サイバー攻撃による情報漏えいが多発していますが、中小企業のインシデントはあまり報じられることはありません。しかし、攻撃は頻発しており、被害を受けたときのダメージは、体力が劣る中小の方がより深刻と言えます。
今回は中小企業のセキュリティリスクと、組織を守るために必要な知識と行動についてまとめました。
多発する中小企業を狙うサイバー攻撃
“中小企業30社の通信を分析した結果、30社すべてで不審な通信を検知”
大阪商工会議所が神戸大学などと協力して、中小企業を狙ったサイバー攻撃の実態を調査した実証事業における報告(2019年7月発表)の一部です。IPA(情報処理推進機構)と経済産業省が推進する「サイバーセキュリティお助け隊」(令和2年度 中小企業向けサイバーセキュリティ対策支援体制構築事業)の活動では、調査対象の約1,100社において、181,536件の不審なアクセスが検出されていました。
参照:「中小企業を狙ったサイバー攻撃の実態を調査・分析する実証事業<平成30年度実証>の実施報告について」
参照:「サイバーセキュリティお助け隊サービス」
攻撃者から見ると、“大企業か中小企業か”“大都市か地方都市か”は、まったく無関係です。原材料・部品の調達から製造、流通、販売までつながるサプライチェーンの視点で見ると、中小の組織はむしろ狙い目です。大手企業に比べ、情報セキュリティにかける人員、コストに制約がある中小企業の方が、安全対策が疎かになりやすいからにほかなりません。
最初からガードが堅い大手は狙わず、取引がある事業者に標的を定めて、マルウェアや偽のビジネスメールを使って社内システムに不正侵入し、ここを足場に大企業のネットワークに入り込んでいくサプライチェーン攻撃という手口です。
「2025年までに、組織の60%はサードパーティとの取引やビジネス契約における主要な決定要因として、サイバーセキュリティ・リスクを用いる」
調査会社 ガートナーが2021年11月末に発表した報告書「2021~2022年のサイバーセキュリティに関する展望のトップ8」の1項目です。2025年を待たずとも、中小企業の皆さまも、販路開拓、ビジネスパートナーとの契約といった局面で、セキュリティ対策を問われた経験をお持ちではないでしょうか?
参照:「2021~2022年のサイバーセキュリティに関する展望のトップ8」
中小企業を取り巻く環境は急変
中小企業のセキュリティ対策が厳しく問われるようになった理由は、サプライチェーン攻撃の多発だけではありません。大きな要因として、企業を取り巻く環境の変化と攻撃の先鋭化が挙げられます。
まず前者ですが、一つは個人情報保護に対する法整備です。転機になったのは、EUが制定したGDPR(一般データ保護規則)で、2010年代後半から先進国におけるプライバシー保護に対する規制は、軒並み強化されました。国内ではマイナンバー法、改正個人情報保護法(2022年4月施行)もあって、個人情報を扱う全ての企業には、より厳重な管理体制が求められるようになっています。
環境変化のもう一つの側面は、ITの利用シーンの拡がりです。いまの時点で消費者向けのビジネスを立ち上げるとしたら、クラウド型のコミュニケーションツールや経費管理サービス、SNSを使った告知といったツールなしでは考えられません。一般企業の皆さまも、ここ数年でクラウドサービスの利用拡大、テレワークの常態化など、ビジネス環境とITツールが急変した点は実感されていると思います。
ビジネス環境とツールの変化は、セキュリティリスクに直結します。2020年から2021年にかけては、テレワークに利用するVPN(仮想的な専用回線)機器の脆弱性を突かれ、企業システムへの侵入を許す事件が多発しました。Web会議ツールやオンラインストレージの共有制定のミスが、情報漏えいにつながったインシデントも報告されています。
先鋭化した攻撃が強固なガードも突破
中小企業のセキュリティ対策が問われる理由はもう一つ、2010年代の中期あたりから、攻撃の先鋭化が加速している点です。攻撃側も守る側の対策を学習して力を高め、特にサプライチェーン攻撃やランサムウェア(データを暗号化して復号化キーと引き換えに身代金を要求する攻撃)は、専門知識を備えるスタッフが常駐する組織にも入り込んでくるようになっています。
何らかの方法でメールを盗み見し、ここぞいうタイミングで割り込んで、不正な送金先の指定や機密情報の送付を促すビジネスメール詐欺は、セキュリティ企業などが実施する専門の訓練を受けた人を欺くケースも皆無ではありません。
サイバー攻撃で受ける実害は?
サイバー攻撃で受ける被害は、侵入に気付くタイミングによって度合いは異なりますが、共通項としては以下が挙げられます。
・業務停止/システム修復にかかる金銭的被害
・業務の停滞と従業員への悪影響
・顧客の損失
・社会的信用の失墜
こうした責任は、最終的には経営者にかかってきます。
“当社には盗まれるような情報はない”。経営者の中には、こう考える人もいるようですが、取引先に関する情報、顧客名簿、製品のデータ、財務情報がない企業はありません。言うまでもなく、これらはすべて機密情報であり、漏洩すると業務停止や取引先の損失や、内容によっては損害賠償にも結びつく情報資産です。
攻撃に対する危機意識は?
