編集 NTT東日本編集部

セキュリティリテラシーとは、情報セキュリティ対策に配慮しながらデジタル機器やインターネットを安全に使用できる知識・能力のことです。

サイバー攻撃は、大企業のみならず中小企業も標的にしています。そのような状況のなか、企業がセキュリティリテラシーを高めなくては、悪意のある不正なプログラムへの感染やフィッシング詐欺に遭うといった深刻な被害を招きかねません。

本記事では、中小企業がサイバー攻撃の脅威に晒される背景を解説し、日々の情報収集を通じて情報セキュリティ対策への意識を高める重要性をお伝えします。

さらに、企業が取り組むべき具体的な対策についてもご紹介します。中小企業が自社を守るために、今すぐ取り組める方法を一緒に確認していきましょう。

1.セキュリティリテラシーの基本

情報社会を安全に生き抜くためには、基本的なセキュリティリテラシーを理解しておくことが非常に大切です。この章では、セキュリティリテラシーの意味や重要性について、実際の脅威の事例も交えて説明します。

セキュリティリテラシーとは

セキュリティリテラシーとは、情報セキュリティ対策を意識しながら、デジタル機器やインターネットを安全に使うための知識や能力のことです。「リテラシー」という言葉はもともと「読み書きができる力」を指しますが、今では「ある分野についての知識を持ち、それを活用できる力」という意味でも使われています。

なぜセキュリティリテラシーが重要なのか

近年、企業や行政機関、大学などの教育・研究機関などを狙ったサイバー攻撃が増えています。令和6年上半期には5,715件ものサイバー事件が検挙されました。

特にランサムウェアによる被害は深刻で、令和6年上半期だけで114件が報告されています。ランサムウェアとは、感染したパソコンをロックしたり、ファイルを暗号化したりして使えなくし、その復旧と引き換えに「身代金」を要求する不正なプログラムです。特に中小企業が狙われやすく、企業規模別被害状況によると73％が中小企業に集中しています。

また、フィッシング詐欺による被害も後を絶ちません。実在するサービスや企業を装った偽のメールやSMSで利用者を偽サイトに誘導し、情報を盗んだりウイルスに感染させたりする手口が使われています。

情報が盗まれると、アカウントの乗っ取りや金銭を奪われたり、ECサイトで勝手に買い物をされたりする恐れもあるでしょう。さらに、悪意あるソフトウェアに感染してしまうと、スマートフォンの電話帳情報が抜き取られたり、自分の端末がフィッシングメールの発信源になったりする恐れもあります。令和6年のフィッシング報告件数は171万8,036件に上りました。

このような状況を考えると、企業内でこれらの攻撃手法や被害の実態を理解し、デジタルツールやネットワークを正しく使い、防御策を講じることが非常に重要です。大切なデータが使えなくなったり盗まれたりすると、事業運営に損害をもたらすこともあるでしょう。

出典：令和６年におけるサイバー空間をめぐる脅威の情勢等について｜警察庁

2.企業にとってのセキュリティリスク

企業活動を脅かすサイバー攻撃にはさまざまな種類があります。この章では、実際に起きたランサムウェアやフィッシング詐欺の被害事例を通して、企業が直面する具体的なリスクを紹介します。

ランサムウェア被害

ある大手出版社では、サーバーがランサムウェアを含む大規模な攻撃を受け、提供していたWebサービスが停止、その影響で書籍の流通にも支障が出ました。さらに、25万人分を超える個人情報や企業情報が漏えいしたことが確認され、調査や復旧費用などで30億円以上の損失が発生しています。

出典：令和６年におけるサイバー空間をめぐる脅威の情勢等について｜警察庁

フィッシング詐欺被害

ある輸入販売企業では、海外の取引先を装った攻撃者から偽の振込依頼メールを受け取り、誤って送金してしまいました。その結果、送金額の約半分を攻撃者に引き出されるという深刻な被害が発生しました。

