21年度調査報告から参考事例選定

独立行政法人情報処理推進機構（IPA）は4月、「2021年度中小企業における情報セキュリティ対策に関する実態調査―事例集」を公開した。事例集では、全国61社の多様な業種において、情報セキュリティに関する取り組み内容が充実している、もしくは投資が多い事例や、被害実態のある事例、サプライチェーン上での要請が多い事例などを選定して掲載している。主な被害事例を紹介する。

■ウイルス感染を機に対策強化

石川県で建設業を営むA社では、従業員の端末でトロイの木馬やランサムウエアといったウイルスの感染を経験している。ランサムウエアに感染した際は、サーバ上のファイルが暗号化されてしまい、その解除と引き換えに金銭の要求を受けた。この対応のために、相当の時間と費用を費やしている。

そこで、IPAが提供する資料を参考に社内規定を整備し、従業員に対してリテラシー向上のための周知を継続的に行った。また、管理者権限を持つアカウントを限定することで、ソフトウエアのインストールを制限するなどの対策を行った。

A社は、「中小企業では情報セキュリティ投資をいつでも十分に行えるとは限らない。そのため、従業員のリテラシー向上が一番の対策になるのではないか」とコメントしている。

■不正アクセス被害を機に対策強化

兵庫県でサービス業を営むB社では、利用する外部のホームページ作成・管理サービスへの不正アクセスの被害を経験している。トップページの動作や画面表示がおかしいことで気付いて調査すると、外部サービスの安易なパスワード設定を破られて不正ログインされてしまい、不明なファイルが設置されていた。

そこで、ID・パスワードを強固なものに変更し、IPアドレス制御を行い社外からのアクセスを制限した。また、不明なファイルを削除した。加えて、関連会社も同じパスワードを使い回していたので別のものに変更したり、外部サービスのアップデートのルールも定めたりと、対策を根本的に見直した。

B社は、「当社のような小規模企業に対して不正アクセスが行われるとは考えていなかったため、驚いたのが正直な感想」とコメントしている。

■内部不正疑いを機に対策強化

東京都で卸売業を営むC社では、元従業員による機密情報の持ち出しが疑われる事案を経験している。元従業員は退職前に大量のファイルをダウンロードしていたが、端末上の証跡を消去しており、外部専門家が調査しても確定的な証拠を得ることができず、被害届を提出することができなかった。

そこで、機密情報の取り扱いに関する社内規定を整備するとともに、従業員向けの研修を実施し、会社の情報資産に関する共通認識を持つように努めた。また、情報資産管理やログ（記録）管理、デバイス管理を行うシステムを導入して再発防止に取り組んだ。

C社は、「被害届を提出しないと判断するまでに2年の時間を要したが、その間、弁護士に情報提供するためのさまざまな作業に係る人件費以上に心的負担が大きかった」とコメントしている。

本調査報告書事例集についてはIPAのウェブサイトに掲載している。先に公表している調査報告書と併せて自社の取り組みの参考にしてほしい（https://www.ipa.go.jp/files/000098149.pdf参照）。

（独立行政法人情報処理推進機構・江島将和）

調査報告書はこちら ▶ https://www.ipa.go.jp/security/fy2021/reports/sme/index.html