中小企業が狙われている?サイバー攻撃の現状
警察庁の発表によると、2021年は年間を通じてランサムウェア被害が増えています。ランサムウェアとは、感染した端末のデータをアクセスできないようにした状態で、データ復帰の対価として金銭を要求する不正プログラムのことです。被害にあった企業・団体を規模別にみると、大企業は34%、中小企業は54%です。かかった調査・復旧費用は数百万円~数千万円と幅広いですが、その被害は甚大であることがよくわかるでしょう。
また近年では、大企業のセキュリティ対策が強化されたことで、中小企業のサプライチェーンを通じて大企業のネットワークに侵入する「サプライチェーン攻撃」が急増しています。サプライチェーン攻撃には、マルウェアが添付されたメールを送り付けたりフィッシングサイトへ誘導したりして、PCを乗っ取る方法があります。多くの中小企業では、コストや人的要因でセキュリティ対策が不十分なため、標的にされやすいのです。
参考:令和3年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
中小企業におけるセキュリティ対策の課題
中小企業のセキュリティ対策が不十分な要因には、どのようなものがあるでしょうか。
セキュリティ意識が低い
独立行政法人情報処理推進機構(IPA)の調査では、情報セキュリティ対策投資を「過去3期にわたり行っていない」と答えた企業が約3割でした。その理由として多かったのは「必要性を感じていない」「費用対効果が見えない」などがあげられました。
しかし、2022年4月には改正個人情報保護法が施行され、個人情報が漏えいした場合には速やかに調査・報告することが義務付けられました。情報漏えいを防ぐセキュリティ対策はもはや必須といえるでしょう。
費用・人材などが確保できない
中小企業のセキュリティ対策が十分でないのは、コストや人的リソースの問題も考えられます。。意識的に、利益に直結しないセキュリティを後回しにする企業もいます。このような状態だと、たとえセキュリティ製品を導入したとしても適切に運用できないため、安全な環境を構築するのは難しいでしょう。
セキュリティ対策をしないことで起こりうる被害
セキュリティ対策を疎かにすると、個人情報や機密データが漏えいし、取引先から損害賠償を請求される可能性があります。また、システム障害によって業務が停止すると、売上はもちろん顧客からの信頼も失うでしょう。従業員からの不満も大きくなるため、最悪の場合は事業停止に追い込まれる場合もあります。
セキュリティ対策の実施方法
中小企業がセキュリティ対策として実施すべきことは何でしょうか。独立行政法人情報処理推進機構(IPA)が推奨する、中小企業の情報セキュリティ対策ガイドラインに沿って解説します。
参考:中小企業の情報セキュリティ対策ガイドライン|独立行政法人情報処理推進機構(IPA)
情報セキュリティ5か条の実施
情報セキュリティ5か条は、事業規模にかかわらず、すべての企業で実施すべきセキュリティ対策です。具体的には、以下の5項目が該当します。
- ■OSやソフトウェアのバージョンを最新にする
- ■セキュリティソフトを導入する
- ■パスワードを複雑にする
- ■アクセスや共有設定をする
- ■情報収集し、サイバー攻撃手法を把握する
例えばWindowsPCには、あらかじめウイルス対策ソフトが搭載されています。それに加えて、標的型攻撃に強いセキュリティソフトを導入し、端末の多重防御を実現するのもおすすめです。
情報セキュリティポリシーの作成
情報セキュリティポリシーは、自社資産の防衛や、セキュリティ意識・社会的信用の向上などを目的としたガイドラインです。組織の基本方針にもなるため、必ず作成しなければなりません。内容は、情報の種類や事業規模・組織体制などによって異なります。作成して終わりではなく、従業員などの各種関係者にも周知する必要があります。
緊急時の対応をどうするか決めておく
システムトラブルや情報漏えいなど、顧客や事業に影響のある事故があったときに備えて対応方法を決めておくこともおすすめです。想定される被害や、誰が何をするか、関係者の連絡先などをマニュアル化し、周知・訓練しておくのもよいでしょう。
サイバーセキュリティ対策に関する補助金
中小企業では、予算の都合で十分なセキュリティ対策がとれていないという声があります。そこで、補助金を活用するのもひとつの手です。
例えば東京都の企業は、一定の条件を満たせば「サイバーセキュリティ対策促進助成金」を受けられます。サイバーセキュリティ対策に必要な機器・サービスの導入について、助成対象経費の2分の1以内、最大1500万円が助成されます。条件にあう補助金制度があれば、ぜひ検討してみましょう。
参考:令和4年度 サイバーセキュリティ対策促進助成金 申請案内 _ 設備助成|東京都中小企業振興公社
自社に最適なセキュリティ対策を知り実践しよう
セキュリティ対策はその効果が見えにくいため後回しにされがちです。しかしサイバー攻撃の発生件数は年々増加しており、近年では中小企業もその標的とされています。費用・機能・求める効果などを比較しながら自社に必要なセキュリティ対策を吟味し、できるだけ早く実施していきましょう。
以下の記事では、サイバー攻撃対策ツールを比較・紹介しています。ぜひ参考にしてください。