中小企業向けサイバーセキュリティ対策セミナーに参加しました
損害保険協会近畿支部ならびに経済産業省近畿経済産業局主催、関西サイバーセキュリティ・ネットワーク事務局共催による「中小企業向けサイバーセキュリティ対策セミナー」が、10月29日(火)15時30分から、大阪市北区のCIVI北梅田研修センターで開催されました。
大阪代協としても会員に広く参加を呼び掛け、当日は新谷会長以下、多くの会員が現地に足を運びました。
開会の挨拶
セミナーの開催に先立ち、経済産業省近畿経済産業局産業部創業・経営支援課経営力向上室長の勝谷透氏が、「経済産業省では、事業継続力強化計画認定制度を推し進めている。これは、従来地震等の自然災害を対象としてのものであったが、その後パンデミックやサイバー攻撃をリスクの対象に加えた。これを取得すると税制上の優遇措置や金融支援等を受けることができる。本日は、損害保険協会様と、サーバーセキュリティ対策とともに、後ほど同制度を案内したい」と挨拶しました。
中小企業もターゲット!サイバーリスクの脅威!
セミナーでは、大阪府警察本部警務部高度情報推進局サイバーセキュリティ対策課管理官の鎌谷輝明警視が「中小企業もターゲット!サイバーリスクの脅威!」をテーマに講演しました。
SNS型投資・ロマンス詐欺
まず同氏は、1年間に20万件を超える相談が警察庁に寄せられており、最近は〝SNS型投資・ロマンス詐欺〟による被害が急増している。特に性別に限らず40~60代が多く被害に遭っている実態を紹介しました。その年齢層になると預貯金が増えていること、さらにその運用を考えはじめていることが被害に遭いやすい要因になっているようです。
その手口をみると、SNS型投資では、被害の78.6%が投資関連の広告を開くとダイレクトメッセージが届きその儲け話に乗って被害に遭うケースとなっています。
また、ロマンス詐欺では結婚を匂わす話からLINE等でやり取りしているうちに投資話を持ちかけるパターンが多く、ともに最終的に投資話へと導き金銭詐取を謀る手口だと指摘しました。
こうした投資話に騙されないためには、
①金融商品取引業者に登録されているか
②「必ず」「確実」「あなただけ」を使うのは詐欺
③世間一般に運用されている暗号資産か、投資アプリかを自分で調べる
④振込詐欺口座は個人口座、振込口座先が毎回変わる、
といった点に注意して対応することだと強調しました。
フィッシング詐欺
次に、令和5年に多く被害が発生し、増加傾向にあるものとしてフィッシングメールを活用した〝フィッシング詐欺〟を挙げました。
フィッシング対策協議会の統計データによると、被害は5年間で20倍にも膨れ上がり、昨年は100万件を超えて今年はそれを上回るペースで増えていると述べました。その手口の一例として、実在する金融機関やショッピングサイトそっくりに装ったURLを送り、そこから個人情報を得て金銭を詐取するなど悪用するものです。
また、インターネットバンキングの不正送金事犯が多くなっており、令和5年は過去10年間で最高の5578件、被害額873億円の事犯が発生しています。被害者の多くは自分が被害に遭ったという認識がないほど、その手口は巧妙化していると注意を促しました。
フィッシング詐欺への対応策として、
①メールに添付されたURLをクリックしない
②安易に個人情報を入力しない
③IDやパスワードを使い回さない
ことを挙げました。
また、DMARCの導入も効果的な対応策となると説明しました。DMARCとは、なりすましメールを排除するために送信ドメイン認証をチェックするシステム対応の事です。
(参考)5分でわかるDMARCの動画リンク >
ランサムウエア
続いて、企業の5社に1社が被害を受けている〝ランサムウエア〟を解説。被害は多種多様にわたるものの、約3割は製造業が占め、とくにサイバーセキュリティ対策が脆弱な中小企業が被害の中心となっていると述べました。
ランサムウエアは、企業のソフトウェア・危機の不具合や企業自身の管理体制の不備・設定ミスによる脆弱性のある部分を突いて企業・組織内の重要データを探索して盗み出し、ファイルを暗号化して開けなくするウイルスです。攻撃者は、その開けなくなったファイルを解除するための身代金(ランサム)の要求や、盗んだデータを公開するといった恐喝を行いますが、8割はこれら二重の恐喝手口で金銭要求をしているのが実情です。
感染経路はVPNが多いことから、その対策として多要素認証や最新パッチを常に適用し、IPアドレス等で制限することを推奨すると述べました。また、バックアップの適切な周期での実施、定期的なリカバリー点検も大切だが、バックアップ機能そのものもランサムウエアにより暗号化されているケースが多いことから、バックアップはオフラインで管理することが重要、と強調しました。
情報セキュリティ5か条
最後に、情報セキュリティ5か条として、
①OSやソフトウェアは常に最新の状態にしよう
②ウイルス対策ソフトを導入しよう
③パスワードを強化しよう
④共有設定を見直そう
⑤脅威や攻撃の手口を知ろう
を紹介。
さらに、独立行政法人情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」(リンク)も参考にしてほしいと述べました。
そして、もしサイバー犯罪の被害に遭った場合は速やかに警察に連絡するように求めました。
中小企業の6つのリスクとそれに対する保険
セミナーに続いて、損害保険協会近畿支部担当課長の村越勝弘氏が「中小企業の6つのリスクとそれに対する保険」と題し解説。サイバー攻撃を受けた場合に受ける金銭の損失や顧客の喪失、事業継続の阻害といった脅威等について説明した後、サイバー保険では損害賠償責任や事故対応費用、利益損害・営業継続費用が補償されるなど、同保険の必要性を強調しました。
ジギョケイについて
最後に、経済産業省近畿経済産業局産業部創業・経営支援課経営力向上室課長補佐の小倉康夫氏が「事業継続力強化計画認定制度について」説明。この制度は中小企業のBCP策定を促進するため、中小企業が行う防災・減災の事前対策に関する契約を経済産業大臣が認定する制度で、今年8月末時点で延べ7万件を超える認定を行っています。同氏は、認定における記載項目や、認定を受けた事業者は防災・減災設備導入に対する税制措置、低利融資、信用枠拡大等の金融支援、補助金、さらには損害保険料の割引措置を受けることができるメリットを説明しました。
弊会挨拶
閉会にあたり、損害保険協会近畿支部事務局長の田中英夫氏が「昨今、ITの利活用が進む中、サイバー攻撃が巧妙化しており、事業に与える影響はますます大きくなっている。一方、サイバーセキュリティ対策については、どこから手を付けていけばいいのかわかりにくい側面がある。本日のセミナーを通じ、専門家、制度、そして保険の活用を組み合わせながら各事業者に応じた対策を講じていただけると幸いである」と挨拶し、終了となりました。
(記事:新日本保険新聞社)