中小企業における情報セキュリティ対策の実態調査

2017年7月にIPA(情報処理推進機構)が発行した「中小企業における情報セキュリティ対策の実態調査 - 事例集 –」によると、日本全国の中小企業においてさまざまな情報セキュリティ事故が発生していることがわかります。以下はその一部の事例です。

メール受信

◆ 事例1

 所在地 神奈川県     

自社のIT リテラシーのレベルに見合った情報漏えい対策

従業員の意識変革と仕組みによる防御の二本立て

 業種 製造業
 従業員規模 6~20 名
 事故の有無 有(2015 年)
 ケース ランサムウェア

発生した事故と影響

当社は、神奈川県で真空ポンプなど真空機器装置の設計・改造・製造・メンテナンス事業を展開している。2015 年、ある日届いた経営者宛のメールに添付されているファイルを安易に開いてしまった結果、「ランサムウェア」に感染し、「ファイルをロックしたので、解除して欲しければ連絡をするように」と電話番号を含む警告画面がパソコンのスクリーン上に表示され消えなくなった。社内の重要データは共有サーバで管理されており、バックアップ等を行っていたため会社としての被害はなかったが、個人の写真などのデータは参照できなくなっていた。

事故の要因

事故に遭うまで、当社の経営層を含む従業員のIT リテラシーや情報セキュリティに対する意識は、決して高いものではなかった。

 

◆ 事例 2

 所在地静岡県     

UTM の導入や情報セキュリティ対策の実践により取引先から高い評価と信頼を得ている

 業種 製造業
 従業員規模 51~100 名
 事故の有無 有(2008 年)
 ケース ウイルス感染

■ 発生した事故と影響

当社は、静岡県で薄板鋼板の板金製作を多品種少量生産で行っている製造業である。2008 年頃、従業員がメールに添付されていたファイルを不用意に開き、ウイルス感染により当社の基幹システムの設定が書き換わる障害が発生した。

システムベンダの協力を得て障害の調査を行い、復旧するまでの1週間ほど、基幹システムの一部が使用できなくなった。幸い、他には被害はなかったが、セキュリティ対策の重要性を痛感した。また、当社では取引の約8 割をEDI で行っており、また、図面やCAD ファイルなどの取引先の重要なファイルを預かって製造を行うため、安定稼働と情報流出防止の観点で、セキュリティ対策はますます重要になっている。

■ 事故の要因

メールフィルタリングツールを導入していないことに加え、不審メールを受信した際の対処方法を詳しく知らなかったことが原因である。

 

◆ 事例 3

 所在地 京都府     

グループ企業内で複数回のセキュリティ事故を経験

その後、グループ全社で様々な取り組みを実施

 業種 情報通信業
 従業員規模 101~300 名
 事故の有無 有(2003 年)
 ケース ウイルス感染
標的型攻撃

■ 発生した事故と影響

当社は、京都府に本社を置き情報システム企業の子会社としてグループ企業全体のSI サービスを展開している。2003年頃、親会社でメールの添付ファイルからウイルスに感染し、復旧に多くの時間がかかった。また、標的型攻撃によりこれまで6 回ほどデータ改ざんなどの被害に遭っている。こうした被害をきっかけに、全国の拠点にウイルス対策ソフトを導入したが、2010 年頃にある会社からセキュリティ対策ソフトのライセンス購入に関して不正があると指摘され、セキュリティ対策ソフトのライセンス数の確認と導入の徹底を行った。

■ 事故の要因

当時はウイルス対策ソフトを導入していなかったほか、従業員の情報セキュリティ対策に関する意識も十分ではなかった。

 

