サイバー攻撃によるマルウェア感染や不正アクセスなどの被害が拡大する一方で、「盗まれるような情報はない」「うちみたいな小さな会社には関係ない」という考えをお持ちの経営者は少なくないようです。しかし、大手企業だけでなく、中堅・中小企業がサイバー攻撃の標的となるケースは年々増加しています。予算やリソースが限られた中堅・中小企業では、情報セキュリティ対策として何をすべきか、その必要性や課題について解説していきます。
目次
今回のケース
自社の情報セキュリティ対策がほぼできていない状況。対策を検討したいが、何から始めればいいのかわからない。
( 1 ) 中堅・中小企業にこそ情報セキュリティ対策が必要な理由
中堅・中小企業は大手企業のように、予算を投じて情報セキュリティ対策を行っているところはまだ少ないのが現状です。サイバー攻撃による被害についての報道は、大手企業がほとんどで、社名とともに甚大な被害額なども公表されています。では、中堅・中小企業は被害を受けていないのかというと、決してそうではありません。
経済産業省は2020年6月、「中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)」を通して、地域・企業規模に関わらず中小企業もサイバー攻撃の対象であることを指摘しています。
この事業では、サイバーセキュリティに関する悩みや対策のニーズ、サイバー攻撃被害の実態等の把握、サイバーインシデントが発生した際の支援体制の構築のための実証などを行っています。1,064社が参加した実証期間中、全国8地域で910件のアラートが発生し、その中でも重大なインシデントの可能性がある128件に対応。また、対応を怠った場合の被害想定額が5,000万円近くになる事案もありました。
中堅・中小企業が抱えるセキュリティリスク
大企業への攻撃を前提として、まず情報セキュリティ対策が不十分な中堅・中小企業を狙い、踏み台として利用されるケースが増えています。サイバー攻撃の手口はますます複雑化・巧妙化しており、気がつかないうちに被害を受けている場合もあります。
主な情報セキュリティリスクを以下に挙げてみましょう。
IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威 2021」(組織向け)では、上記の「ランサムウェアによる被害」が1位、なりすましメールなどの「標的型攻撃による機密情報の窃取」が2位という結果が出ています。また、4位に挙がった「サプライチェーンの弱点を悪用した攻撃」とは、まさに対策の甘い企業を踏み台として利用し、大企業へのサイバー攻撃を仕掛けるという手口です。8位の「インターネット上のサービスへの不正ログイン」は前年の16位から大きく順位を上げており、あらゆる手段を講じて情報の窃取が行われていることがわかります。
テレワークを狙った新たなセキュリティ脅威
さらに、注目したいのは3位にランクインした「テレワーク等のニューノーマルな働き方を狙った攻撃」です。コロナ禍によるテレワークの推進は規模を問わず多くの企業で取り組まれていますが、情報セキュリティ対策が行き届いていない状況を狙って攻撃が行われています。テレワークのために、Web会議システムやチャットツールなどのデジタルツールを新たに導入した場合には、特に注意と対策が必要といえるでしょう。
参照:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2021」( 2 ) 中堅・中小企業の情報セキュリティに対する現状と課題
情報セキュリティ対策をしなければならないことは認識しているが、手が回らないという企業や経営者は少なくありません。また、ウイルス対策ソフトの導入などの対策を取っているから問題ないと考えているケースも多く見られますが、正しく運用ができているかも重要です。
中堅・中小企業に見られる情報セキュリティ対策の現状を見てみましょう。
- 利益に結びつかない情報セキュリティ対策に予算がかけられない
- 情報システムやセキュリティを担う専門知識を持った人材がいない
- セキュリティソフトなどを導入しただけで運用されていない
- 社内ルールの整備ができておらず、対策が後手になっている
これらは決して特別なことではなく、多くの企業で常態化しているものです。取引条件として対策をしなければならないといった強制力がある場合は別として、問題が起きてから対応する、いわゆる「対処療法」しかできないという課題を抱えたままでは、どうしても対策が不十分となってしまいます。
