経営者お役立ち情報

【東京都】会社のデータが突然消えてしまったら?サーバーやセキュリティー対策に使える補助金最大1500万円。

 

コロナ禍の影響もあり、テレワークの導入が進んでいると思いますが、
導入とともに対策しなければならないことがあります。
その1つが「サーバーやセキュリティ対策」です。

 

「何となく怖いもの」というイメージはあるけれど
具体的にどんな対策をしたら良いのか迷っている方はいませんか?

 

今回の記事では
前半は、どんな被害が起こりうるのか?事例と対策方法

後半は、最大1,500万円経費の1/2を補助してくれる補助金
「サイバーセキュリティ対策促進助成金」

についてご紹介します。

社長
社長
自分の会社は大丈夫かな…?💭

今は大丈夫だけど今後の対策としてもちょっと知っておきたいな…!

被害事例&解決方法、最後に申請方法もわかりやすく紹介しますね♪

気になる人はぜひ最後までご覧ください。

コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

 

 

画像で一目瞭然!わかりやすい!

補助金コンシュルジュの公式Instagramもあります!

下の画像をクリック!

コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

サイバー攻撃とは?サイバー攻撃などで会社が被る損害

     サイバー攻撃ってなに?


サイバー攻撃とは

サーバやパソコンなどのコンピューターシステムに対し、

ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。

 

特定の組織や企業個人を標的にする場合や、
不特定多数を無差別に攻撃する場合があり、
その目的も様々で、
金銭目的のものもあれば、ただの愉快犯的な犯行も多くあります。

 

 

 

サイバー攻撃による被害総額件数

警察庁の発表では、
金融機関に関する攻撃の2015年被害総額は30億7300万円を超え
過去最高になったことが明らかにされました。

最新情報が2015年(平成27年)ですが、
ECサイトの普及などから
令和3年現在で被害総額が減っていることは考えにくいでしょう。

社長
社長
テレワークにより企業の被害が増えたのはもちろんだけど、

プライベートでもネットで気軽に買い物する機会がたしかに増えたな。

その分、公私ともに被害は増え続けているんだね…!

 

令和3年中のサイバー犯罪の検挙件数12,209件過去最多を記録しました。

ランサムウェアによる被害が拡大するとともに、
不正アクセスによる情報流出や、
国家を背景に持つサイバー攻撃集団によるサイバー攻撃が明らかになるなど、
サイバー空間をめぐる脅威は、極めて深刻な情勢が続いています。

出典:警視庁 広報資料 令和4年4月7日(PDF)

 

【2022年最新】サイバー攻撃の目的・損害実例

かつてのサイバー攻撃は、
嫌がらせやスキルの誇示といった「愉快犯的な犯行」が多くを占めていました。

しかし、
IT技術の発達や情報資産の価値向上により
最近のサイバー攻撃 は金銭目的」の犯行が増加しています。

 

出典:総務省トップ > 政策 > 白書 > 令和3年版 > テレワークの実施状況

 

テレワークの普及によりPCを使用して仕事する会社・従業員爆増しました。

被害にあうのはIT業界の会社(情報通信業)だけではありません!

 

 

【被害】過去の企業事例

  • 大手食品製造会社オンラインショッピングに不正アクセスが行われ、クレジットカード情報が1万件近く流出

 

  • 大手旅行会社が航空会社を装ったメールによりウイルスに感染し、多くの顧客情報を流出

 

  • 内部不正のケースでは、ある機関では職員が情報を持ち出して加入者情報が流出

顧客の個人情報の流出などは、企業の信頼も失う大きな損失となります。

 

被害に遭ってからでは遅いのでぜひ事例とともに解決方法を見てみましょう!
コンシェルジュゆきちゃん
コンシェルジュゆきちゃん
社長
社長
よろしくお願いします!

 

サイバー攻撃の”企業”での実例3選!~傾向&対策~

企業がよく遭うサイバー攻撃の種類を3つご紹介します。

最新の傾向を知るとともに、しっかり対策していきましょう!
コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

【被害事例①】復旧に2ヶ月もかかる?!ランサムウェア

警察庁の発表によると、2021年度はサムウェアによる被害が拡大しました。

 

参考:ランサムウェアってなに?

