近年、大手企業を標的としたランサムウェア（身代金要求型ウイルス）による被害が深刻化しています。

テレビやニュースで、皆さまのよく知る企業が被害に遭い、業務停止や情報漏えいといった重大な事態に発展しているのを見聞きされた方も多いでしょう。

皆さまが取引されているような大企業がサイバー攻撃の被害に遭うと、その影響は決してその企業一社にとどまりません。

特にランサムウェアの被害は、取引先、販売店、関係会社など、企業のネットワークで繋がっているサプライチェーン全体に拡大するリスクがあります。

これは、サイバー攻撃を仕掛ける攻撃者が、被害を受けた大企業と連携している中小企業や関係会社を「新たな攻撃対象」として選定する可能性があるためです。

なぜなら、大手企業よりもセキュリティ対策が手薄な場合があり、そこを突破口として再び大手企業への攻撃を試みたり、サプライチェーン全体を混乱させたりする狙いがあるからです。

皆さまの企業も、主要な取引先が被害に遭ったという事実だけで、サイバー攻撃のリスクが一段と高まっていると認識し、警戒を強める必要があります。

被害に遭うリスクを大幅に低減し、万が一の事態にも迅速に復旧できるよう、下記の対策の徹底が重要です。

ランサムウェアは、企業の重要なデータを暗号化し、アクセスできなくします。

唯一の対抗策は、感染前の状態に戻せるバックアップです。

• 複数の方法で取得
  日常的に使用するネットワークから切り離されたオフラインバックアップ（外付けHDDやNASなど）。
  クラウドサービスやテープ媒体など、種類の異なる方法で複数取得する。
• 定期的なテスト
  バックアップしたデータが実際に復元可能か、定期的にテストすることが重要。

メールは、ランサムウェアが侵入する最も一般的な経路です。

• 不用意なクリックは厳禁
  添付ファイルや本文中のURLは、たとえ知っている相手から送られてきたものであっても、少しでも不審に感じたら、クリックしたり開いたりしない。
• 送信元を確認
  送信元のメールアドレスや、本文の日本語が不自然でないかなど、細部まで確認する習慣をつける。

ソフトウェアの「更新プログラム（アップデート）」には、既に見つかったセキュリティ上の欠陥（脆弱性）を修正する重要なパッチが含まれています。

• OS/ソフトウェアの更新
  パソコンのOS（Windows, macOSなど）はもちろん、業務で使用するアプリケーションソフトウェアやミドルウェアも、常に最新バージョンを適用する。
• Webブラウザの利用
  セキュリティレベルが高く、更新が頻繁に行われる最新のブラウザ（Edge, Chrome, Firefoxなど）を使用する。
  古いバージョンのInternet Explorerの使用はセキュリティ上のリスクが極めて高いため、直ちに停止し、最新のブラウザへ移行する。

セキュリティソフト（アンチウイルスソフト）は、既知のマルウェアの侵入を防ぎます。

• リアルタイムスキャン機能の有効化
  ファイルが開かれる時やネットワーク通信が行われる時に、常にチェックするリアルタイムスキャン機能を必ず有効にする。
• 定義ファイル（パターンファイル）の自動更新
  最新の脅威に対応できるよう、定義ファイルが自動で更新される設定になっているか確認する。

どんなに優れた技術的なセキュリティ対策を導入しても、それを使う「人」の意識が低ければ、セキュリティは簡単に破られてしまいます。

上記の技術的な対策に加え、従業員一人ひとりのセキュリティ意識を高めるための「周知徹底」と「教育」が不可欠となります。

• セキュリティルールの明確化
  「不審なメールは開かない」「パスワードは使い回さない」といった基本的なルールを定め、従業員に周知する。
• 研修の実施
  定期的にセキュリティ研修やe-ラーニングを実施し、最新の攻撃事例を共有することで、「自分ごと」として捉えてもらう。
• 報告体制の構築
  「変な動きをする」「不審なポップアップが出た」など、異変を感じたらすぐに報告できる体制を作る。

サプライチェーン全体でセキュリティ意識を高め、それぞれが適切な対策を講じることこそが、全体の防御力を高める唯一の方法です。

「自分の会社は大丈夫」ではなく、「自分の会社が狙われるかもしれない」という危機意識をもって、今すぐ自社のセキュリティ対策を見直し、上記の対策を継続的に実施していく取り組みが大切です。