「士業に高額なセキュリティ機器を導入する必要性ってある?」
「小規模オフィス向けにオススメなセキュリティ製品があれば教えてほしい…」
今回は、このような疑問について深掘りしていきたいと思います。
税理士・行政書士・弁護士など、いわゆる「士業」と呼ばれる職業は、一般企業と比べてもセンシティブな個人情報を扱っているため、厳重なセキュリティ対策が求められます。
とはいえ、士業は個人事務所や自宅で作業をする機会が多く「わざわざ数台のパソコンのために高額なセキュリティ機器を導入する必要があるのか?」悩まれている方も多いのではないでしょうか。
結論から言ってしまうと「必ずしも高額なセキュリティ製品を購入する必要はありません」。
本記事では、士業のセキュリティ問題を始め「1台からでも導入可能なセキュリティ製品」まで一挙ご紹介。
本記事を最後まで読んでいただければ、士業を始めとした小規模オフィス向けに最適なセキュリティ製品を見つけられます。
ぜひ最後までご一読くださいませ。
(※本記事は5~7分ほどで完読できますが、時間がない方は目次にあるオススメのセキュリティ製品をクリックし、飛ばして読んでいただいても問題ありません。)
士業のセキュリティ面における課題点
冒頭で説明した内容に加え、改めて士業のセキュリティ対策における現状の課題点を整理すると、下記3つがあげられます。
高額なセキュリティ機器を導入する必要性があるのか
セキュリティ対策に必要な知識がない
社内SEを中々配置できない
順番に深掘りしていきましょう。
高額なセキュリティ機器を導入する必要性があるのか
裁判所や顧客訪問に伺う機会の多い「弁護士」や「社労士」を始め、一般的に個人で事務所を構える人が多い士業は、一般企業のように「パソコンが何十台・何百台」もあるわけではありません。
厳重なセキュリティ対策をしなければいけないとわかってはいても、パソコンが数台のみの環境下で「わざわざ高額なセキュリティ機器を投資する必要性があるのか?」考える士業の方も多く、製品選びに苦労している話をよく耳にします。
セキュリティ対策に必要な知識がない
セキュリティに関する知識が乏しい士業の方が多いのも課題点と言えるでしょう。なぜなら、毎年サイバー攻撃やマルウェアの被害を受ける士業が後を絶たないからです。
背景として、セキュリティに割く時間や意識的な問題など、さまざまな要因が絡んでいます。
特に個人で仕事を抱えている事務所であればあるほど、上記の傾向が顕著に表れているようです。
社内SEを中々配置できない
士業のベストなセキュリティ管理って何だろう。故意の情報漏洩が圧倒的に多くて、その端末はPCやスマホから幾らでも方法がある。故意でなくても、リテラシーやセキュリティの甘い端末から意図せず。データへの入口と出口の管理、社内SEをなかなか置けない我らの悩み。専門家の助けがほしい。
— 中野 剛志@ベンチャー社労士 (@HrAdjust) June 12, 2021
上記のツイートにもある通り、士業は社内SEを中々置けず、専門家の助けを必要としているのが現状です。
配置できない原因は様々ですが
コスト面
セキュリティスキルの見極めができない
自社の機密情報における運用体制が整っていない
など、士業の社内SE配置は、現在も多くの課題点があります。
士業のセキュリティ対策が甘いと言われるのはなぜ?