     ランサムウェアってなに?💸


ランサムウェアとは、企業のデータを不正に暗号化し、データを元に戻す代わりに身代金を要求する攻撃です。

 

 

もう少し詳しく書くと・・・

従来のランサムウェアは、
不特定多数の利用者を狙って電子メールを送信する
といった手口が一般的でした。

 

本物のサイトを装った迷惑メールが届いた経験はありませんか?

会社のメールだけでなく、プライベートでも届いた経験がある方は多いのではないでしょうか?

コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

現在では、VPN機器をはじめとする企業のネットワーク等の
インフラのぜい弱性を狙って侵入するなど、
特定の個人や企業・団体等を標的とした手口に変化しています。

 

また、最近の事例では、データの暗号化のみならず、

データを窃取したうえで、企業等に対し
「対価を支払わなければ当該データを公開する」などと
金銭を要求する二重恐喝(ダブルエクストーション)

という手口が多くを占めています。

 

 

ランサムウェアの被害件数が爆増!

2021年度の被害件数は、146件に上りました。
2021年上半期と前年同期を比較すると、約3倍に増加しています。

 

出典:警視庁 広報資料 令和4年4月7日(PDF)

 

 

大企業だけが襲われるわけではない!中小企業の方が…

被害件数(146件)の内訳を被害企業・団体等の規模別*3 にみると、
大企業49件中小企業79件であり、
その規模を問わず、被害が発生していることがわかります。

出典:警視庁 広報資料 令和4年4月7日(PDF)

 

 

 

復旧にかかった期間費用総額

 

出典:警視庁 広報資料 令和4年4月7日(PDF)

 

復旧に要した期間について質問したところ

108件の有効な回答があり、このうち、
1週間以内に復旧したものが32件と最も多かったが、
復旧に2か月以上要したものもあった。

 

また、
ランサムウェア被害に関連して要した
調査・復旧費用の総額について質問したところ

97件の有効な回答があり、このうち、
1,000万円以上の費用を要したものが42件で43%を占めている。

 

 

解決方法:ランサムウェア対策に欠かすことのできない3箇条

社長
社長
このような脅威をもたらすランサムウェアに対して、

具体的にどのような対策を取れば良いのだろう?

 

必要だと思った対策があれば、

補助金を有効活用して取り入れてみましょう!

コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

 

1. セキュリティ教育

まず必要なのは、社員へのセキュリティ教育です。

 

メールやWebサイトの閲覧を通じて感染する場合が多いため、
不審なメールやWebサイトを開かないようにという注意喚起と、
感染が起きてしまった場合の事後対応手順策定・周知が必須です。

 

ランサムウェアは人間の恐怖につけ込み
パニック状態に追い込んで冷静な思考能力を奪うことで、
金銭詐取混乱の拡大を狙います。

 

だからこそ、被害を最小化するためには
実際に起きた場合を想定して事前に訓練を行うことが有効です。

 

 

2. システム的な感染防止策

システムの感染を防ぐ根本的な対策も必要です。

 

具体的には、以下の対策が必要となります。

  • ウイルス対策ソフトウェアでメールやWebサイト、PC内のマルウェアを検知・駆除
  • Webフィルタリングで危険なWebサイトへの接続を防ぐ
  • OSやアプリケーションの脆弱性に常に気を配り、アップデートを最新に保つこと

 

 

 

3. データのバックアップ

上記の対策をしても、なお感染してしまった場合に備えて大事なのが、

データのバックアップです。

 

ただし、

バックアップがランサムウェアからアクセスできる場所に取られていると、

それも暗号化されてしまう恐れがあります。

 

また、バックアップを世代管理ではなく上書き方式で取っていると、

暗号化されたファイルでバックアップを上書きしてしまう場合もあります。

バックアップの手順は注意深く設計しなければなりません。

 

 

以上、「セキュリティ教育」「システム的な感染防止策」「データのバックアップ」は、ランサムウェア対策に欠かせない3箇条と言えます。
コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

 

 

【被害事例②】個人情報を盗み出される!? フィッシング詐欺

 

参考:フィッシング詐欺ってなに?