◆ 事例 4

 所在地 秋田県     

小企業も標的型攻撃の対象となることを認識し、セキュリティ対策の取り組みを開始

 業種 運輸業
 従業員規模 21~50 名
 事故の有無 有(発生年不明)
 ケース 標的型攻撃

■ 発生した事故と影響

当社は、秋田県で引越しに伴う運送のほか、米・建材などを中心とした輸送を生業としている物流企業である。取引先とのやり取りが紙・FAX から電子データを利用するようになり、電子メールでやり取りをする量が多くなってきた。そうした中、業務に関係のないメールの添付ファイルを社長が開けてしまったことがある。明確なセキュリティ被害はなかったが、中小企業でも標的型攻撃の対象になることを認識し、対策に取り組むこととなった。特に取引先との情報が外部に漏えいすることが一番の危機と感じている。

■ 事故の要因

メールフィルタリングツールを導入していないことに加え、不審メールを受信した際の対処方法を詳しく知らなかったことが原因である。

 

◆ 事例 5

 所在地 山梨県     

顧客への影響を考慮して外部要因に対するセキュリティ対策を強化、外部接続システムの対策を優先

 業種 卸売業
 従業員規模 6~20 名
 事故の有無 有(2016 年)
 ケース ウイルス感染

■ 発生した事故と影響

当社は、山梨県で建築金物などの卸売業を営む企業である。2016 年中頃、業務で使用しているパソコンがウイルスに感染した。顧客への被害はなく、復旧作業にもそれほど時間を要しなかったが、顧客への連絡や社内対策などの作業負荷、ネットワークの遅延、システムの性能低下などの影響があった。

■ 事故の要因

ウイルス感染を意図した外部からのメール等を誤って開封してしまったことによるものと推測される。

 

◆ 事例 6

 所在地 福井県     

個人情報漏えい対策費用が数千万円に上ることが予想され、セキュリティ対策を強化

 業種 小売業
 従業員規模 101~300 名
 事故の有無 有(2016 年)
 ケース 標的型攻撃

■ 発生した事故と影響

当社は、福井県で印刷やノベルティ品、オフィスサプライ品のネット通販を行っている。プライバシーマークを取得し、情報セキュリティ対策を推進していたにも関わらず、2016 年中頃、標的型攻撃メールによってコンピュータウイルスに感染する事案が発生した。情報漏えい等の実害はなかったが、当社で個人情報の漏えいが起きた場合、その対策費用は数千万円に上るおそれがあることが分かったため、情報セキュリティ対策のさらなる強化を図った。

■ 事故の要因

メールフィルタリングツールを導入していないことに加え、不審メールを受信した際の対処方法を詳しく知らなかったことが原因である。

 

◆ 事例 7

 所在地 滋賀県     

自動車メーカー提供のディーラー向けウェブクラウドシステムの利用、セキュリティポリシーの徹底により、高い情報セキュリティレベルのビジネス環境を実現

 業種 小売業
 従業員規模 21~50 名
 事故の有無 有(2003 年)
 ケース ウイルス感染

■ 発生した事故と影響

当社は、滋賀県の地場の自動車ディーラーであり、自動車メーカーとの資本関係はない。従来は自社のシステムを利用していたが、2003 年以降は全面的に自動車メーカーのディーラー向けウェブクラウドシステムを利用するよう切り替えた。

電子メールもセキュリティ関連ソフトも全面的にそのシステムが提供するものを利用している。2003 年までは、電子メールの添付ファイルによるウイルス感染が発生したことはあったが、ウェブクラウドシステムを利用してからは生じていない。

■ 事故の要因

自社でシステム全般を管理していた際、ウイルス対策ソフトやメールのフィルタリングソフトの導入が不十分であったことが原因である。

 

◆ 事例 8

 所在地 京都府     

ランサムウェア感染をきっかけに情報セキュリティへの取り組みの方向性が明確化、まず業務現場の社内ルールの整備から開始

 業種 不動産業
 従業員規模 21~50 名
 事故の有無 有(2016 年)
 ケース ランサムウェア

■ 発生した事故と影響

当社は、京都府に本社を置きオフィスビルやマンションの管理をしている。2016 年、役員が宛先不明のメールの添付ファイルを不用意に開封し、1 台の社内LAN 端末パソコンが「ランサムウェア」に感染した。その結果、共有サーバ内のファイルにアクセスできなくなった。幸いにも経理サーバは、別セグメントで運用しており、経理サーバのデータは被害を免れた。経理サーバを納入したベンダに相談した結果、共有サーバのデータを捨てても事業継続に大きな支障はないので、身代金支払い要求を無視して共有システムを初期化する対応を実施した。共有サーバの再稼働には1 週間以上の時間を要した。

