番号、誕生日、簡単な英単語などをパスワードに含めるのは控えましょう。さらに可能なら多要素認証や多段階認証を採用するとよいでしょう。

共有設定を見直そう！

ウェブサービス、ネットワーク接続の複合機などを利用するときは、無関係な人から情報をのぞき見られないようにファイル共有範囲を限定します。テレワークで使用するパソコンなどの端末も他者と共有しないようにし、共有せざるを得ない場合は別途ユーザアカウントを作成しましょう。

脅威や攻撃の手口を知ろう！

サイバー攻撃の手口やマルウェアの種類について、最新の情報を入手して対策をとります。具体的には、IPAなどセキュリティ専門機関のウェブサイトやメールマガジンを活用しましょう。

サイバー攻撃の手口を理解する

上記「情報セキュリティ5か条」の第5条が述べていたように、中小企業にとってサイバー攻撃の脅威や手口を理解することが重要です。その上で、従業員教育やセキュリティソフトウェアの導入を行わなければ、対策としては不十分と言わざるを得ません。

サイバー攻撃の情勢は年々変化しますが、ここでは近年増大している代表的な3つの手口について解説します。

DDoS攻撃

DDoS（Distributed Denial of Service）攻撃とは、複数の端末から大量のパケットを攻撃対象であるWebサーバなどに送り付け、サービスを停止に追い込む手法です。大量のパケットによりサーバが高負荷状態に陥り、正常なアクセスに対するレスポンスが低下したり、サーバに接続されている帯域が消費されたりすることで、正常なサービス提供ができない状態になるのです。

DoS攻撃は1台の端末からの攻撃であるのに対し、DDoSは複数の端末から一斉にサイバー攻撃をすることから、攻撃対象のサーバにより大きな負荷をかけます。そして、一般にDDoS攻撃は、無関係のPCを「踏み台」にして行われるため、サイバー攻撃の「仕掛け人」を見抜くのが難しいといわれています。

標的型メール攻撃

標的型攻撃メールとは、特定の企業や個人を対象に、機密情報や知的財産を盗取する目的で送信されるメールのことです。同僚や取引先からのメールを装って送られるため、受信者は本物のメールと見分けがつかず、多くの場合、セキュリティソフトによっても検出されません。受信者がそのメールに添付されているファイルをダウンロードして開いたり、メール本文にあるリンクにアクセスしたりすると、端末やネットワーク内の機密情報が漏えい、あるいは他の端末にもウイルスが拡散するなどして被害が拡大します。

ランサムウェア

ランサムウェアとは、マルウェアの一種であり、感染するとパソコン内のデータを暗号化して使用できない状態にし、そのデータに対する対価として金銭や暗号資産を要求する不正プログラムのことです。近年では、データを暗号化するだけでなく、「対価を支払わなければデータを公開する」などと要求する二重恐喝（ダブルエクストーション）の手口も増加しています。

5か条＋1で「事業継続対策」が重要

前述したIPA提唱の「情報セキュリティ5か条」を徹底することで、中小企業はサイバー攻撃から自社の情報資産やシステムを守ることができます。しかし、当然ながら完璧な防御はありません。そのため、より現実的な対策として、万が一攻撃された場合の復旧策についても前もって考えておかなければなりません。それが「5か条＋1」の「事業継続対策」です。

この考え方はサイバー攻撃だけに当てはまるわけではありません。災害大国である日本では、企業の拠点がどこであっても常に災害のリスクを想定しておかなければならず、政府も災害に備えて事業継続計画（BCP）を策定するようにすすめています。事業継続計画を前もって作っておくなら、万が一事業活動が中断された場合でも目標時間内に重要な機能を復旧させ、自社のマーケットシェアや企業評価の低下、顧客取引の競合他社への流出などを最小限にすることができます。

中小企業がBCPを策定するにあたっては、中小企業庁が公開している「中小企業BCP策定運用指針」が参考になります。その指針に従って作業することで自社にとって最適なBCPを作ることができますが、一度作ってしまえばそれでよいというわけではありません。BCPは経営戦略の一環であるため、立案し、運用体制を確立したら、日常的に策定・運用サイクルを回していくことがポイントです。

BCPの具体的内容は各企業の中核事業や従業員数などによって異なり、多岐に渡りますが、「中小企業BCP支援ガイドブック（中小企業庁）」によると、事前対策の例として以下のような枠組みが提唱されています。