     フィッシング詐欺ってなに?🐟


フィッシング詐欺は、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法です。

クレジットカード番号、アカウント情報(ユーザIDパスワードなど)といった重要な個人情報を盗み出す行為のことを言います。

なお、フィッシングはphishingという綴りで、魚釣り(fishing)洗練(sophisticated)から作られた造語であると言われています。

 

出典:総務省公式HP ホーム > 一般利用者の対策 > 基本的な対策 > フィッシング詐欺に注意

 

 

①電子メールでフィッシングサイトに誘導

典型的な手口としては、

クレジットカード会社銀行からのお知らせと称したメールなどで、

巧みにリンクをクリックさせ、

あらかじめ用意した本物のサイトにそっくりな偽サイトに利用者を誘導します。

 

そこでクレジットカード番号口座番号などを入力するよう促し、

入力された情報を盗み取ります。

 

 

②電子掲示板などの情報でフィッシングサイトに誘導

電子メールだけではなく、

電子掲示板SNSの投稿サイトに、URLを記載してアクセスさせ誘導する手口です。

 

③表示されているURLを本物のURLに見せかけてアクセスさせる手口

電子メール電子掲示板に投稿されたURL

実在するURLに見間違えるような表示にすることで誘導する手口です。

 

例えば、

アルファベットの一文字の(オー)o を数字の 0 にしたり、

アルファベットの大文字の(アイ)  を小文字の(エル)lにしたりして、

閲覧者が見間違えたり、信用させたりする手口もあります。

 

 

対策方法: 今すぐできるフィッシング対策3箇条

 

「フィッシング対策協議会」の情報を参考にお伝えしていきます。
コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

出典:フィッシング対策協議会 公式ホームページ

・あやしいメールの見分け方
・正しい URL にアクセスする
・パソコンを安全に保つための方法
・スマートフォンの正しいアプリのインストール方法
・ひょっとして重要情報を盗まれたかもしれないと感じたときの事後対策

などの、フィッシング対策を解説します。

 

 

対策① 正しい URL にアクセスする

■正しいドメイン名を確認し、ブックマークに登録す

オンラインサービス初回利用時にはそのドメイン名を利用者カード/請求書などで確認し、直接入力してください。

初回利用時にブラウザーのブックマークに登録などすることで、以後入力を省くことが可能です。

偽のバナー広告や検索結果からフィッシングサイトに誘導される事例の対策予防にもなります◎

 

< 特にフィッシング詐欺被害が金銭面に及ぶ可能性の高いもの >

  • クレジットカード会社
  • 銀行
  • ショッピングサイト などは活用するとよい

 

■電子メール中のリンクはクリックしない

電子メール中のリンクはクリックすると危ないサイトに行く可能性があるため、安易にクリックしないでください。

 

<やむを得ず、案内メールの本文中の URL リンクを利用する場合>

左クリックなどによる直接のアクセスではなく

(1)URL リンクを右クリック
(2)ハイパーリンクをコピー
(3)Web ブラウザーのアドレスバーにペースト
(4)文字列としてフィッシング詐欺で無いことを確認してからアクセス

するように心がけてください。

出典:フィッシング対策協議会(PDF 2021年版)

 

 

 

対策② なりすましメールに注意しましょう

メールの差出人情報などは簡単に詐称ができ

差出人情報などを頼りにメールの真偽を見抜くことは不可能です。

 

銀行やショッピングサイトなどからどのようなタイミングで、

どのようなメールが届くかを事前に理解し、

それに当てはまらないものはすべて怪しいと考えることが大切です。

 

電子メールだけでなく、SNS(Social Networking Service)や SMS(ShortMessage Service)による連絡においても同様です。

出典:フィッシング対策協議会(PDF 2021年版)

