小規模企業なら、サイバー攻撃について考える必要はないと思うかもしれない。残念なことに、小規模企業も、悪意あるハッカーやサイバー犯罪者にとって非常に魅力的な標的になり得る。なぜなら、個人情報やクレジットカード情報、パスワードなど、大企業と同種のデータを保有しているからだ。 　しかし、小規模企業の性質として、情報の保護が大規模企業ほど強固ではない場合がある。

攻撃者は、大企業のサプライヤーかもしれない小規模企業に侵入し、そのアクセス権を利用して、大規模なビジネスパートナーのネットワークに侵入を試みる場合がある。 　フィッシング、ランサムウェア、マルウェア、攻撃者がデータにアクセスして改ざんする他のあらゆる悪意ある活動など、小規模企業が被害に遭うサイバー攻撃がどんなものであれ、結果として生じる損害は壊滅的なものになり得る。

回避すべきサイバーセキュリティの基本的な落とし穴を紹介する。

1. オンラインアカウントの保護に脆弱なパスワードを使用しない 　侵入が成功してしまう理由は多くの場合、アカウント所有者が脆弱なパスワード、すなわち推測しやすいパスワードを使用していることだ。 　クラウドベースのオフィスアプリケーションやリモートワークへの移行には、サイバー犯罪者による攻撃の機会が増加するという影響もあった。 単純なパスワードを複数のアカウントで使い回す人もいる。これをやると、アカウントやビジネスがサイバー攻撃に対して無防備になってしまう。特に危ないのは、サイバー犯罪者が総当たり攻撃を仕掛けて、よく使われるパスワードや単純なパスワードのリストを素早く試す場合だ。パスワードはアカウントごとに異なるものを使用しなければならない。パスワードマネージャーを利用すれば、すべてのパスワードを記憶する必要がなくなる。

2. 多要素認証を無視しない 　強力なパスワードを設定しても、それが悪人の手に渡らないとは限らない。サイバー犯罪者は、フィッシング攻撃などの手口によってユーザーからログイン情報を盗もうとする。 　アカウントの侵害への防御を強化できるのが、多要素認証（MFA）だ。ユーザーはアラートに応答するように求められ（これには特別に設計されたMFAアプリケーションを使う場合が多い）、アカウントにログインしようとしているのが本人であることを確認する。 　この追加の防御層があれば、サイバー犯罪者は正しいパスワードを持っていても、アカウント所有者がアクセスを承認しない限り、そのアカウントを使用できない。自分のアカウントへのログイン試行があったという予期せぬアラートを受け取った場合は、ITチームやセキュリティチームに報告して、すぐにパスワードをリセットする必要がある。そうすれば、サイバー犯罪者は盗んだパスワードを悪用する試みを続けられなくなる。 　多要素認証は2要素認証（2FA）とも呼ばれ、その使用はサイバーセキュリティ関連の最も一般的なアドバイスの1つとなっているが、まだこの手法を使っていない企業が多い。こうした状況は変える必要がある。

3. セキュリティパッチとアップデートの適用を先延ばしにしない 　サイバー犯罪者がネットワークに侵入して動き回るために用いる最も一般的な手口の1つは、アプリケーションとソフトウェアのサイバーセキュリティ脆弱性の悪用だ。セキュリティ脆弱性が開示されると、OSの開発元は通常、それを修正するセキュリティアップデートをリリースする。 　セキュリティパッチによって脆弱性を修正することで、悪用を試みるサイバー犯罪者からシステムを保護できるが、それはアップデートを適用した場合に限られる。 　残念ながら、多くの企業はセキュリティパッチとアップデートの展開が遅く、ネットワークとシステムがハッカーに対して無防備な状態のままになっている。脆弱性にパッチを適用せずに何年も放置したせいで、簡単に防げたはずのサイバーインシデントのリスクに企業が（場合によっては顧客も）さらされることもある。 　絶対に認識しておかなければならないのは、重大なセキュリティアップデートをできるだけ速やかに適用する必要があるという点だ。

4. ウイルス対策ソフトウェアやファイアウォールを軽視しない 　ウイルス対策ソフトウェアは、インストールして有効にしなければ、誰の役にも立たない。サイバーセキュリティを強化するために、小規模企業はネットワーク上のすべてのコンピューターとノートPCにウイルス対策ソフトウェアをインストールする必要がある。 スパムフィルターとファイアウォールをインストールするのも、従業員をサイバー攻撃から保護するうえで有効だ。

5. 従業員へのサイバーセキュリティトレーニングを怠らない 　小規模企業であっても、各種ツールやサイバーセキュリティ意識に関するトレーニングを提供することが重要だ。たとえば、誤ってフィッシングメールのリンクをクリックして、ネットワークにマルウェアをインストールしてしまうケースや、ビジネスメール詐欺（BEC）に引っかかって、ビジネスパートナーや上司になりすました者に多額の送金をしてしまうケースが考えられる。 

6. バックアップを無視しない 　ネットワーク上のコンピューターがわずか数台だとしても、サイバー攻撃に対するシステムの回復力強化のために実行すべき重要なことがある。その1つが、データの定期的なバックアップだ。 バックアップは定期的にアップデートして、可能な限り新しいデータが保存されるようにする必要がある。攻撃者がバックアップにアクセスして消去できないように、オフラインで保存すべきだ。

7. ネットワークの監視をおろそかにしない 　ネットワークにサイバー攻撃対策を施すことは有益だが、社内の誰かが責任を持って、ネットワーク上で有害な行為が起きていないか監視する必要がある。 

8. サイバーセキュリティインシデントに無計画で臨まない 　堅実なサイバーセキュリティ戦略があっても、サイバー犯罪者がネットワークを侵害し、そのアクセスを不正な手段で用いる可能性はある。これには、ランサムウェアのインストール、スパイ行為、クレジットカード情報の窃取、他にも無数の悪意ある攻撃が考えられる。そのような事態が発生した場合に備えて、計画を策定しておくと役に立つ。これはネットワークがオフラインになってもアクセスできるものでなければならない。 　サイバー攻撃への対応、業務を継続する方法、連絡すべきサイバーセキュリティ機関と調査機関についての計画を立てておくと、多少の戦略と冷静さを見せながら、ストレスの多い状況に対処できるだろう。