ENISA 中小企業のためのサイバーセキュリティの課題と推奨事項 at 2021.06.28
こんにちは、丸山満彦です。
ENISAが中小企業のためのサイバーセキュリティの課題と推奨事項をだしています。日本もサプライチェーン全体を考えると中小企業が重要といわれていますが、欧州でもそうということで、中小企業をサイバー攻撃からどう守るかというのは重要な課題なのでしょうね。。。きっと、世界中で同じだとは思います。。。
日本でも参考になるかもですね。。。
● ENISA
・2021.06.28 (press) Phishing most common Cyber Incident faced by SMEs
Phishing most common Cyber Incident faced by SMEs | 中小企業が直面する最も一般的なサイバーインシデントはフィッシング |
The European Union Agency for Cybersecurity identifies the cybersecurity challenges SMEs face today and issues recommendations. | 欧州連合(EU)のサイバーセキュリティ機関は、中小企業が今日直面しているサイバーセキュリティ上の課題を明らかにし、提言を行っています。 |
Small and medium-sized enterprises (SMEs) are considered to be the backbone of Europe's economy. 25 millions of SMEs are active today in the European Union and employ more than 100 million workers. | 中小企業(SME)は、欧州経済の屋台骨と言われています。現在、欧州連合内では2,500万社の中小企業が活動しており、1億人以上の労働者を雇用しています。 |
The report Cybersecurity for SMEs ENISA issues today provides advice for SMEs to successfully cope with cybersecurity challenges, particularly those resulting from the COVID-19 pandemic. With the current crisis, traditional businesses had to resort to technologies such as QR codes or contactless payments they had never used before. Although SMEs have turned to such new technologies to maintain their business, they often failed to increase their security in relation to these new systems. Research and real-life experience show that well prepared organisations deal with cyber incidents in a much more efficient way than those failing to plan or lacking the capabilities they need to address cyber threats correctly. | ENISAが本日発行したレポート「中小企業のためのサイバーセキュリティ」は、中小企業がサイバーセキュリティの課題、特にCOVID-19パンデミックの影響を受けた課題にうまく対処するためのアドバイスを提供しています。今回の危機では、従来の企業は、QRコードや非接触型決済など、これまで使ったことのない技術に頼らざるを得ませんでした。中小企業はビジネスを維持するためにこのような新しい技術に頼ってきましたが、これらの新しいシステムに関連してセキュリティを高めることができなかったことがよくあります。調査や実際の経験から、準備の整った組織は、計画を怠ったり、サイバー脅威に正しく対処するために必要な能力を欠いている組織よりも、はるかに効率的にサイバーインシデントに対処することができます。 |
Juhan Lepassaar, EU Agency for Cybersecurity Executive Director said: “SMEs cybersecurity and support is at the forefront of the EU’s cybersecurity strategy for the digital decade and the Agency is fully dedicated to support the SME community in improving their resilience to successfully transform digitally.” | EUサイバーセキュリティ機関のエグゼクティブ・ディレクターであるジュハン・レパッサールは次のように述べています。 「中小企業のサイバーセキュリティと支援は、デジタル10年に向けたEUのサイバーセキュリティ戦略の最前線であり、同庁は、デジタルトランスフォーメーションを成功させるために、中小企業のコミュニティの回復力を向上させる支援に全面的に取り組んでいます。」 |
In addition to the report, ENISA also publishes today the Cybersecurity Guide for SMEs: “12 steps to securing your business”. The short cybersecurity guide provides SMEs with practical high-level actions to better secure their systems, hence their businesses. | 報告書に加えて、ENISAは本日、中小企業向けのサイバーセキュリティガイド「あなたのビジネスを安全に導く12のステップ」を発表しました。この短いサイバーセキュリティガイドは、中小企業が自社のシステム、ひいてはビジネスの安全性を高めるための実践的なハイレベルアクションを提供します。 |
[VIDEO] https://youtu.be/ymLKVTat-IM | [VIDEO] https://youtu.be/ymLKVTat-IM |