 

 

 

対策③ パソコンやモバイル端末を安全に保ちましょう

■ソフトウェアを最新の状態にする

パソコンやスマートフォンのようなモバイル端末に
セキュリティ上の脆弱性があると、利用者が気付くことなく
マルウェアへの感染や脆弱性を利用した攻撃を受けることになります。

 

最新の OS やアプリケーションには

自動的に最新のセキュリティパッチを適用する機能が備えられていることが多いので、

できるだけその機能を有効にし、

最新のセキュリティパッチが確実に適用された状態でパソコンやモバイル端末を利用することが重要です。

 

また、セキュリティのサポートがされなくなった古いパソコンの基本ソフト(OS)(例:Windows XP など)の使用はやめて、新しい基本ソフト(OS)を使いましょう。

 

 

■パスワードのしっかりとした管理

 

不正アクセス行為、ウイルス感染などの原因で

Web サイトからユーザーのパスワードが漏えいする事件が発生しています。

 

ユーザー側の努力だけでは

ID・パスワードが漏れてしまうリスクをゼロにすることはできないことから、

一つのサイトからの漏えい被害が他のサイトのアカウントに影響を及ぼさないよう、

利用する Web サイトごとに ID・パスワードを別々にしておくべきです。

 

 

同じパスワードSNSインターネットバンキングで使いまわしていると、SNS からパスワードが漏れた場合、インターネットバンキング
のアカウントも危険にさらされることになります。

例)

  • 「1234」「1111」といった安易なパスワード
  • 個人情報から類推されやすいパスワード

などを設定しないということも重要です。

 

特に安易なパスワードは未だ多くの方が設定されている傾向にあり、パスワードが奪われずとも数回のログイン試行により突破されてしまう可能性があります。

 

 

 

【被害事例③】社員の1人でも開けば致命的!?標的型メール攻撃

 

参考:標的型メール攻撃ってなに?

     標的型メール攻撃ってなに?


最近、特定の企業や組織を狙った標的型攻撃メールにより、重要な情報が盗まれる事件が頻発しています。

 

標的型攻撃メールとは、不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、対象の組織から重要な情報を盗むことなどを目的として、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルス付きのメールのことです。

 

従来は府省庁や大手企業が中心に狙われてきましたが、最近では地方公共団体や中小企業もそのターゲットとなっています。

出典:総務省公式HP ホーム > 一般利用者の対策 > 基本的な対策 > フィッシング詐欺に注意

 

 

企業や組織の中のたった1人の社員や職員が、標的型攻撃メールの添付ファイルを開封したり、リンクをクリックしただけでも、情報を盗み出すウイルスに感染し、機密情報が漏洩する事態に陥ることがあります。
コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

対策方法:標的型攻撃への対策3箇条

対策① 入口対策(攻撃の侵入を防ぐ対策)

 

標的型攻撃に利用されるウイルスには、

実行形式(拡張子が.exe)のものや、

組織でよく利用されるソフトウェアの脆弱性を突くものが多いとされています。

 

実行形式の添付ファイルは開かない」などの

ルールを組織全体で徹底することや、

組織で利用するソフトウェアを常に最新の状態にしておくことが重要です。

 

 

対策② 出口対策(侵入後に被害の発生を防ぐ対策)

 

入口段階で攻撃を防げず、組織にウイルスが侵入してしまった場合にも、

組織内から重要な情報が外部に送信される段階で

被害を食い止める対策(出口対策)を行うことが重要です。

 

<主な出口対策>

  • ウイルス感染による外部への不審な通信を見つけて遮断する、サーバWebアプリケーションなどのログを日常的に取得し、異常な通信を見つけるために定期的にチェックするといった対策が有効です。

侵入の早期発見と迅速な対応のために有効です。

※特にログの取得は、侵入の発覚後に被害内容の特定や原因の追及をするために重要な情報源となります。

 

  • 万が一データが流出してしまっても、情報にアクセスできないようデータを暗号化しておく

 

 

 

対策③ 社員・職員への教育

標的型攻撃による被害を防止するためには、

メールを受信する社員・従業員への教育が欠かせません。

 

実際に想定される標的型攻撃のメール文を見せながら、

典型的な手口や、開封してしまった場合の対応などを啓発するような教育が効果的です。

 

社内教育はランサムウェアでもご紹介思案したが、もちろんフィッシング詐欺対策にも重要です。

「標的型メール訓練」というものが存在し、補助金適応ができます!

コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

社長
社長
そういった社内教育にかかった経費とかも次の補助金を使用することができるんだね!

 

簡単に説明していきますね♪
コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

補助金の概要

【目的】

中小企業者等が自社の企業秘密や個人情報等を保護する観点から構築したサイバーセキュリティ対策を実施するための設備等の導入を支援します。

 

情報セキュリティ基本方針策定支援専門家派遣令和4年5月9日(月)より開始いたします。

上記は、申請スケジュールの部分でも詳しくご説明します。
コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

対象者

IPA(独立行政法人 情報処理推進機構)が実施している

SECURITY ACTIONの2段階目(★★二つ星)を宣言している

都内の中小企業者・中小企業団体

 

助成対象経費

サイバーセキュリティ対策を実施するために必要となる下記の機器等の導入、

およびクラウド利用に係る経費

(1)統合型アプライアンス(UTM等)
(2)ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)
(3)コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等)
(4)アクセス管理製品(シングル・サイン・オン、本人認証等)
(5)システムセキュリティ管理製品(アクセスログ管理等)
(6)暗号化製品(ファイルの暗号化等)
(7)サーバー(最新のOS塔載かつセキュリティ対策が施されたものに限る)
(8)標的型メール訓練

 

 

助成率

助成対象経費の1/2以内

 

上限額

1,500万円(下限額 30万円

標的型メール訓練に関しては別途規定

 

申請スケジュール

社長
社長
直近だと6月募集だね!
そうですね♪

そして、以下は必要な方のみお読みください。

コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

サイバーセキュリティ対策促進助成金の

申請要件の一つである宣言に必要な情報セキュリティ基本方針の策定支援を行っています。

 

利用希望者は下記の「専門家派遣募集要項」をご覧ください。
※助成金を申し込むにあたり、本支援は必須ではございません(二つ星の宣言は必須)

 

申請方法

事前予約による対面受付

※申請の際は、お電話にて申請日時の事前予約が必要です。

※申請書類一式をご準備の上、予約受付期間内にお電話にてご予約ください。
(平日 9:00~12:00、13:00~17:00)

 

募集要項など詳しく知りたい方はご覧ください。
コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

 

問い合わせ先(送付先)

■申請・問い合わせ先
企画管理部 設備支援課
〒101-0025 東京都千代田区神田佐久間町1-9 東京都産業労働局秋葉原庁舎
TEL:03-3251-7889

 

まとめ

今回の記事では
前半は、どんな被害が起こりうるのか?事例と対策方法

後半は、最大1,500万円経費の1/2を補助してくれる補助金
「サイバーセキュリティ対策促進助成金」

についてご紹介しました。

 

実際の被害の例から、「どんな対策をするべきなのか?」をご紹介しました。

まだ自社に取り入れていない人は、ぜひ補助金も上手く活用しながら取り入れて

会社をサイバー攻撃から守りましょう。

 

攻撃を受けてから会社の資産や信頼を失う前に、取り組んでおきたい事柄になると思います。

わからないことがあればお気軽に、補助金コンシェルジュをご活用ください。

画像で一目瞭然!わかりやすい!

補助金コンシュルジュの公式Instagramもあります!

下の画像をクリック!

コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

 

コンシェルジュゆきちゃん
コンシェルジュゆきちゃん

せっかく申請するなら助成金を受け取りたいですよね!

申請したいけど、申請の仕方がわからない…

書類の書き方が不安…

自分が該当しているのか自信がない…

少しでも不安がある方は、ぜひご相談ください!

最後までお読みいただきありがとうございました!

補助金の相談をしてみる