■ 事故の要因

メールフィルタリングツールを導入していないことに加え、不審メールを受信した際の対処方法を詳しく知らなかったことが原因である。

 

 

電子メールの添付ファイルからウイルスに感染するケースが多数確認されています。
不注意による感染リスクからシステムで効果的に守る!

スパムメール対策

メール無害化

メール送信

◆ 事例1

 所在地栃木県     

ウイルス対策ソフトの運用不備で情報漏えい事故が発生取引先からの信用回復と対策強化に力を注ぐ

 業種 製造業
 従業員規模 51~100 名
 事故の有無 有(2013 年)
 ケースウイルス感染

■ 発生した事故と影響

当社は、栃木県南部で加工食品の製造及び卸売業を営んでいる。近年は、インターネットによる一般消費者向けの通信販売も開始した。2013 年、役員のパソコンがウイルス感染し、保存されていた過去の電子メールが勝手に大量発信され、自社及び取引先の重要な情報が漏えいする事態となった。取引先からはクレームが寄せられ、謝罪はしたものの信用が失墜してしまった。

事故の要因

・感染したパソコンにはウイルス対策ソフトはインストールされていたが、アップデートが実施されていなかった。十数台ある他のパソコンも使用者任せの状況であり、再発の危険は非常に高かった。

・IT ベンダでの勤務経験がある従業員から、出入口の施錠等の物理的なセキュリティの問題を指摘されていたが、当時は従業員以外の個人情報の取り扱いは少なく、セキュリティ対策よりも売上を伸ばし経営を維持することが優先と考えていたため特別な対策は行われていなかった。

 

◆ 事例 2

 所在地東京都     

製品納入先の高い情報セキュリティレベルに合わせることで、安心して業務を実施

 業種 製造業
 従業員規模 51~100 名
 事故の有無 有(2016 年)
 ケース

ランサムウェア

■ 発生した事故と影響

当社は、東京都で自動車部品を加工製造している。完成車メーカーから提供される受注データや見込みデータは、自動車部品組合のサーバから当社へ直接送信されるため、情報セキュリティ対策は完成車メーカーの指示に従う必要がある。

しかし、これまで完成車メーカーから、当社のウイルス感染したパソコンからのメール送信を注意されたことがある。また、2016 年、海外から来たメールに添付されていたファイルを開封して「ランサムウェア」と思われるマルウェアに感染し、パソコンが使用不能になり、パソコンを入れ替えた。

■ 事故の要因

従業員の情報セキュリティに関する意識が不十分であったことが原因である。

 

 

メールによる情報漏えいがあれば企業の信頼は失墜します。
また、意図せず迷惑メールを送ってしまうリスクも!

不注意によるメール誤送信からシステムで効果的に守る!

メール誤送信対策

 

ランサムウェア

◆ 事例1

 所在地東京都     

製品納入先の高い情報セキュリティレベルに合わせることで、安心して業務を実施

 業種 製造業
 従業員規模 51~100 名
 事故の有無 有(2016 年)
 ケース ランサムウェア

■ 発生した事故と影響

当社は、東京都で自動車部品を加工製造している。完成車メーカーから提供される受注データや見込みデータは、自動車部品組合のサーバから当社へ直接送信されるため、情報セキュリティ対策は完成車メーカーの指示に従う必要がある。

しかし、これまで完成車メーカーから、当社のウイルス感染したパソコンからのメール送信を注意されたことがある。また、2016 年、海外から来たメールに添付されていたファイルを開封して「ランサムウェア」と思われるマルウェアに感染し、パソコンが使用不能になり、パソコンを入れ替えた。