Based on an extended desktop research, an extensive survey and targeted interviews, the report identifies those pre-existing cybersecurity challenges worsened by the impact of the pandemic crisis. | 本報告書は、広範なデスクトップ調査、広範なアンケート調査、および対象となるインタビューに基づき、パンデミック危機の影響で悪化した既存のサイバーセキュリティの課題を特定しています。 |
Key findings | 主な調査結果 |
85% of the SMEs surveyed agree that cybersecurity issues would have a serious detrimental impact on their businesses with 57% saying they would most likely go out of business. Out of almost 250 SMEs surveyed, 36% reported that they had experienced an incident in the last 5 years. Nonetheless, cyberattacks are still not considered as a major risk for a large number of SMEs and a belief remains that cyber incidents are only targeting larger organisations. | 調査対象となった中小企業の85%が、サイバーセキュリティの問題が自社のビジネスに深刻な悪影響を及ぼすと考えており、57%が廃業する可能性が高いと回答しています。調査対象となった約250社の中小企業のうち、36%が過去5年間にインシデントを経験したことがあると回答しています。それにもかかわらず、多くの中小企業にとってサイバー攻撃はまだ主要なリスクとは考えられておらず、サイバー攻撃は大規模な組織のみを対象としているとの考えが残っています。 |
However, the study reveals that phishing attacks are among the most common cyber incidents SMEs are likely to be exposed to, in addition to ransomware attacks, stolen laptops, and Chief Executive Officer (CEO) frauds. For instance, with the concerns induced by the pandemic, cyber criminals seek to compromise accounts using phishing emails with Covid-19 as a subject. CEO frauds are other decoys meant to lure an employee into acting upon the instructions of a fraudulent email displayed as if sent from their CEO, and usually requesting a payment to be performed in urgency under business-like circumstances. | しかし、今回の調査では、ランサムウェア攻撃、ノートパソコンの盗難、CEO(最高経営責任者)の不正行為に加えて、中小企業が遭遇する可能性の高いサイバーインシデントとして、フィッシング攻撃が挙げられています。例えば、パンデミックが懸念される中、サイバー犯罪者はCovid-19を件名にしたフィッシングメールを使ってアカウントを侵害しようとします。CEO詐欺とは、従業員をおとりにして、あたかもCEOから送られてきたかのように表示された詐欺メールの指示に従わせるもので、通常はビジネスライクな状況下で緊急に行うべき支払いを要求するものです。 |
The report unveils the following challenges SMEs are faced with: | レポートでは、中小企業が直面している以下のような課題を明らかにしています。 |
・Low awareness of cyber threats; | ・サイバー脅威に対する認識が低いこと。 |
・Inadequate protection for critical and sensitive information; | ・重要な機密情報の保護が不十分であること。 |
・Lack of budget to cover costs incurred for implementing cybersecurity measures; | ・サイバーセキュリティ対策を実施するために必要な予算が不足している。 |
・Availability of ICT cybersecurity expertise and personnel; | ・ICTサイバーセキュリティの専門家や人材の確保。 |
・Absence of suitable guidelines tailored to the SMEs sector; | ・中小企業向けの適切なガイドラインが存在しないこと。 |
・Moving online; | ・オンライン化。 |
・Low management support. | ・経営陣のサポート不足。 |
How to address those challenges? | これらの課題に対処するにはどうすればよいのか? |
The recommendations issued fall into three categories: | 提言は3つのカテゴリーに分かれています。 |
・People | ・人 |
