セキュリティ対策の実態調査から考える
中小企業に必要なサイバー攻撃対策とは

サイバー攻撃は他人事ではない？

「今回のサイバー攻撃により、最大10万件以上の個人情報が漏洩した可能性があります」。このようなニュースを見ても、どこか自分とは関係ないこと、自分の会社では起こらない出来事だと思っていませんか？「サイバー攻撃と言われてもピンとこない」「ウチは大丈夫だろう」と、なんとなく思っている方も多いのではないでしょうか。
しかし、今やサイバー攻撃が狙っているのは大企業だけではありません。むしろ情報セキュリティ対策が強固である大企業よりも、サプライチェーン（※1）の一環である取引先、つまり情報セキュリティ対策が大企業と比べて十分でない中小企業をターゲットにして、そこを足がかりに目的の企業を攻撃しようとするケースも増えているのです。

情報セキュリティ対策投資を行っていない企業は30％超

IPA（独立行政法人 情報処理推進機構）では、「2021年度 中小企業における情報セキュリティ対策に関する実態調査」の報告書をまとめました。これは2016年以来、2度目となる調査で、前回の調査に比べるとわずかに改善は見られるものの劇的な変化は認められず、直近の中小企業における情報セキュリティ対策に関する課題などが浮き彫りにされています。

まず、「直近過去3期のIT投資額」を見てみると、「投資を行っていない」と回答している中小企業は30%です。さらに「直近過去3期の情報セキュリティ対策投資額」について「投資を行っていない」と回答している中小企業は33.1%に上ります。

情報セキュリティ対策を行わなかった理由としては、「必要性を感じていない」「費用対効果が見えない」「コストがかかり過ぎる」「どう始めたらよいかわからない」などが多くを占めています。

また、情報セキュリティ対策の必要性を感じない理由としては、「重要情報を保有していないため 68.8%」、「被害にあうと思わないため 28.0%」の2つが約97%を占めています。
しかし、これらは心もとない理由と言わざるを得ません。もし自社内に重要情報がないとしても、取引先に重要な情報があるかもしれません。「被害にあうと思わない」というのも、何ら根拠のない自信です。

※1　サプライチェーン：部品の調達から製造、配送、販売に至るまで、商品・製品が消費者の手元に届くまでの一連の流れ。会社をまたいでモノの流れをとらえる概念。

「脅威は感じているけれど…」というジレンマ

一方で、情報セキュリティに関する脅威については、すべての事象において「非常に大きな脅威である」「どちらかといえば脅威である」を合わせた割合が5割を超えているという結果がIPAの報告書で明らかになっています。いくつかの具体的な脅威をそれぞれのパーセンテージとともに見ていきましょう。

この結果から、何らかの脅威は感じていながら情報セキュリティ対策があまり進んでいないところに、中小企業のジレンマのようなものを感じずにはいられません。「脅威の度合いがわからない」という声もありますが、わかったときには取り返しのつかないインシデント（※2）になっているということもあり得るでしょう。

※2　インシデント：事故・事件など好ましくない状況を指す言葉。情報セキュリティ分野では、コンピュータやネットワークを脅かす状況を言う。

これまで大丈夫だったから、これからも大丈夫？

IPAでは、中小企業における情報セキュリティ被害の状況についても調査しています。2020年度の1年間（2020年４月～2021年３月）における情報セキュリティ被害の有無について、報告書では以下のような結果になっています。

さらに被害として最も多いコンピュータウイルスの侵入経路として、「電子メール」「インターネット接続（ホームページ閲覧など）」「自らダウンロードしたファイル」の3つが多くを占めています。

「被害にあっていない」という回答が圧倒的に多いことから、多くの人が「自社（自分）は大丈夫だろう」と油断しているのではないかということが推測できます。しかしこれまで大丈夫だったからと言って、これからも大丈夫とは限りません。インターネットがこれほどに普及し、それらを悪用したサイバー攻撃が増加する中、いつまで他人事だと言っていられるでしょうか。

被害を認識できていないケースも多い

「被害にあっていない」のは、もしかしたら単にサイバー攻撃を認識できていないということかもしれません。実際、令和2年度「中小企業サイバーセキュリティ対策支援体制構築事業（サイバーセキュリティお助け隊事業）成果報告書（全体版）」では、中小企業1,100社以上に設置した機器が、18万件を超える外部からの不審なアクセスを検知したことが報告されています。

また今後ますますサイバー攻撃が多様化していくであろうことを考えると、どんな会社も標的になる可能性はあります。サプライチェーン攻撃では、中小企業は被害者になるだけでなく「踏み台」として利用され、加害者にもなり得るのです。そうしたリスクをしっかりと認識したうえで、適切な情報セキュリティ対策を実施する必要があります。

「まさか、ウチのような小さな会社が」

中小企業が狙われた事例を少し紹介しましょう。
ある建設会社では、過去に社内のパソコンがトロイの木馬（※3）やランサムウェア（※4）に感染し、サーバ上のファイルが暗号化され、身代金を要求されたりしました。その復旧作業にはかなりの時間と費用を要しました。
また、あるサービス業の会社では、不正アクセスが認められたことをきっかけに、より高度な情報セキュリティ対策を実施。「当社のように規模の小さな会社に対してサイバー攻撃があるとは正直驚いた。これを機にさらなる対策の必要性を感じ、ルールなどの見直しも行った」とコメントしています。

