ランサムウェア攻撃は増加の一途をたどっていますが、最新報告書によると、大半の中堅・中小企業がランサムウェア攻撃に対処するための十分な能力を備えていないことが明らかにされた。現時点においても、大半の中堅・中小企業は、依然として、ランサムウェア攻撃に対する十分な備えができていない。ランサムウェア攻撃に対する備えが万全でなければ、深刻な打撃を受けることを、中堅・中小企業は認識すべきではないかと心配するのは、私だけでしょうか。私は、このような心配を実感している。
これまでも、多くのメディアが中堅・中小企業はサイバー攻撃のソフトターゲットにされていることを明らかにしている。また、そこには、サイバー攻撃対策において、予算や人員などの不足があることを言及している多くの記事が公表されている。
このような指摘にもかかわらず、この中堅・中小企業における課題は、十分に対応されていないようである。米サイバーセキュリティベンダーCyberCatch社のSmall and Medium-Sized Businesses Ransomware(中堅・中小企業におけるランサムウェア)レポートは、明確に、中堅・中小企業のランサムウェアへの対策が立ち遅れていることを指摘にしている。この報告書によると、
- 中堅・中小企業のなんと30%が、IR(インシデントレスポンス)計画を文書化していない
- IR(インシデントレスポンス)計画を作成している企業のうち、35%はこの6ヶ月以内に実地テストを実施していない
- 21%の中堅・中小企業が、書き換え不可な状態で維持されているオフライン・バックアップをとっていない
- 34%の中堅・中小企業は、フィッシング攻撃を阻止するためにフィッシング演習を従業員に実施していない
これで、大丈夫なのか。その結果から、さらに悪いことが予想される。
- 47%の中堅・中小企業は、標的となって攻撃を受ければ、3日しか生き延びられない
- 7日間生き延びることできるのは、28%しか過ぎない
中堅・中小企業では、予算および人材が限られている。そのため、費用対効果が最も高いセキュリティ対策に限定して、予算を投入するのが合理的であることは理解できる。例えば、エンドポイントセキュリティ、メールセキュリティ、パッチ適用、クラウドベースの書き換え不可バックアップに加えて、セキュリティ意識向上トレーニング ( フィッシング演習を含む)などが挙げられる。
サイバー攻撃者が最もよく使う攻撃手法への防御対策を徹底することによって、予算および人材が限られた中堅・中小企業でも、サイバー攻撃への備えを構築することができる。それはかりでなく、自社が攻撃の標的にならないようにすることができる。その意味でも、セキュリティ意識向上トレーニングは重要である。
原典:Stu Sjouwerman著 2022年4月28日発信 https://blog.knowbe4.com/75-of-smbs-would-only-survive-seven-days-or-less-from-a-ransomware-attack