出典：ビジネスメール詐欺（BEC）の詳細事例１｜IPA 独立行政法人 情報処理推進機構

3.なぜ中小企業が狙われるのか

なぜ、中小企業が狙われ、多数の被害が発生しているのでしょうか。特に中小企業がサイバー攻撃の標的となりやすい理由の一つに、「3つの不足」があります。中小企業では「人手不足」「管理不足」「資金不足」といった課題を抱えている場合が多く、サイバー攻撃などのリスクにさらされやすい傾向が目立ちます。

「人手不足」とは、ICT担当者がいなかったり他の業務と兼任していたりして、新たにセキュリティ対策を講じようとしても工数がかかるような状態です。「管理不足」は、導入したネットワーク機器やウイルス対策製品が更新されず、アップデートのタイミングもわからないため、そのまま放置されてしまう状態です。また、「資金不足」は、社内教育やセキュリティ対策が十分にできないだけでなく、新しいセキュリティ製品も導入できないケースを指します。

このような状況が、被害を引き起こす主な原因となっている場合が多いと考えられます。よって、単にパソコンにウイルス対策ソフトをインストールするだけでなく、セキュリティリテラシーを身につけたうえで「多層防御」を取り入れることが重要です。この「多層防御」については後ほど説明します。

4.セキュリティリテラシーを高めるために日々の情報収集が重要

セキュリティリテラシーは、一度身につければ終わりではありません。サイバー攻撃は日々進化しているため、最新情報の収集と継続的な教育が欠かせません。ここでは、情報収集の大切さと具体的な方法を紹介します。

攻撃の傾向把握が重要

企業内で従業員のセキュリティリテラシーを高め、デジタルツールやインターネットを正しく使ってもらうためには、攻撃の傾向や企業の被害事例など、具体的な内容を学ぶことが重要です。

ただ、「ランサムウェアに注意しましょう」「フィッシングメールに気をつけましょう」といった漠然とした呼びかけだけでは、社員は「どのような場面で警戒すればよいのか」や「もし攻撃を受けた場合、事業活動にどれほどの被害が出るのか」といったことを具体的にイメージしにくいでしょう。

そのため、できるだけ具体的な事例を学んでもらったり、社内で情報を共有したりする取り組みも大切だと考えられます。

どこで情報収集をすればよいか

セキュリティリテラシーを向上させるために役立つWebサイトを、いくつかご紹介します。

IPA 独立行政法人 情報処理推進機構

IPAは、経済産業省の管轄下にある独立行政法人です。主に産業界・官公庁・大学などの教育・研究機関を対象として、情報セキュリティ対策に関する相談を受け付けており、ウイルスや不正アクセス、脆弱性に関する情報の届出窓口も設けています。

さらに、IPAのWebサイトでは「重要なセキュリティ情報」として、デジタル機器やソフトウェアの脆弱性（攻撃されやすい弱点）やサイバー攻撃に関する情報などが日々発信されています。また、中小企業が自分たちで情報セキュリティ対策を強化できるよう、ガイドラインなどの資料も公開されているため、新しい情報を得るためにも、一度目を通しておく価値があるでしょう。

なお、IPAはFacebookやYouTubeなど、さまざまなソーシャルメディアのアカウントも運営しています。これらのアカウントを利用すれば、日々の情報を手軽に集めることができます。

IPA

ソーシャルメディア公式アカウント｜IPA 独立行政法人 情報処理推進機構

一般社団法人 JPCERT コーディネーションセンター

JPCERTは政府機関や企業の影響を受けない独立した中立的な組織で、フィッシング対策協議会の事務局も担当しています。不正アクセスやサービス妨害、データ破壊などに対し、技術的な対応支援を行っています。JPCERT のWebサイトではIPAと同様に、「悪意のあるソフトウェアに関する情報」「ソフトウェアの脆弱性情報」を日々提供しているため、参考にするとよいでしょう。

JPCERT

5.セキュリティリテラシーを高めるために、企業が取り組むべき対策・仕組みづくり

企業のセキュリティリテラシーを高めるためには、攻撃の傾向やソフトウェアの脆弱性情報を日々チェックするだけではなく、同時に技術的な対策も必要不可欠になるでしょう。この章では具体的な対策や仕組みづくりを紹介します。

パスワードの複雑化

IPAでは、パスワードを初期設定のまま使わず、できるだけ複雑で長い文字列に設定することを推奨しています。また、他のシステムやWebサイトに同じパスワードを使い回すことも避けるべきです。

