サイバー攻撃対策とは？
情報セキュリティの実態調査から考える中小企業の被害事例まとめ

サイバー攻撃は他人事ではない？

「サイバー攻撃により数万件の個人情報が漏洩した可能性があります」このようなニュースを見ても、自分の会社では起こらない出来事だと思っていませんか？「サイバー攻撃と言われてもピンとこない」「ウチは大丈夫だろう」と、なんとなく思っている方も多いのではないでしょうか。
しかし、今やサイバー攻撃が狙っているのは大企業だけではありません。むしろセキュリティ対策が強固な大企業よりも、対策が不十分な中小企業を積極的に標的にしています。攻撃者は、組織の脆弱性を突いて情報を窃取し、不正に悪用するサイバー犯罪を日常的に行っています。サプライチェーン（※1）の一環である取引先、つまり情報セキュリティ対策が大企業と比べて十分でない中小企業をターゲットにして、そこを足がかりに目的の企業を攻撃しようとするケースも増えているのです。これは「サプライチェーン攻撃」と呼ばれている手法です。2024年の調査では、警察庁が検知した脆弱性探索行為などの不正アクセス件数は、1日・1IPアドレスあたり9,520.2件と過去最高を記録しました。これは前年比4.1%増加となっています。

情報セキュリティ対策投資を行っていない中小企業は60％超

IPA（独立行政法人情報処理推進機構）では、「2024年度中小企業における情報セキュリティ対策に関する実態調査」の報告書をまとめました。調査結果によると、情報セキュリティ対策投資を行っていない中小企業は62.6%に上り、これは2021年度の33.1%から大幅に悪化しています。特に注目すべきは、過去3期にわたってIT投資そのものを行っていない企業が相当数存在することです。

情報セキュリティ対策を行わなかった理由としては、「必要性を感じていない 44.3%」「費用対効果が見えない 24.2%」「コストがかかり過ぎる 21.7%」「どう始めたらよいかわからない 6.9%」などが上位を占めています。

また、情報セキュリティ対策の必要性を感じない理由としては、「重要情報を保有していないため 36.5％」、「他社とのネットワーク接続がない 31.6％」「被害に遭うと思わないため 24％」の3つが約92%を占めています。

しかし、これらは心もとない理由と言わざるを得ません。もし自社内に重要情報がないとしても、取引先に重要な情報があるかもしれません。攻撃者は、そうした油断を突いてネットワーク経由で情報を窃取し、サイバー犯罪に悪用します。「被害に遭うと思わない」というのも、何ら根拠のない自信です。実際、近年ではエモテット（Emotet）などのマルウェアが添付された巧妙なメールや、セッションハイジャック（※2）といった手口により、企業ネットワークへの侵入が試みられています。こういった現状から中小企業はサイバー攻撃の格好の標的となっています。

「脅威は感じているけれど…」というジレンマ

一方で、情報セキュリティに関する脅威については、すべての事象において「非常に大きな脅威である」「どちらかといえば脅威である」を合わせた割合が5割を超えているという結果がIPA（独立行政法人情報処理推進機構）の2021年の報告書で明らかになっています。いくつかの具体的な脅威をそれぞれのパーセンテージとともに見ていきましょう。

この結果から、何らかの脅威は感じていながら情報セキュリティ対策があまり進んでいないところに、中小企業のジレンマのようなものを感じずにはいられません。「脅威の度合いがわからない」という声もありますが、わかったときには取り返しのつかないインシデント（※3）になっているということもあり得るでしょう。

実際に中小企業を狙った攻撃は多岐にわたっており、脆弱なシステム設定や対策の隙を突いたパスワードリスト攻撃やブルートフォース攻撃、不正ログインなどが日常的に発生しています。 また、サイトに悪意のあるスクリプトを仕込むクロスサイトスクリプティング（xss）や、情報を偽装してユーザーをだますフィッシング型の手法も後を絶ちません。

さらに、まだ公表されていない脆弱性を突くゼロデイ攻撃や、処理能力を超えたデータを書き込むことで不具合を引き起こすバッファオーバーフローなど、高度で深刻な手口も存在しています。