人

■安否確認ルールの整備

■代替要員の確保

情報

■重要なデータの適切な保管

■情報収集・発信手段の確保

物

■設備の固定

■代替方法の確保

金

■緊急時に必要な資金の把握

■現金・預金の準備

「情報」の部分で示されているように重要なデータを適切に保管するためにはバックアップが不可欠であり、どの中小企業にとってもBCPに含めておきたい施策の1つです。

中小企業にとってのクラウドバックアップのメリット

中小企業のBCP対策としてデータバックアップを検討する際、その方法には大きく分けてオンプレミスとクラウドの2つがあります。ここでは、中小企業にとってクラウドバックアップ（オンラインバックアップ）を選択するメリットについて解説します。

コスト削減に役立つ

中小企業がクラウドバックアップを利用する1つ目のメリットとして、コスト削減に役立つ点が挙げられます。

オンプレミスを選択して自社サーバを準備する場合、物理サーバはもちろんのこと、アプリやライセンスを取得するためにも費用が発生します。しかし、クラウドストレージであれば、ほとんどの場合、初期コストはかからず、利用したストレージの容量やアカウントの数の分だけ費用を支払います。

また、社内でサーバを設置してバックアップしようとすれば、専門スタッフがシステムを構築し、保守・点検を続けなければならず、人的コストもかかります。この点、クラウドバックアップであれば、外部のクラウドストレージサービスを提供してくれる事業者が一手に引き受けてくれるため、社内リソースの削減にも役立ちます。

セキュリティを強化できる

中小企業がクラウドバックアップを利用する2つ目のメリットは、データセキュリティを強化できる点です。

オンプレミスでは基本的に社内のサーバにデータをバックアップしますが、クラウドバックアップの場合、社内のネットワークと切り分けた場所（データセンター）に保管します。そのため、万が一社内ネットワークがランサムウェアに感染するなどしても、バックアップ自体は感染から守ることが可能です。

企業規模に合わせて柔軟に利用できる

中小企業がクラウドバックアップを利用する3つ目のメリットは、企業規模に合わせて柔軟に導入できる点です。

オンプレミスの場合、いったん社内にサーバを設置すれば、簡単に増やすことは困難です。しかし、クラウドバックアップであれば、柔軟にストレージを増やせますし、ユーザアカウントも従業員数に合わせて簡単に増減できます。そのため、スタートアップ企業がスモールスタートをして、事業の成長に合わせて増えていくデータをバックアップするのにも適しています。

クラウドバックアップの成功事例

ここでは、実際にクラウドバックアップを導入し、情報セキュリティ対策に成功を収めた中小企業の事例を紹介し、その成功要因について考察してみます。

全国に400社近くあるクラフトビールメーカーの中でもトップシェアを誇る株式会社ヤッホーブルーイングは、「ビールに味を！人生に幸せを！」をミッションに、新たなビール文化を創出すべく事業を展開しています。こだわりのクラフトビールで根強いファンを獲得し、「よなよなエール」や「水曜日のネコ」などの製品で知られている企業です。

同社は受注や出荷、顧客管理などにさまざまなシステムを運用していますが、ここ数年バックアップで失敗が頻発するようになりました。当時はバックアップの状態が不安定で、バックアップが取れているのかどうか確信が持てない状態が続いたそうです。また、バックアップの仕組みに精通しているのが担当者1人のみで、属人性を排除したいという願いもありました。同時にBCP対策も念頭において、2018年5月頃から簡易な形でシステムを復元できるバックアップシステムの比較検討を始めたといいます。

クラウドバックアップのソリューションを比較検討するにあたっては、復元できるかどうかを定期的にテストすることが可能なソリューションを選ぶことを優先したといいます。また、将来的なサーバ拡張やIoTシステムの導入可能性も見据えて、バックアップ容量を柔軟かつ容易に変更・拡大したいという願いもありました。

加えて、同社の基幹系システムはクライアント／サーバシステムで、クライアント端末にはインターネットと接続する機能が残っており、万が一端末がランサムウェアに感染するとシステム全体に波及する可能性がありました。そのため、ランサムウェア対策機能の有無も重視されました。