People play an essential role in the cybersecurity ecosystem. The report draws attention to the importance of responsibility, employee buy-in and awareness, cybersecurity training and cybersecurity policies as well as third party management in relation to confidential and/or sensitive information. | サイバーセキュリティのエコシステムでは、人が重要な役割を果たします。報告書では、責任感、従業員の賛同と意識、サイバーセキュリティ研修、サイバーセキュリティポリシー、さらには機密情報・重要情報に関連する第三者管理の重要性に注目しています。 |
・Processes | ・プロセス |
Monitoring internal business processes include performing audits, incident planning and response, passwords, software patches and data protection. | 内部ビジネスプロセスの監視には、監査の実施、インシデントの計画と対応、パスワード、ソフトウェアのパッチ、データ保護などが含まれます。 |
・Technical | ・テクニカル |
At the technical level, a number of aspects should be considered in relation to network security, anti-virus, encryption, security monitoring, physical security and the securing of backups. | 技術的なレベルでは、ネットワークセキュリティ、アンチウイルス、暗号化、セキュリティモニタリング、物理的セキュリティ、バックアップの確保など、さまざまな側面を考慮する必要があります。 |
Target audience | 想定読者 |
The report intends to deliver actionable guidance to the owners and employees of SMEs. In addition, this work can be of use to other entities involved in the SME ecosystem, such as SMEs national and European associations, policymakers and implementers, SME ICT providers and others. | 本報告書は、中小企業の経営者および従業員に実用的なガイダンスを提供することを目的としています。また、中小企業の国や欧州の協会、政策立案者や実施者、中小企業のICTプロバイダーなど、中小企業のエコシステムに関わる他の団体にも役立つ内容となっています。 |
Background | 背景 |
For nearly 15 years, the EU Agency for Cybersecurity has been pushing forward cybersecurity initiatives to assist SMEs to integrate cybersecurity into their digital environments. Starting in 2006 and 2007, the Agency published two Information Package for SMEs reports, providing risk assessment and management methodologies for SMEs. In 2010, the Agency published the Business Continuity for SMEs report to help facilitate IT knowledge transfer to SMEs. In 2015, the Cloud Security Guide for SMEs report was released to assist SMEs understand the security risks and opportunities regarding cloud services. Two years later, the Agency published the Guidelines for SMEs on the security of personal data processing. | 15年近くにわたり、EUサイバーセキュリティ庁は、中小企業がデジタル環境にサイバーセキュリティを組み込むことを支援するためのサイバーセキュリティの取り組みを推進してきた。2006年から2007年にかけて、同庁は中小企業のためのリスク評価と管理方法を提供する2つの「中小企業向け情報パッケージ」レポートを発行しました。2010年には、中小企業へのIT知識の移転を促進するために、「中小企業のための事業継続性」レポートを発行しました。2015年には、中小企業がクラウドサービスに関するセキュリティリスクと機会を理解するのを支援するために、「中小企業向けクラウドセキュリティガイド」レポートを発表しました。その2年後、同庁は個人データ処理のセキュリティに関する中小企業向けガイドラインを発表しました。 |
The EU Agency for Cybersecurity released last year a series of tips to help businesses face the rapidly changing digital sphere during the pandemic: Tips for selecting and using online communication tools; Tips for cybersecurity when buying and selling online; Tips for cybersecurity when working from home; Top ten cyber hygiene tips for SMEs during covid-19 pandemic. The EU Agency for Cybersecurity and the National Cyber Security Alliance published a joint checklist for SME in November 2020, offering businesses on both sides of the Atlantic a basic guide to maintaining digital security. | EUサイバーセキュリティ機関は昨年、パンデミックの際に急速に変化するデジタル領域に企業が立ち向かうための一連のヒントを発表しました。オンライン・コミュニケーション・ツールを選択・使用する際のヒント、オンラインで売買する際のサイバーセキュリティのヒント、自宅で仕事をする際のサイバーセキュリティのヒント、covid-19パンデミック時に中小企業が行うべきサイバー衛生上のヒントトップ10。EUサイバーセキュリティ庁と全米サイバーセキュリティアライアンスは、2020年11月に中小企業向けの共同チェックリストを発表し、大西洋の両側の企業にデジタルセキュリティを維持するための基本的なガイドを提供しています。 |