IPA（独立行政法人情報処理推進機構）の最新調査では、過去3期内でサイバーインシデントが発生した企業の被害額平均は73万円、復旧期間平均は5.8日という深刻な実態が明らかになりました。

特に注目すべきは以下の統計です。

• 9.4%の企業が100万円以上の被害（最大1億円）
• 2.1%の企業が50日以上の復旧期間（最大360日）
• 1.7%の企業が10回以上の被害（最大40回）

サイバーインシデントの被害状況のアンケートでは「被害に遭っていない 76.7%」「コンピュータウイルス感染 14.8%」「不正アクセス 10.0%」「ランサムウェア攻撃 8.3％」と、「被害に遭っていない」という回答が圧倒的に多いことから、多くの人が「自社（自分）は大丈夫だろう」と油断しているのではないかということが推測できます。しかしこれまで大丈夫だったからと言って、これからも大丈夫とは限りません。インターネットがこれほどに普及し、それらを悪用したサイバー攻撃が増加する中、いつまで他人事だと言っていられるでしょうか。

実際には、メールに不審なファイルを送り付ける手口や、感染経路をたどって社内ネットワーク全体にマルウェアを拡散させる事例も報告されています。また、攻撃者が中間者攻撃（※4）やインジェクション攻撃（※5）などによりシステムに侵入し、管理者権限を乗っ取るケースや、Webサイトそのものをハイジャックして閲覧者に被害を及ぼすケースもあります。こうした攻撃は、サービスの停止や業務の妨害といった深刻な影響を引き起こす可能性があります。

被害を認識できていないケースも多い

「被害に遭っていない」のは、もしかしたら単にサイバー攻撃を認識できていないということかもしれません。実際、令和2年度「中小企業サイバーセキュリティ対策支援体制構築事業（サイバーセキュリティお助け隊事業）成果報告書（全体版）」では、中小企業1,100社以上に設置した機器が、18万件を超える外部からの不審なアクセスを検知したことが報告されています。

また、今後ますますサイバー攻撃が多様化していくであろうことを考えると、どんな会社も標的になる可能性はあります。サプライチェーン攻撃では、中小企業は被害者になるだけでなく「踏み台」として利用され、加害者にもなり得るのです。そうしたリスクをしっかりと認識したうえで、適切な情報セキュリティ対策を実施する必要があります。

「まさか、ウチのような小さな会社が」

2024年度の調査では、不正アクセスを受けた企業の約5割が脆弱性を突かれ、約2割が他社経由での侵入という結果が出ています。

なぜサイバー攻撃対策が必要なのか？

会社である以上、規模にかかわらず取引先とつながっているため、セキュリティ対策は必須です。IPA（独立行政法人情報処理推進機構）の調査ではインシデントにより取引先に影響があった企業は約7割という結果が出ています。

必要性を感じていても取り組みが十分でない

情報セキュリティ対策として重要な従業員教育についても、必要性は感じているものの、実際の取り組みは不十分という現状があります。IPA（独立行政法人情報処理推進機構）では、従業員に対する情報セキュリティ教育の実施状況についても調査しています。以下の3つが上位を占めています。

• 特に実施していない：63.6％
• 関連情報の周知（社内メール・回覧・掲示板など）：21.2％
• Eラーニング：11.0％

ここでもまた、必要性を感じながらも、そのための取り組みは十分ではない、というパターンが見て取れます。

一方で、情報セキュリティ対策をさらに向上させるために必要と思われることとして、以下の3つが上位を占めています。

• 特にない：38.9％
• 経営者の情報セキュリティ意識向上：32.6％
• 従業員への情報セキュリティ意識向上：26.8％

「特にない」の回答が前回調査（14.6％）より上昇しており、セキュリティ対策への意識改革や具体的な対策強化が進んでいない現状が浮き彫りになっています。

経営者が意識を変えることから始めよう

従業員の意識を向上させるためには、まず経営者自身が意識を変えることが大切です。少し前に、情報セキュリティ対策の必要性を感じない理由として「重要情報を保有していないため」「被害に遭うと思わないため」という回答を紹介しましたが、そうした思い込みを捨てるところから始めなければなりません。リスクをしっかり理解したうえで、従業員の意識啓発を行い、研修や教育を実施しましょう。