こうした条件をすべて満たし、なおかつユーザインタフェースが使いやすく、他のサービスと比較してもリーズナブルに導入できたのが「使えるクラウドバックアップ」でした。

ヤッホーブルーイングでは2019年1月から使えるクラウドバックアップを正式に利用開始しましたが、最初のフルバックアップは約2時間でスムーズに完了、その後の毎日の増分バックアップも数分もかからずに終わるといいます。また、使えるクラウドバックアップの機能を利用して、毎日のバックアップ完了をメーリングリストに通知するように設定したところ、メンバーのバックアップに対する意識が大きく向上したようです。

同社では、将来的に基幹系システムのクラウド化も構想しており、ディザスタリカバリを含めたより包括的なデータ保護をクラウドを活用することで進めたいと思っています。

ヤッホーブルーイングの成功要因は、バックアップソリューションを検討するにあたって、自社にとっての最適解が何かを深掘りしたことといえるかもしれません。その結果、オンプレミスではなく、クラウドを活用したバックアップツールの導入にたどり着いたのです。

使えるクラウドバックアップ：ウイルス対策とデータ保護を兼ね備えた統合型ソリューション

クラウドによるバックアップツールはたくさんありますが、特におすすめなのが、前出の事例でも取り上げた「使えるクラウドバックアップ」です。使えるクラウドバックアップは、クラウドソリューションのグローバルリーダー、アクロニス社のクラウドソリューション「Acronis Cyber Protect」をベースにしたサービスです。

使えるクラウドバックアップが選ばれるのには主に3つの理由があります。

効率的かつ安全

使えるクラウドバックアップが採用しているのは、すべてのアプリ、ファイル、ユーザアカウント、各種設定、OSを含むシステムイメージ全体を一気にバックアップするイメージバックアップです。そのため、迅速かつ効率的なバックアップが可能ですし、復元もスピーディーに行えます。

さらに、ファイルをアップロードする前に米軍も採用する「AES-256」で暗号化、長野県のデータセンターで大切に保管します。

高度なランサムウェア対策

「中小企業のセキュリティ対策とクラウド活用（内閣サイバーセキュリティセンター）」によると、2016年において9割近くの中小企業がウイルス対策ソフトでセキュリティ対策を実施していました。

この点、使えるクラウドバックアップはウイルス対策も兼ねられるため、自社の情報セキュリティはさらに堅牢になります。使えるクラウドバックアップは、AIテクノロジー「アクティブプロテクション」を搭載し、ランサムウェアやウィルス等のマルウェア対策が可能な包括的サイバープロテクションを実現します。

圧倒的コストパフォーマンス

中小企業にとってクラウドバックアップツールの導入を検討する際に重要なコスト面でも、使えるクラウドバックアップは優れています。初期費用は不要で、月額2,200円～の低コストでPCからサーバまであらゆるデータをバックアップします。

30日間の無料トライアルが可能です。是非お気軽にお問い合わせ下さい。

FAQ

1. バックアップはなぜ必要ですか？

中小企業にとって情報資産の重要性は高まるばかりですが、それを狙ったサイバー攻撃が頻発しており、手口もより巧妙になっています。また、災害やシステム障害などのリスクも常にあります。
しかし、仮に上記の要因により事業が中断しても、データバックアップをしていれば事業継続が可能です。逆に、万が一の事態が発生したときに企業がバックアップを含め十分な対策をとっていなければ、信頼の失墜につながります。

2. クラウドバックアップの頻度はどのくらいが適切ですか？

バックアップの頻度が高ければ高いほど、安全性は担保できます。しかし、その分データの同期に手間がかかり、運用の負担がかかってしまいます。そのため、データ保管の重要性と運用負荷のバランスを考えながらクラウドバックアップを行いましょう。多くの場合、定期的に自動バックアップ（オートバックアップ）する設定も可能です。

3. 中小企業にクラウドバックアップがおすすめである理由は？

中小企業がバックアップツールを導入するにあたって、高いハードルになるのがコストです。また、リソースが限られているため、研修不要で簡単に使えるユーザインターフェースも重要でしょう。

クラウドバックアップはそのいずれもクリアしており、初期コスト不要で導入できます。しかも複雑な操作は不要なため、すぐに使える点が魅力。加えて、オンプレミスとは異なり、ネット環境さえあればどこでもバックアップ可能です。

お電話でのお問い合わせはこちら：03-4590-8198
（営業時間：10:00-17:00）