事故の要因

従業員の情報セキュリティに関する意識が不十分であったことが原因である。

 

◆ 事例 2

 所在地神奈川県     

自社のIT リテラシーのレベルに見合った情報漏えい対策 従業員の意識変革と仕組みによる防御の二本立て

 業種 製造業
 従業員規模 6~20 名
 事故の有無 有(2015 年)
 ケースランサムウェア

■ 発生した事故と影響

当社は、神奈川県で真空ポンプなど真空機器装置の設計・改造・製造・メンテナンス事業を展開している。2015 年、ある日届いた経営者宛のメールに添付されているファイルを安易に開いてしまった結果、「ランサムウェア」に感染し、「ファイルをロックしたので、解除して欲しければ連絡をするように」と電話番号を含む警告画面がパソコンのスクリーン上に表示され消えなくなった。社内の重要データは共有サーバで管理されており、バックアップ等を行っていたため会社としての被害は無かったが、個人の写真などのデータは参照できなくなっていた。

■ 事故の要因

事故に遭うまで、当社の経営層を含む従業員のIT リテラシーや情報セキュリティに対する意識は、決して高いものではなかった。

 

◆ 事例 3

 所在地新潟県     

ランサムウェア感染をきっかけにセキュリティ対策を強化コスト最適化と従業員の意識改革に取り組む

 業種製造業
 従業員規模 21~50 名
 事故の有無 有(2015 年)
 ケースランサムウェア
標的型攻撃

■ 発生した事故と影響

当社は、新潟県北東部に本社を置く住宅関連機器メーカーである。2015 年、ウェブサイトの閲覧を通じて「ランサムウェア」に感染し、ローカルファイルとネットワーク上の共有フォルダが暗号化された。バックアップファイルからデータを復元できたため被害は最小限で済んだが、この経験により組織的な情報セキュリティ対策の必要性を再認識することとなった。

■ 事故の要因

感染したパソコンのOS はサポートが終了したWindows XP だった。通常は、リスク回避のためオフライン運用をしていたが、不注意でネットワークに接続したことからランサムウェアに感染した。

 

◆ 事例 4

 所在地埼玉県     

情報セキュリティ対策の取り組みにより従業員の意識向上、業務の効率化を実現

 業種不動産業
 従業員規模 6~20 名
 事故の有無 有(2017年)
 ケースランサムウェア

■ 発生した事故と影響

当社は、埼玉県でショッピングセンターの統合的な運営管理を展開している。顧客の個人情報、取引先との契約に係る情報などの重要情報を保持しており、顧客情報の漏えいによるブランドイメージの失墜や情報システムの停止による損失などの情報セキュリティ上のリスクは、当社にとって大きな被害や影響をもたらすと認識している。多くの場合、その被害や影響は取引先や顧客などの関係者へも波及することから、情報セキュリティ対策の必要性を認識し、現在に至るまで、順次対策を進めてきた。しかし、2017 年1 月、社内のノートパソコンが「ランサムウェア」に感染した。ノートパソコンから感染していないデータのみをウイルスチェック可能なハードディスクにデータ1 個ずつ確認しながら移行した。感染したノートパソコンは初期化してから廃棄(リース会社へ返却)する予定にしている。

■ 事故の要因

従業員の情報セキュリティに関する意識が不十分であったことが原因である。

 