会社の信用度がアップする

セキュリティ体制を整備している企業の約5割が、新規の取引獲得につながったというIPA（独立行政法人情報処理推進機構）の調査結果が明らかになっています。これは、情報セキュリティ対策が新たなビジネス機会の創出につながることを示しています。普段からどのようなことに気をつけて業務を行い、被害防止に努めるべきかといったことはもちろん、インシデントが起きたときにはどうすればよいのか、誰に報告や相談をすればよいのか、万一の場合のルールも決めておくことが大切です。

また、自社の情報セキュリティ対策の実施内容について外部に公開することも、企業価値を高めるうえでは有効です。ホームページで公開する、あるいは取引先から要望があれば個別に提示する、そうした取り組みが会社の信用度を大きく向上させます。

保険への加入も有効な備え

サイバー保険に加入しておく、というのもリスクに対する一つの備えになります。サイバー保険とは、情報セキュリティに関するリスクを包括的に補償する損害保険のことです。ウイルス感染による情報漏洩の損害賠償、システムの復旧費用などが補償されます。

IPA（独立行政法人情報処理推進機構）の報告書では、サイバー保険などをワンパッケージで提供している「サイバーセキュリティお助け隊サービス」の認知度はわずか7.0％にとどまり、実際に導入している企業は非常に限られているのが現状です。導入を見送った理由として「リソース不足」や「費用対効果が不明確」といった点が挙げられています。しかし、2024年の被害実態を考えると、サイバー保険の導入は検討すべき重要なセキュリティ対策の一つです。

一台で外部・内部からのリスクを防ぐUTM

「コストを抑えて簡単にできる情報セキュリティ対策はないだろうか」と考えている経営者の方に注目していただきたいのがUTM（※5）です。UTMはネットワークの入口に設置することで外部からの脅威はもちろん、内部からの脅威も防ぐことができる製品です。

UTMなら、先ほど述べたウイルス、不正アクセス、DoS攻撃などをシャットアウトするとともに、スパムメール、フィッシングメールなども検知し、偽サイトなどによるIDやパスワードの盗難を防ぎます。また内部機器からの不正アクセス、ウイルス拡散、情報漏洩、さらに不適切サイト閲覧なども防止します。

専任の部署や担当者は不要！

いくつものソフトやツールを組み合わせて多層防御を行うためには、専任の部署または担当者を置く必要がありますが、人的リソースを割けない中小企業にとっては難しいところです。

その点、UTMなら個別にソフトやツールを導入しなくても、一台で高度な情報セキュリティ対策が可能になります。膨大な手間とコストが抑えられ、さらに専任の担当者を置かなくてもよいなど、UTMには多くのメリットがあるのです。

さらに言えば、UTMにはサイバー保険が標準で付いたものもあります。使いやすさ、耐久性、サポート体制などをしっかり比較検討したうえで、自社のニーズに最も適したUTMを選んでください。

今回は、IPA（独立行政法人情報処理推進機構）の「2024年度中小企業における情報セキュリティ対策に関する実態調査」をもとに、中小企業にとって今必要なサイバー攻撃への対策について解説してきました。サイバー攻撃はどんどん巧妙化・多様化しています。その中で中小企業の脆弱性が狙われています。約6割の企業でセキュリティ体制が未整備という現状の中、「これまで大丈夫だった」という経験則は、もはや通用しません。高度な情報セキュリティ対策によって自社を守ることで、企業の信頼感をしっかり高めていくことが大切です。適切な対策により取引機会の拡大も期待できます。その際に有効なのが、専任の担当者がいなくても一台でさまざまな情報セキュリティリスクに備えることができるUTMです。これらのITソリューションの提案を通して、サクサでは中堅・中小企業をサポートさせていただきます。みなさまからのご相談・お問い合わせをお待ちしております。