技術ブログ

中小企業によるセキュリティ対策はもはや“選択”ではなく“必須”です。2026年度から始まるサプライチェーン強化のための格付け制度により、企業の認証体制やアクセス制御が評価基準となります。本記事では、★1〜★5の格付け制度の概要、多要素認証の重要性、統合認証システム導入の手法、そして中小企業が段階的にセキュリティ強化を進めるための戦略を解説します。

Synology の QuickConnect は、ルーターのポート開放や固定IP不要で NAS にリモート接続を可能にする機能です。しかし過去5年で、アルゴリズムの脆弱性（CVE-2020-27652）、中継サービスの欠陥（CVE-2021-26566）、なりすまし攻撃、ブルートフォース攻撃など多数のセキュリティリスクが確認されました。
これを受け、DSM の更新、強力なパスワード設定、2要素認証、有効なアクセス制限などの対策が強く推奨されています。

2024年7月、VolexityがFortinetのVPNクライアント「FortiClient」にゼロデイ脆弱性を発見し、認証情報がプロセスメモリに平文で残る問題が明らかになりました。これを悪用したとされる中国系グループ「BrazenBamboo」は、高度なマルウェア「DEEPDATA」で認証情報や機密データを窃取。対策としては、ソフト更新、2要素認証 (2FA)、認証ログ分析の強化などが推奨されています。

ランサムウェアは最近、従来の暗号化攻撃から発展し、「ランサムウェア・アズ・ア・サービス（RaaS）」として手軽に実行できるようになったほか、暗号化＋データ公開・三重脅迫といった複合攻撃も増加しています。特定業界への標的型攻撃や保険料への影響も顕在化。対策としてはバックアップ、EDR、セグメンテーション、従業員教育、そして強固な認証（MFA／SSO）導入が重要であり、SingleID のような認証基盤が有効な防御手段となります。

日本の中小企業を対象に、FortiGate VPN に対する不正アクセス試行が 16,497 回 に及んだ調査が紹介されています。攻撃元のトップ国家はロシアと米国で、”test” や “guest” といった簡易なユーザー名を狙った試行が多数ありました。IP 匿名化やボットネットの利用も確認されており、侵入成功後はランサムウェア被害などの深刻なリスクにつながります。対策としては、クライアント証明書＋パスワードの 2FA 導入、定期的なバックアップ、FortiGate のセキュリティパッチ適用が推奨されています。

RADIUS は認証で広く利用されていますが、古い MD5 暗号に依存しており「Blast RADIUS 攻撃（CVE-2024-3596）」の脆弱性が指摘されています。攻撃者が中間者として通信を改ざんし不正アクセスを許可する恐れがあります。ただし EAP 認証や RADIUS over TLS を利用する環境は影響を受けにくく、SingleID のクラウドRADIUSはすでに緩和策を導入済みです。恒久対策として TLS/DTLS による暗号化通信の採用が推奨されています。