◆ 事例 5

 所在地福岡県     

経営者の情報セキュリティに対する理解の下で対策を推進セキュリティ事故発生時の素早い対応が感染拡大を防止

 不動産業
 従業員規模 21~50 名
 事故の有無有(発生年不明)
 ケースランサムウェア

■ 発生した事故と影響

当社は、福岡県で地元を中心に不動産業を営んでおり、多くの顧客を抱えている。2010 年頃、当時情報セキュリティについて特に問題があった訳ではないが、個人情報保護の重要性と「個人情報保護マネジメントシステム実施のためのガイドライン第2 版」の発表等から、経営者が個人情報保護を中心とした情報セキュリティの必要性を強く感じ、取り組むようになっていた。しかし、従業員のパソコンで業務中に「ランサムウェア」に感染した。メールを開封して間もなくパソコンが暗号化されてしまい、その従業員はすぐにネットから切り離し、責任者の総務部係長へ報告を行った。緊急でIT ベンダに連絡をとり対処したため、その後の広がりを防ぐことができた。

■ 事故の要因

従業員の情報セキュリティに関する意識が不十分であったことが原因である。

 

 

ランサムウェアの脅威は今後も拡大することが予想されています。
不注意による感染リスクからシステムで効果的に守る!

ランサムウェア対策

個人情報漏えい

◆ 事例1

 所在地福井県     

個人情報漏えい対策費用が数千万円に上ることが予想され、セキュリティ対策を強化

 業種小売業
 従業員規模101~300 名
 事故の有無 有(2016 年)
 ケース標的型攻撃

■ 発生した事故と影響

当社は、福井県で印刷やノベルティ品、オフィスサプライ品のネット通販を行っている。プライバシーマークを取得し、情報セキュリティ対策を推進していたにも関わらず、2016 年中頃、標的型攻撃メールによってコンピュータウイルスに感染する事案が発生した。情報漏えい等の実害はなかったが、当社で個人情報の漏えいが起きた場合、その対策費用は数千万円に上るおそれがあることが分かったため、情報セキュリティ対策のさらなる強化を図った。

事故の要因

メールフィルタリングツールを導入していないことに加え、不審メールを受信した際の対処方法を詳しく知らなかったことが原因である。

 

◆ 事例 2

 所在地埼玉県     

情報セキュリティ対策の取り組みにより従業員の意識向上、業務の効率化を実現

 業種不動産業
 従業員規模 6~20 名
 事故の有無 有(2017 年)
 ケースランサムウェア

■ 発生した事故と影響

当社は、埼玉県でショッピングセンターの統合的な運営管理を展開している。顧客の個人情報、取引先との契約に係る情報などの重要情報を保持しており、顧客情報の漏えいによるブランドイメージの失墜や情報システムの停止による損失などの情報セキュリティ上のリスクは、当社にとって大きな被害や影響をもたらすと認識している。多くの場合、その被害や影響は取引先や顧客などの関係者へも波及することから、情報セキュリティ対策の必要性を認識し、現在に至るまで、順次対策を進めてきた。しかし、2017 年1 月、社内のノートパソコンが「ランサムウェア」に感染した。ノートパソコンから感染していないデータのみをウイルスチェック可能なハードディスクにデータ1 個ずつ確認しながら移行した。感染したノートパソコンは初期化してから廃棄(リース会社へ返却)する予定にしている。

■ 事故の要因

従業員の情報セキュリティに関する意識が不十分であったことが原因である。

 

◆ 事例 3

 所在地三重県     

朝礼を活用して従業員に呼びかけ
「個人情報はお金と同じ価値がある」として情報管理を徹底

 業種不動産業
 従業員規模6~20 名
 事故の有無

■ 情報セキュリティ対策に取り組むきっかけ

当社は、三重県北部で住宅建築や不動産賃貸、エネルギー設備工事などの事業を展開している。近年、個人情報の漏えいに関する事故のニュースを見る機会が多くなり、また近隣では、「ランサムウェア」の被害にあったという企業の話も聞いている。当社は、大家さんのマイナンバーや入居者の個人情報などを管理しており、マイナンバー法や個人情報保護法への対応が必要となっている。こうしたことからも、情報セキュリティ対策の重要性を認識し、順次対策を進めてきた。

 

 

個人情報漏えいがあれば企業の信頼は失墜します。
不注意による漏えいリスクからシステムで効果的に守る!

個人情報検索