非常に残念な話ですが、世間の目から見て「士業のセキュリティ対策は甘い」と思われています。
理由として、主に
セキュリティへの関心が薄い
士業同士の繋がりが強く、互いを信頼しすぎている
上記2つがあげられるからです。順番に見ていきましょう。
セキュリティに対する関心が薄い
先ほど上述した内容と多少重複しますが、セキュリティ対策が甘くなる根本の原因はやはり「セキュリティに対する関心の薄さ」が背景にあるでしょう。
もちろん、個人で仕事を抱えている士業の方は、毎日多忙を極めていますし、中々セキュリティに時間を割けないという気持ちもわかります。
しかし、士業のセキュリティ被害は年々後を絶ちません。当然被害が増えてしまえば、世間からの風当たりは強くなってしまいます。
士業同士の繋がりが強く、互いを信頼しすぎている
士業でemotetが大流行しているのは、セキュリティに対する甘さだけでなく、士業同士の繋がりが強いからなんだろうな。
同期とかお世話になっている別士業とかからメールが来たら無条件で開いちゃう人とかいっぱいいそう。— Reveryearth (@Reveryearth) March 15, 2022
上記のツイートにもある通り、士業同士の繋がりが強い点も、セキュリティ意識が甘いと言える原因といえます。
なぜなら、なりすましメールによってマルウェアに感染し、甚大な被害にあった事例があるからです。
実際に、既に感染していた社労士からのなりすましメールで二次感染してしまった同業者もいます。
ですので、同業者だからといって「なんでも過信しすぎる」のは非常に危険。
いつもと何か違う内容のメールが送られてきたり、少しでも違和感を感じた際には、ファイルやURLをむやみに開いたりせず、直接聞いてみましょう。
士業がセキュリティ対策を怠るとどうなる?【実際の被害事例も】
結論から言うと、士業がセキュリティ対策を怠ると、具体的に下記の被害が起こります。
顧客の個人情報が漏れて多額の損害賠償が発生
社会的名誉や信用がなくなる
最終的に廃業の危険性
ではなぜ、こうしたセキュリティ被害が起こってしまうのでしょうか。理由は下記6つのセキュリティインシデントにあります。
Emotet
サイバー攻撃
ランサムウェア
マルウェア
サプライチェーン攻撃
内部からの情報漏えい
インシデントそれぞれの特徴と、実際の被害事例も踏まえながら解説していきます。
Emotet(エモテット)
Emotetは、悪意のある攻撃者によって送られる不正なメールから感染が拡大するマルウェアの亜種です。
2019年11月末ごろにメディアで取り上げられ、一気に世で広まりました。
2021年1月、欧州刑事警察機構(Europol)による大規模な対策が成功した結果、脅威は去ったかと思われましたが、2021年11月に活動再開が確認され、以降、日本国内でのEmotet感染が増加しています。
Emotetの事例
emotetというパソコンウイルスが流行っている様子。
地元の看板屋さんも感染。知り合いの税理士先生も感染。その税理士先生は(感染済みの)社労士先生からのなりすましメールで感染したそう。士業事務所にとっては、かなりの注意案件。
— 士業限定 無料税務相談&協業受付け (@tax_uketsuke) March 9, 2022
Emotetが地元の看板屋さんや知り合いの税理士に感染したツイートがあげられています。加えて、感染した税理士先生はなんと、既に感染していた社労士先生からのなりすましメールで感染してしまった事例です。
サイバー攻撃
サイバー攻撃とは、サーバー、パソコン、スマホなどの情報端末に対して、ネットワークを通じシステムダウンやデータの窃取、改ざんなどを行う行為を指します。
攻撃者の中には、対象が企業または個人の場合のほか、不特定多数を無差別に攻撃する場合など、目的や手段も様々です。
サイバー攻撃の事例
いつも明るい士業の方より突然お電話。
(あ、やべ!ワタシ個人の案件の書類送ってない…)
悲壮感漂った疲れ切った声で
『地本さん、私感染してしまいまして…』
(あー、コロナかな?)