情報セキュリティ対策の甘さが招く被害
先に挙げた状況のまま、適切な情報セキュリティ対策が行われないと、大きな損失となってしまう危険性があります。
- 金銭的な被害
個人情報や機密情報が漏洩してしまうことにより、取引先や顧客への謝罪や場合によっては損害賠償などの費用が発生します。また、ランサムウェアによる金銭の要求や、不正送金などで被害を受ける場合もあります。
- 業務停止による損失
マルウェア感染などによるシステムの停止や復旧などの対応によって、業務の遂行が困難となります。営業機会の損失だけでなく、社会的な信用低下や取引停止、顧客の喪失など、さまざまな損失を被る可能性もあります。
- イメージ低下による人的被害
情報漏洩などのセキュリティ事故を起こした企業のイメージ低下は免れません。取引先からの評価を直接受けることで社員のモチベーションが低下し、場合によっては社員の離職にも繋がりかねません。
このような事態を防ぐためにも、情報セキュリティ対策は企業にとって必要不可欠です。利益に結びつかないからといって疎かにせず、投資や保険と捉えて取り組むことが重要です。
( 3 ) 中堅・中小企業が取り組むべきセキュリティ対策
そうはいっても、「何から手をつければいいのかわからない」場合も多いでしょう。やみくもにセキュリティツールやソフトを導入しても、効果的な対策になるとは限りません。何が必要なのか、優先すべきは何かを認識し、有効な対策を講じる必要があるのです。
まず取り組むべきは自社の状況把握
まずおすすめしたいのは、自社が行っている対策などを点検し、正確に自社の状況を把握することです。せっかくセキュリティ機器やソフトを導入していても、正しく運用されていなければ効果は得られません。まずは自社ができていること、できていないことを洗い出し、課題として認識することから始めましょう。
外部パートナーの活用
専門的な知識を持った人材がいないと、自社の状況を把握すること自体が難しいという企業も少なくないでしょう。その場合には、外部の専門家を利用するという方法があります。自社の状況を的確に診断し、情報セキュリティ対策のための提案を行ってくれるパートナーをつくることは、リソースが少ない中堅・中小企業にとっては非常に有効です。
最適なパートナーを選ぶために必要なポイントを紹介します。
- 自社の状況に応じた対策を提案してくれる
- コストを見据えた計画的な導入と運用を提案してくれる
- 導入後の管理・運用などのアフターケアが充実している
企業によって、取り扱う商材や情報は異なるため、それらに応じた対策が求められます。企業の状況を把握し、何を優先すべきかを判断・提案してくれるかどうかは重要です。限られたコストで導入、そして運用することを前提とした提案でなければ、負担が大きくなってしまいます。また、導入後の管理や運用のアドバイスなどアフターケアが充実していることもパートナー選びのポイントです。
( 4 ) 20の問いに答えるだけの「情報セキュリティ現状診断」
情報セキュリティ対策の前提として、自社の状況を把握することの重要性がご理解いただけたのではないでしょうか。企業を狙うサーバ攻撃は日々、多様化・巧妙化を続けています。情報漏洩やデータ消失など取り返しがつかない事態を避けるためにも、自社の状況を正しく把握し、リスク対策を立てることをおすすめします。
サクサでは、Web上で簡単に自社のセキュリティ対策を診断する「情報セキュリティ現状診断」を公開しています。20問の質問に「はい」または「いいえ」で答えることで、自社の情報セキュリティ対策の取り組み状況や、対策を立てるべき問題点を把握することができます。20問すべてに回答すると合計得点が算出され、得点に応じた情報セキュリティ対策の実施状況を可視化することが可能です。
( 5 ) まとめ
情報セキュリティ対策は大企業に限らず、すべての企業が取り組むべき施策といえます。自社の財産ともいうべき「情報」を守るために必要な対策を立てることは、今後ますます重要になってきます。そのために、まずは自社の状況を把握し、何が必要なのかを認識することから始めましょう。
サクサは、「情報セキュリティ診断」をはじめ、中堅・中小企業の情報セキュリティ対策をサポートするための製品・サービスをご提案しています。ぜひお気軽にご相談ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。