・2021.06.28 Cybersecurity for SMEs - Challenges and Recommendations
Cybersecurity for SMEs - Challenges and Recommendations | 中小企業のためのサイバーセキュリティ - 課題と推奨事項 |
In response to the COVID19 pandemic, ENISA analysed the ability of SMEs within the EU to cope with the cybersecurity challenges posed by the pandemic and determining good practices to address those challenges. This report provides cybersecurity advice for SMEs, but also proposals for actions that Member States should consider in order to support SMEs improve their cybersecurity posture. | COVID19パンデミックに対応して、ENISAは、パンデミックがもたらすサイバーセキュリティの課題に対処するEU域内の中小企業の能力を分析し、それらの課題に対処するための優れた実践方法を決定しました。本報告書では、中小企業向けのサイバーセキュリティに関するアドバイスだけでなく、中小企業のサイバーセキュリティ態勢の改善を支援するために加盟国が検討すべき行動についても提案しています。 |
・[PDF]
目次。。。
1. INTRODUCTION | 1. 序論 |
1.1 SCOPE / OBJECTIVES | 1.1 範囲/目的 |
1.2 TARGET AUDIENCE | 1.2 想定読者 |
1.3 METHODOLOGY OVERVIEW | 1.3 方法論の概要 |
1.4 SME CHARACTERISTICS | 1.4 SMEの特徴 |
2. KEY SURVEY FINDINGS | 2. 主な調査結果 |
2.1 SURVEY DEMOGRAPHICS | 2.1 調査対象者の属性 |
2.2 SURVEY CONCLUSIONS | 2.2 調査結果の概要 |
3. CHALLENGES | 3. 課題 |
3.1 LOW CYBERSECURITY AWARENESS | 3.1 サイバーセキュリティに対する意識の低さ |
3.2 INADEQUATE PROTECTION FOR CRITICAL AND SENSITIVE INFORMATION | 3.2 重要・機密情報の不十分な保護 |
3.3 BUDGETARY ISSUES | 3.3 予算の問題 |
3.4 LACK OF ICT CYBERSECURITY EXPERTISE & PERSONNEL | 3.4 ITサイバーセキュリティに関する専門知識と人材の不足 |
3.5 LACK OF SUITABLE GUIDELINES | 3.5 適切なガイドラインの欠如 |
3.6 SHADOW IT/PERSONAL DEVICES | 3.6 シャドーIT/個人デバイス |
3.7 MOVING ONLINE | 3.7 オンライン化 |
3.8 LOW MANAGEMENT SUPPORT | 3.8 経営陣のサポート不足 |
4. CYBERSECURITY INCIDENTS | 4. サイバーセキュリティインシデント |
4.1 IT SERVICE PROVIDER COMPANY RANSOMWARED | 4.1 ITサービスプロバイダー企業へのランサムウェア攻撃 |
4.2 STOLEN LAPTOP | 4.2 ノートパソコンの盗難 |
4.3 EMAIL ACCOUNT HIJACKED TO FACILITATE FRAUD | 4.3 詐欺目的のメールアカウントの乗っ取り |
4.4 RANSOMWARED PC & SERVER | 4.4 ランサムウェアに攻撃されたPCおよびサーバ |
4.5 CEO FRAUD | 4.5 CEO不正 |
5. RECOMMENDATIONS | 5. 推奨事項 |
5.1 PEOPLE RECOMMENDATIONS | 5.1 人々への推奨事項 |
5.1.1 Responsibility | 5.1.1 責任の所在 |
5.1.2 Employee Buy-in | 5.1.2 従業員の賛同 |
5.1.3 Employee Awareness | 5.1.3 従業員の意識向上 |
5.1.4 Cybersecurity Training | 5.1.4 サイバースペース・トレーニング |
5.1.5 Cybersecurity Policies | 5.1.5 サイバースペース・ポリシー |
5.1.6 Third Party Management | 5.1.6 委託先管理 |
5.2 PROCESS RECOMMENDATIONS | 5.2 プロセスに関する推奨事項 |
5.2.1 Cybersecurity Audits | 5.2.1 サイバースペースの監査 |
5.2.2 Incident Planning and Response | 5.2.2 インシデントの計画と対応 |
5.2.3 Passwords | 5.2.3 パスワード |
5.2.4 Software Patches | 5.2.4 ソフトウェアパッチ |
5.2.5 Data Protection | 5.2.5 データ保護 |
5.3 TECHNICAL RECOMMENDATIONS | 5.3 推奨される技術 |
5.3.1 Network Security | 5.3.1 ネットワークセキュリティ |