『私からのメールは開けないでください』
(サイバー攻撃!?)お話聞くと士業ゆえに、クライアント含め 続
— 横浜地方協力本部 (@Totsuka_mod) March 2, 2022
上記のツイートでは、いつも明るくふるまっている士業の方から突然「感染した」との電話がかかってきたそう。
その後、情報が国各地に拡散されてしまい、状況説明で数え切れないくらい架電をしているとのこと。
情報漏洩の補償は入っていても、サイバー保険に入らなかった結果、通常業務に支障を来たすレベルにまで発展してしまった事例です。
他にも、
会社の倒産解雇に追い込まれるぐらいの状況
実際に廃業してしまった士業事務職
など多数報告されています。
ランサムウェア
ランサムウェアというのは、パソコンの中のデータを暗号化し、復元するために金銭を要求する手口です。
感染すれば、急にパソコンの中のデータが全てなくなったり、ロックがかけられ起動すらできなくなる場合もあります。
ランサムウェアの被害事例
#ランサムウェア #DEADBOLT のご相談件数が減りません。
感染被害はQNAPのディスク2本、または4本モデルに集中しています。建築、設計、デザイン、制作、士業の業界で30名以下の企業様からのご相談が目立ちます。#データ復旧 #クイックマンhttps://t.co/kOCItvfyco pic.twitter.com/9lUZaOqfbe
— 出張データ復旧クイックマン 【公式】 (@s_e_systems) July 27, 2022
上記のツイートは、QNAP社製NASを標的に攻撃を仕掛けた「DeadBolt」ランサムウェアの被害事例です。
建築業やデザイナーなどを始め、士業も被害に遭われている模様。攻撃を受けてしまうと、NASのデータが暗号化され、動かなくなったり、ファイルを書き換えられたりします。
マルウェア
マルウェアは、パソコンなどの端末を不正かつ有害に動作させる目的で作成された悪意のあるソフトウェアやコードの総称を指します。
上述した、身代金要求型不正プログラム「ランサムウェア」もマルウェアの一種です。
例えば「PowerShell攻撃(ファイルレスマルウェア攻撃)」という、Windowsに標準搭載されているPowerShellを悪用した攻撃手法が登場しています。
コマンドなどを使って攻撃を仕掛けてくるので、ウイルス対策ソフトが検知せずに無力化されてしまうのです。
マルウェアの被害事例
弁護士や公認会計士などの士業関係者がランサムウェアに感染し、大切なデータを全て失ってしまう結果に。倒産の憂き目に遭遇してしまった被害事例がありました。
サプライチェーン攻撃
サプライチェーン攻撃とは、あえて標的企業に直接攻撃せず、セキュリティの手薄な関連企業(中小企業など)を通じて不正に侵入するサイバー攻撃です。
例えば、大手企業へ攻撃する手段がないため、関連性のある顧問事務所や裏取引先の方から先に攻撃する、などがあげられます。
サプライチェーン攻撃の被害事例
男子プロスポーツ法人の業務委託先にて、Webサーバーとデータ管理運用を任された再委託先企業が、Webシステムの開発・運用中にWebサイトの脆弱性を突いた攻撃を受けました。
攻撃によって、クレジットカード情報を含む「最大15万人以上の個人情報」が流出した可能性があります。
関連したクレジットカード不正利用の被害額は、報告だけで計379件、約880万円の被害報告が上がっています。
内部からの情報漏えい
サイバーセキュリティという観点だけではなく、内部からの情報漏えいというのもやはり深刻な問題です。
大切な顧客情報やノウハウが、内部の従業員を通じて盗まれてしまってはひとたまりもありません。
また、内部の従業員のみならず、過去退職した社員を通じて、情報が盗まれたり、漏えいするリスクも実際に存在しています。
内部情報漏えいの被害事例
2014年にこどもチャレンジや進研ゼミを利用する、会員約3,500万人の個人情報が流出しました。流出した内容は子供と保護者の個人情報(住所や電話番号など)です。
ベネッセのグループ会社であるシンフォームに勤務していた派遣のエンジニアが流出を行っており、ギャンブルによる借金返済のため、不正に得た個人情報を名簿業者に売却。
またシンフォームのみならず、ベネッセ側もデバイス制御ソフトやアクセス権の管理に不備があった点も問題となりました。
士業向けのセキュリティ対策&オススメのセキュリティ製品をご紹介!
