2020年 7月

企業のITセキュリティ講座

中小企業の経営者の約半数がサイバー攻撃をイメージできない

ライター・吉澤亨史

日本損害保険協会が発表した「中小企業の経営者のサイバーリスク意識調査2019」によると、中小企業の経営者の約半数がサイバー攻撃をイメージできないという。自社がサイバー攻撃の対象となり得ることを認識している中小企業は1割未満という結果になった。ここでは、同協会の調査を読み解きつつ、着手すべき対策方法を提案する。

日本損害保険協会による調査結果の概要

一般社団法人 日本損害保険協会は2020年1月、「中小企業の経営者のサイバーリスク意識調査2019」を発表した。この調査は、2019年11月に中小企業の経営者・役員を対象に、インターネット調査を実施したもの。回答者数は825名。調査結果から、サイバーセキュリティ対策が進んでいない中小企業の実態が明らかになっている。

まず、現在実施しているサイバー攻撃対策に関する質問では、「何も対策をしていない」との回答が24.0%に上った。4社に1社は対策をしていないことになる。最も行われている対策は「OSやソフトウェアの脆弱(ぜいじゃく)性管理、ウイルス対策ソフトの導入」であったが、それでも導入割合は52.4%と約半数にとどまっている。これに「データ保護」「アクセス権限・ログの管理および制御」と続いているが、いずれも20%に届かないレベルであった。

経営課題として優先度の高いものについての質問では、「収益性の向上」(48.0%)、「人材の育成」(40.4%)、「新規顧客の開拓」(36.7%)が上位を占め、「サイバーリスクへの対応」は1.6%で最下位という結果になった。自社の経営の安定化や拡大が最優先課題となっており、セキュリティ対策が後回しにされている現状が分かる。

さらに調査は、中小企業のサイバー攻撃に対する当事者意識や危機意識の低さも明らかにしている。「自社がサイバー攻撃の対象となる可能性」についての質問では、「高い」「やや高い」と回答した企業は6.2%にとどまり、「低い」(34.7%)と「やや低い」(17.6%)の合計は52.3%と全体の半数を超えた。また「サイバー攻撃による被害をどの程度イメージできるか」という質問では、約半数がイメージできていない(「どちらともいえない」を含み合計50.5%)ことが明らかになっている。

「サイバー攻撃による被害をどの程度イメージできるか」という質問の回答

参考元:日本損害保険協会「中小企業の経営者のサイバーリスク意識調査2019」

目次へ戻る

対策をしないことで考えられる被害

「うちのような小さい会社は狙われない」「サイバー攻撃を受けても盗まれるものは何もない」「これまで攻撃を受けたことがないから、これからも大丈夫」。中小企業からは、こういった声をよく耳にする。しかし、これらは全く根拠のない意見といえる。現在のサイバー攻撃者は組織化されており、サイバー犯罪にもROI(投資対効果)を厳しく求めている。その点は一般的な企業と変わらず、採算の合わないサイバー攻撃は行わない傾向にある。

そのためサイバー攻撃者にとって、標的は大企業から中小企業に移りつつある。これは大企業のセキュリティ対策が充実してきたことで、攻略に資金、手間、時間がかかるようになったためだ。中小企業のセキュリティ対策は大企業に比べればレベルがずっと低い一方で、大企業の関連企業であったり下請けであったりすることがある。いわゆるサプライチェーンに含まれる中小企業は多く、そこを踏み台に大企業へサイバー攻撃を行うこともできる。

例えば、中小企業のメールシステムに侵入すれば、そこから親会社や受注先の企業にウイルスメールを送って感染させたり、詐欺メールを送って不正送金させたりすることもできる。堅牢なセキュリティ対策を行っている大企業でも、下請け企業からのメールであれば警戒が緩み、不正侵入に成功する可能性が高いためだ。また、ランサムウェアを共有フォルダー経由で親会社などに感染拡大させ、業務用のファイルを暗号化して業務を妨げる攻撃も考えられる。

また、どんなに小さい会社でも、事業主や従業員の個人情報を持っている。これらがサイバー攻撃によって盗まれ、流出する可能性もある。どんな企業でも、サイバー攻撃者が欲しがる情報を持っていると認識すべきであろう。サイバー攻撃者はその対象を拡大しており、これからは小さな企業であっても標的になる可能性がある。前述の調査でも全体の約2割の企業がサイバー攻撃の被害を受けており、中小企業の7.4%で「1,000万円~1億円未満」の被害が発生している。

サイバー攻撃による被害額

参考元:日本損害保険協会「中小企業の経営者のサイバーリスク意識調査2019」

目次へ戻る

中堅・中小企業が着手すべきセキュリティ対策

これからは、中小企業もサイバー攻撃の脅威にさらされることになる。まずはそれを経営者や上層部が正しく認識することが重要だ。そして、それを全社に周知させ、セキュリティ意識やITおよびインターネットにおけるリテラシーを向上させていく。そのうえで、自社にどのような情報資産があり、それらが適切に保護されているかを確認する。保護されていなければ、適切な対策を検討する。

何から手を付ければいいか分からないという場合には、独立行政法人 情報処理推進機構(IPA)が実施する「SECURITY ACTION」を参照するといいだろう。これは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度で、「中小企業の情報セキュリティ対策ガイドライン」付録の「情報セキュリティ5か条」に取り組む「一つ星」と、「5分でできる!情報セキュリティ自社診断」で自社の状況を把握し情報セキュリティ基本方針を定め、外部に公開する「二つ星」が設定されている。

また、新型コロナウイルス(COVID-19)感染予防対策のために、自宅で業務を行うテレワーク(リモートワーク)を導入・継続している企業も多いと思われる。自宅で業務を行う際のセキュリティ対策についても、IPAなどで具体的な方法が公開されているので参考にするといいだろう。サイバー攻撃者は新型コロナウイルスの影響を受けるどころか、WHO(世界保健機関)や医療機関をかたるフィッシングサイトを次々に公開したり、「添付のExcelに記入し病院へ」などとして悪意のあるExcelファイルを開封させようとするウイルスメールを送信したりしている。

世界的にサプライチェーンが注目されている中で、日本でも中小企業の役割は重要になってくると考えられる。特に日本は、企業の99%を中小企業が占めており、日本の経済を支えている。既に改正個人情報保護法やPCI DSS(クレジットカード業界のセキュリティ基準)などでは関連会社や委託先企業のサイバーセキュリティ対策の監査が求められており、今後この動きは拡大していく。中小企業もサイバー攻撃を優先すべき企業リスクと考え、対策を行う必要があるだろう。

IPAが実施する「SECURITY ACTION」

目次へ戻る

関連記事