※3　トロイの木馬：正規のソフトウェアやファイルになりすまして攻撃を仕掛けるマルウェア。
※4　ランサムウェア：ランサムとは「身代金」の意。暗号化などでファイルを利用できない状態にし、それを元通りにすることと引き換えに身代金を要求する。

必要性を感じていても取り組みが十分でない

情報セキュリティ対策として、まず思いつくのは従業員の意識の向上です。IPAでは、従業員に対する情報セキュリティ教育の実施状況についても調査しています。

ここでもまた、必要性を感じながらも、そのための取り組みは十分ではない、というパターンが見て取れます。
一方で、情報セキュリティ対策をさらに向上させるために必要と思われることとして、以下の3つが上位を占めています。

• 従業員の情報セキュリティ意識向上　46.8%
• 経営者の情報セキュリティ意識向上　46.2%
• 従業員への情報セキュリティ対策実践教育　26.3%

経営者が意識を変えることから始めよう

従業員の意識を向上させるためには、まず経営者自身が意識を変えることが大切です。少し前に、情報セキュリティ対策の必要性を感じない理由として「重要情報を保有していないため」「被害にあうと思わないため」という回答を紹介しましたが、そうした思い込みを捨てるところから始めなければなりません。リスクをしっかり理解したうえで、従業員の意識啓発を行い、研修や教育を実施しましょう。

会社の信用度がアップする

普段からどのようなことに気をつけて業務を行い、被害防止に努めるべきかといったことはもちろん、インシデントが起きたときにはどうすればよいのか、誰に報告や相談をすればよいのか、万一の場合のルールも決めておくことが大切です。
また、自社の情報セキュリティ対策の実施内容について外部に公開することも、企業価値を高めるうえでは有効です。ホームページで公開する、あるいは取引先から要望があれば個別に提示する、そうした取り組みが会社の信用度を大きく向上させます。

保険への加入も有効な備え

サイバー保険に加入しておく、というのもリスクに対する一つの備えになります。サイバー保険とは、情報セキュリティに関するリスクを包括的に補償する損害保険のことです。ウイルス感染による情報漏洩の損害賠償、システムの復旧費用などが補償されます。
IPAの報告書では、サイバー保険については「内容を知らないし、加入もしていない」という回答が最も多い43.8%になっていますが、いざというときのために検討してみてもよいのではないでしょうか。

なぜ情報セキュリティ対策が必要なのか？

中小企業がなぜ情報セキュリティ対策に取り組まなければならないのか。それは会社である以上、規模にかかわらず取引先とつながっているため、つまりサプライチェーンの一環であるためです。
「それは重々承知しているけれど…」という方は少なくないでしょう。ではわかっているのになぜできないのか、なぜ続かないのか。それは社内リソース（資源）の問題が大きいと考えられます。専門的な知識を持った人材が社内におらず、といって都合よく採用できるとも限りません。予算を組んで実施したい気持ちはあっても、本来業務に注力するほうが優先されてしまう。そうやって情報セキュリティ対策は後回しになっているのが実状でしょう。

IPAの報告書でも、情報セキュリティ対策に投資を行わない理由として「費用対効果が見えない」「コストがかかり過ぎる」「どう始めたらよいかわからない」という回答が見られました。結局、端末ごとにパスワードを設定したり、セキュリティソフトを導入したりといった対策にとどまっている会社が多いのが実情です。

一台で外部・内部からのリスクを防ぐUTM

「コストを抑えて簡単にできる情報セキュリティ対策はないだろうか」と考えている経営者の方に注目していただきたいのがUTM（※5）です。UTMはネットワークの入口に設置することで外部からの脅威はもちろん、内部からの脅威も防ぐことができる製品です。
UTMなら、先ほど述べたウイルス、不正アクセス、DoS攻撃などをシャットアウトするとともに、スパムメール、フィッシングメールなども検知し、偽サイトなどによるIDやパスワードの盗難を防ぎます。また内部機器からの不正アクセス、ウイルス拡散、情報漏洩、さらに不適切サイト閲覧なども防止します。

専任の部署や担当者は不要！

いくつものソフトやツールを組み合わせて多層防御を行うためには、専任の部署または担当者を置く必要がありますが、人的リソースを割けない中小企業にとっては難しいところです。
その点、UTMなら個別にソフトやツールを導入しなくても、一台で高度な情報セキュリティ対策が可能になります。膨大な手間とコストが抑えられ、さらに専任の担当者を置かなくてもよいなど、UTMには多くのメリットがあるのです。
さらに言えば、UTMにはサイバー保険が標準で付いたものもあります。使いやすさ、耐久性、サポート体制などをしっかり比較検討したうえで、自社のニーズに最も適したUTMを選んでください。

※5　UTM：「Unified Threat Management」の略。日本語では「統合脅威管理」。さまざまな機能を一台に搭載し、集中管理を行う。

今回は、IPAによる最新の実態調査を基に、中小企業にとって今必要なサイバー攻撃への対策について解説してきました。サイバー攻撃はどんどん巧妙化・多様化しています。そのなかで中小企業の脆弱性が狙われています。高度な情報セキュリティ対策によって自社を守ることで、企業の信頼感をしっかり高めていくことが大切です。その際に有効なのが、専任の担当者がいなくても一台でさまざまな情報セキュリティリスクに備えることができるUTMです。これらのITソリューションの提案を通して、サクサでは中堅・中小企業をサポートさせていただきます。みなさまからのご相談・お問い合わせをお待ちしております。