ここまで士業のセキュリティ問題や被害事例などを解説してきました。
最後に、士業の方に実践いただきたい対策から、オススメのセキュリティ製品まで一挙ご紹介していきます。
セキュリティに関する知識を深める
大切な顧客情報を保有している士業の方にとって、セキュリティ対策は絶対に欠かせないものです。
日頃から、インターネットやSNS、ニュース、書籍を活用して情報収集しつつ、トラブルを未然に防ぐ施策や、トラブル時の迅速な対処法を理解できるようにしておきましょう。
具体的には「ネットワーク、データベース、ハードウェア、マルウェア解析」等々、広く浅くではなく、個別技術に至るまでしっかりと勉強しなければ、被害を防ぐのは難しいです。
情報セキュリティのスペシャリストとして、将来差別化をしていくのであれば「自分の所でセキュリティ対策ができてない部分はどこか?」を把握し、行動に移すようにしましょう。
事務所全体でセキュリティルールを定める
個人ではなく、複数人で仕事をしている場合は、事務所全体でセキュリティルールを定めておきましょう。
なぜなら、自分だけがしっかりと対策をしていても、個々のセキュリティ意識が低ければ、情報漏えいのリスクが高まるからです。
例えば、テレワークが主流になった現代では、カフェやコワーキングスペースで仕事をする機会が増えましたよね。
不特定多数の方が行き来する場所で仕事をするというのは、相応のセキュリティリスクが発生します。
実際に、
盗聴
画面の覗き見
席を外している間にUSBメモリが盗まれる
など多数の被害事例が報告されているのも事実。
社内のみならず、社外で勤務する場合においても、セキュリティルールを事前に定めることで、リスクを最小限に抑えられます。
また内部からの漏えい対策として、しっかりとモニタリングをしつつ「どの情報をどこに預かっているか」というのを確認できる仕組みを作ることが大切です。
仕組みができれば、社員も常に見られている意識になるので、リスクを犯す危険性が下がります。
「クラウド型のUTM製品」を導入する
「人」「ルール」「教育」を行うこともセキュリティ対策を行う上でとても重要ですが、パソコン内部の防御策として、やはりセキュリティ製品の導入は必須です。
代表的なセキュリティ対策ソフトの例として「ウイルス対策ソフト」「VPN」「UTM機器」などがあげられますが、比較的高額な製品が多いのが特徴。
場合によっては「100万円以上」する製品まであり、パソコンを数台しか持たない個人事務所や小規模オフィスにとっては「ハッキリ言ってコスパが悪い」といえます。
そこで、士業の方にぜひオススメしたいセキュリティソフトは、弊社で取り扱っているクラウド型のUTM「どこでもUTM」です。
そもそもUTMってなに?
UTMとは、別名「統合脅威管理」とも呼ばれ、コンピュータウイルスやハッキングなどの脅威から、コンピューターネットワークを効率的かつ包括的に保護する管理手法を指します。
UTMの特徴として、
管理、運用のコストが削減できる
トラブル時の対処が簡単
各セキュリティ対策機能を1つに集約しているため、対策の手間が省ける
などのメリットがあります。
しかし、機器を設置しなければならない点や、高額な製品も多く、個人事務所や小規模オフィスで仕事をする士業の方にとっては、特にコスパの面でメリットよりもデメリットの部分が大きく感じてしまいます。
そのような悩みを解決したのが、クラウド型UTM「どこでもUTM」なのです。
必要な時に必要な分だけ。1台から導入が可能
機器設置が不要かつ1台月額1,210円(税込)で利用可能(※1)
既存のUTM機能はもちろん、追加オプション(※2)でさらにセキュリティ対策を高められる
※1:どこでもUTMライトプランの場合
※2:自己申告の勤怠管理とパソコンの業務時間で客観的な業務把握が可能な「EYE247」や新種のEmotetやランサムウェアへの感染対策技術「FFRI yarai」を必要に応じてご提供
まさに「個人」や「小規模オフィス」で仕事をする士業の方にピッタリなセキュリティツールで、どこでもUTMならクラウド上でオフィスと同等レベルのセキュリティ対策が高コストパフォーマンスで使用可能です。
また、トラブルや技術的な対応も行っておりますので、セキュリティについての知識が浅い方でもお気軽にご相談できます。
今なら、無料で「どこでもUTM」が1週間ご利用できます
まずはお試しで使ってみたいという方向けに、今なら「無料で1週間どこでもUTMが使用できるトライアル」もご用意。
今後、高コスパを維持しつつ、強固なセキュリティ対策で競合との差別化を計っていきたいとお考えの士業の方はぜひ一度ご検討ください。
まとめ
センシティブな情報を取り扱う士業は、セキュリティ対策を常にしっかりと行わなければなりません。
セキュリティ知識を得たり、ルールを定めることは前提として、+αで「コストを抑えたセキュリティツールの選別」も考える必要があります。
逆を言うと、今後しっかりとセキュリティ対策が行えていければ、同業者との差別化を計れるのは間違いないです。
なぜなら、取引先の大企業や中堅企業など、セキュリティリスクを認識している企業がセンシティブな情報を渡す時、セキュリティ対策がしっかりと行っている個人や中小企業を選ぶのは必然だからです。
今一度、自身のセキュリティ対策を見つめなおし、効果的な施策を打っていきましょう。