多要素認証の導入

多要素認証とは、Webサイトやシステムにログインする際、IDやパスワードだけでなく、「ワンタイムパスワード」や「生体認証（指紋や顔認証など）」といった別の要素も組み合わせてユーザーを認証する方法です。

この仕組みによって攻撃者が突破することが難しくなるため、情報セキュリティ対策強化の観点から推奨されています。最近では、多要素認証を導入する企業が増えています。

USBメモリの取り扱いに注意

所有者がわからないUSBメモリを不用意にパソコンへ接続しないよう注意しましょう。なぜならば、ウイルス感染のリスクがあるからです。また、個人が所有する外付けハードディスクなどの外部記憶媒体を社内のパソコンに接続する場合にも同様のリスクが考えられるため、社内でルールを決めて周知することが必要です。

個人の端末を社内ネットワークに接続する場合のルールを策定

スマートフォンやパソコン、タブレットなどの個人端末を社内ネットワークに安易につなぐことも、ウイルス感染のリスクがあります。もし端末を社内に持ち込んでネットワークに接続する必要がある場合は、ICT管理者の許可を得るなど、あらかじめルールを決めて運用することが望ましいでしょう。

多層防御

パソコンにウイルス対策ソフトをインストールするだけでは十分ではありません。より強固な情報セキュリティ対策には「多層防御」が必要です。「多層防御」とは、複数の製品や機能を組み合わせて対策を講じることで、セキュリティを強化する考え方です。

なぜ多層防御が重要なのでしょうか？それは、1つの対策だけで完璧に守ることはできないからです。それぞれの製品や機能には得意・不得意があるため、複数の対策を重ねる「多重防御」が効果的です。たとえば、NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」は「多層防御」を実現できるサービスです。詳しくは次の章で紹介します。

6.NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」で多層防御を実現

NTT東日本の「おまかせサイバーみまもり セキュリティパッケージ」は、「3つの壁」で社内ネットワークをさまざまな脅威から守るサービスです。この「3つの壁」とは、「UTM」「ウイルス対策ソフト」「EDR」の3つの仕組みを指し、これらを組み合わせることで多層的な防御が可能になります。

まず「UTM」は、インターネットと社内ネットワークの間でやり取りされるすべての端末の通信を保護し、ネットワーク全体を守る対策の一つです。次に、「ウイルス対策ソフト」は、ウイルスなどの脅威が社内に侵入するのを防ぎ、「EDR」は、万が一脅威が侵入した場合でも、早期にその異常を検知し、被害を最小限に抑える役割を果たします。

「おまかせサイバーみまもり セキュリティパッケージ」は多層防御をワンパッケージで実現することで、セキュリティ対策の強化だけでなく社内のICT担当者の運用負担を減らすことが可能なサービスです。

さらに、セキュリティインシデントが発生した際の相談先を一本化することで、有事の際の負担低減につながります。

セキュリティ対策の強化をお考えの方は、ぜひNTT東日本の「おまかせサイバーみまもり セキュリティパッケージ」をご検討ください。

多層防御もワンパッケージ。ICT担当者の負荷も軽減できるNTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」はこちら

7.まとめ

本記事では、セキュリティリテラシーの基本から、企業が直面するリスク、日々の情報収集の重要性、そして具体的な対策や製品導入のポイントまで幅広く解説しました。特に中小企業では、限られたリソースの中でどのように多層的な防御を作るかが、事業の継続に大きく関わります。

多層防御をワンパッケージで実現し、ICT担当者の負担も軽減できるNTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」は、こうした課題を解決する有効な選択肢です。サービスについての詳細は、以下リンクからお気軽にご相談ください。

個人情報漏えいを未然に予防！万が一の事態に備えた体制構築でお困りの方は「おまかせサイバーみまもりセキュリティパッケージ」へご検討ください。
詳細はこちら

まずはお気軽にお問い合わせください。 NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」お問い合わせフォーム

• 「Facebook」は、Meta Platforms, Inc.の登録商標です。
• 「YouTube」は、Google LLCの商標です。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む