5.3.2 Anti-Virus | 5.3.2 ウィルス対策 |
5.3.3 Employ Email and Web Protection Tools | 5.3.3 電子メールおよびWeb保護ツールの採用 |
5.3.4 Encryption | 5.3.4 暗号化 |
5.3.5 Security Monitoring | 5.3.5 セキュリティモニタリング |
5.3.6 Physical Security | 5.3.6 物理的セキュリティ |
5.3.7 Secure Backups | 5.3.7 安全なバックアップ |
5.4 COVID19 SPECIFIC RECOMMENDATIONS | 5.4 COVID19特有の推奨事項 |
5.4.1 Review Remote Access Facilities | 5.4.1 リモートアクセス設備の見直し |
5.4.2 Engage with the Cloud | 5.4.2 クラウドへの取り組み |
5.4.3 Implement Mobile Device Management | 5.4.3 モバイルデバイス管理の導入 |
5.4.4 Conduct Appropriate Security Awareness Training | 5.4.4 適切なセキュリティ意識向上トレーニングの実施 |
5.4.5 Secure Online Sites | 5.4.5 オンラインサイトのセキュリティ確保 |
5.4.6 Information Sharing | 5.4.6 情報の共有 |
5.5 MAPPING THREATS TO RECOMMENDATIONS | 5.5 脅威を提言につなげる |
6. EU AND NATIONAL LEVEL RECOMMENDATIONS | 6. EU及び国家レベルの提言 |
6.1 PROMOTE CYBERSECURITY AT LARGE | 6.1 全体的なサイバーセキュリティの推進 |
6.2 PROVIDE TARGETED GUIDELINES AND TEMPLATES | 6.2 対象となるガイドライン及びテンプレートの提供 |
6.3 CREATE SME FOCUSED CYBERSECURITY STANDARDS | 6.3 科学技術に焦点を当てたサイバーセキュリティ基準の策定 |
6.4 BOLSTER USE OF RISK MANAGEMENT FRAMEWORKS | 6.4 リスク管理フレームワークの使用を強化する |
6.5 MAKE CYBERSECURITY AFFORDABLE | 6.5 サイバーセキュリティを手頃な価格にする |
6.6 PROMOTE THE CREATION OF ISACS | 6.6 ISACの設立を促進する |
A ANNEX: METHODOLOGY | A 附属書:方法論 |
A.1 SMES IN EU | A.1 EUの中小企業 |
A.2 METHODOLOGY | A.2 方法論 |
A.2.1 Phase I: Stock Taking | A.2.1 フェーズI:ストックテイキング |
Analysis of Phase I(a): Desktop Research | フェーズI(a)の分析:デスクトップ・リサーチ |
Analysis of Phase I(b): Survey | フェーズI(b)の分析:アンケート調査 |
Analysis of Phase I(c): Interviews | フェーズI(c)の分析:インタビュー |
A.2.2 Phase II: Extraction of Results | A.2.2 フェーズII:結果の抽出 |
A.2.3 Phase III: Report Validation | A.2.3 フェーズIII:報告書の検証 |
・2021.06.28 Cybersecurity guide for SMEs - 12 steps to securing your business
Cybersecurity guide for SMEs - 12 steps to securing your business | 中小企業のためのサイバーセキュリティガイド - あなたのビジネスを安全に導く12のステップ |
The COVID-19 crisis showed how important the Internet and computers in general are for SMEs. In order to thrive in business during the pandemic many SMEs had to take business continuity measures, such as adopting to cloud services, improving their internet services, upgrading their websites and enabling staff to work remotely. This short guide provides SMEs with practical 12 high level steps on how to better secure their systems and their business. It is a companion publication to the more detailed ENISA report “Cybersecurity for SMES -Cybersecurity guide for SMEs Challenges and Recommendations”. | COVID-19危機は、中小企業にとってインターネットやコンピュータがいかに重要であるかを示しました。パンデミック時にビジネスを成功させるために、多くの中小企業は、クラウドサービスの導入、インターネットサービスの改善、ウェブサイトのアップグレード、スタッフのリモートワークの実現など、事業継続のための対策を講じる必要がありました。この短いガイドブックは、中小企業が自社のシステムとビジネスの安全性を高めるための実践的な12の高レベルのステップを提供します。これは、より詳細なENISAのレポート「中小企業のためのサイバーセキュリティ - 課題と推奨事項 」の姉妹誌です。 |
・[PDF]
« 独国 コンラート・アデナウアー財団 平時における日本、オランダ、米国のサイバー防衛態勢の比較 | Main | NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」 »
Comments