金銭的被害や信用の失墜など、サイバー攻撃による被害は大企業も同じですが、受けるダメージの度合いは、基礎体力に劣る中小企業の方がより深刻と言っていいでしょう。しかし、中小企業経営者の危機感は薄いのが現実です。
日本損害保険協会が発表した「サイバーリスク意識・対策実態調査 2020」によると、新型コロナウイルスの感染拡大前に比べ、サイバー攻撃を受ける可能性が“高まった”と答えた企業は調査対象の約4割でした。一方、“変わらない”とした事業者は、中小企業に多い傾向が見えました。
調査対象の8割がテレワークやWeb会議を利用しており、その9割は感染拡大を機に導入しています。中小企業の意識はまだ低いと言わざるを得ません。
もう1点、同協会の報告から引用すると、中小企業の経営者825人を対象にした「中小企業の経営者のサイバーリスク意識調査 2019」では、優先度が高い経営課題(複数回答)として、収益性の向上(48.0%)と人材育成(40.4%)、新規顧客の開拓(36.7%)と続き、サイバーリスクへの対応は“その他”を除く最下位の12番目、わずか1.6%という結果も出ています。
参照:「サイバーリスク意識・対策実態調査 2020」
参照:「中小企業の経営者のサイバーリスク意識調査 2019」
コストと投資のバランス感覚を持つ
営業スタッフの増員や生産現場への設備投資と違い、セキュリティ対策は直接的な利益は生まないため、セキュリティはコストと見る経営者も少なくありません。しかし、これまで見たサイバー攻撃の実態と環境変化などの現実を振り返るまでもなく、いまの中小企業にとって、セキュリティは経営課題であり、必要な投資であることは明白でしょう。
もちろん、投資と認識していたとしても、リソースに制約がある多くの中小企業は優先順位を一気に上げることは難しいと思います。限られた人員、予算の範囲内での対応が求められることになるでしょう。そこで経営層が持つべき意識は、コストと投資のベクトルを合わせていくことです。セキュリティ対策に必要な予算は確保しつつ、それを投資に結びつけていく発想ではないでしょうか。
例えば、クラウドサービスの導入やテレワーク環境は当然の装備として、AIを活用したマーケティングツール、小売業のニーズにフレキシブルに対応するECサイト作成サービス、IoT(Internet of Things)を組み込んだ省力化店舗・無人店舗など、新しい技術を使って収益確保、新事業の開拓に結びつけている中小企業、スタートアップ企業は少なくありません。
その一方、完成度が低い新技術・新サービスの普及期は、安全面の欠陥が見つかることがあり、ユーザー企業も不慣れな部分が残るため、情報管理の徹底、体制強化は前提になります。つまり、守りのセキュリティと攻めのビジネスのベクトルの合致です。守りを固め、ここを足場に新しいシステムを装備し、事業領域の拡大と収益に昇華させていく。こうした発想は、いまビジネスにITを活用するあらゆる企業に必要な要件と言えるのです。
“一歩踏み出す”“一歩進める”には?
“コストと投資のバランス感覚を持った企業運営”
この理念を形にしていくとき、セキュリティの土台を構築するには、まず何をすればいいのでしょうか? 中小企業が安全対策を進めるに際し、“何から手を付けたらいいか分からない”“どこまでやればいいか分からない”といった声が、各種アンケートでは決まって上位にランクされます。
かつてのように、“セキュリティ対策=ウイルス対策ソフト導入”の時代ではなく、巧妙なビジネスメール詐欺は頻発し、プログラムの体裁をとらず検知が難しい“ファイルレスマルウェア”も日常的に襲ってきます。攻撃者はわずかな隙を突いてくるため、セキュリティ対策に100%はありません。この状況下で一歩踏み出す、一歩進める、そして安全のレベルを維持するには、経営者の主導と全社的な取組みが前提になります。
中小企業に向けたガイドライン
“何から手を付けるか”“どこまでやるべきか”といった中小企業の共通課題に対し、IT分野の業界団体をはじめ、総務省、経済産業省などの省庁も、支援策を年々充実させています。今回は、多くの企業が参照するIPA(情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」のエッセンスを見ておくことにしましょう。
1.情報セキュリティ対策は経営者のリーダーシップで進める
2.委託先の情報セキュリティ対策まで考慮する
3.関係者とは常に情報セキュリティに関するコミュニケーションをとる
「ガイドライン」の前半で示される経営者が認識すべき「3原則」です。これに続いて行動指針として、実行すべき「重要7項目」が提示されています。
1.情報セキュリティに関する組織全体の対応方針を定める
2.情報セキュリティ対策のための予算や人材などを確保する
3.必要と考えられる対策を検討させて実行を指示する
4.情報セキュリティ対策に関する適宜の見直しを指示する
5.緊急時の対応や復旧のための体制を整備する
6.委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
7.情報セキュリティに関する最新情報を収集する
「ガイドライン」は、ここで引用したセキュリティ対策の“指針”から、行動に移すときの“考え方”、そしてシステムの設定や運用方法など“実践”レベルの情報を凝縮したものです。情報セキュリティに初めて取り組む企業だけでなく、セキュリティツールを導入・運用している組織にとっても、点検と補強、機能を維持する上で活用できるはずです。
経営層の方は、前半10ページほどの「経営者編」に目を通すだけで(後半は「実践編」)、中小企業に必要なセキュリティ対策の概要と進め方、典型的な被害事例などの内容を概観できますので、未読の方は、一度参照されてはいかがでしょうか。
現在のサイバー攻撃の実態と、中小企業に必要なセキュリティ対策について、駆け足で見てきました。セキュリティ対策はシステムを導入して終りではなく、攻撃側の新しい動き反映し、機能を維持・更新していくことが不可欠です。
中小企業にとっては、負荷が低い作業ではありませんが、社会的信用の維持とビジネスの拡張のためには、必要なミッションの一つと言えます。IPAのガイラインなどを参考に、自社の状況に合った方法で進めてください。
