中小企業こそ意識すべき情報セキュリティの課題
はじめに
最近、中小企業の情報セキュリティについて注目が高まり、関係団体が対策を呼びかけ、メディアの報道も増えています。背景にはリモートワークの普及に伴うITデバイスの持ち出しやSaaS(Software as a Service)等クラウドサービスの利用の普及といった働き方の変化や、中小企業を狙ったサイバー攻撃・犯罪の増加や手法の変化が影響しています。
たとえば、独立行政法人情報処理推進機構(IPA)は今年4月19日、「中小企業の情報セキュリティ対策ガイドライン第3.1版」を公開しました。2019年3月に作成された第3版のアップデート版です。IPAは改訂の背景として、コロナ禍を受けたテレワークの普及や、DX推進に伴う情報セキュリティ対策の必要性の高まりがあると説明しています。
また、日本経済新聞電子版は5月19日、警察庁の統計で近年のランサムウエアの被害件数に中小企業が占める割合は、53%前後で推移していることを紹介しました(「中小企業狙うサイバー攻撃 供給網の弱点、対策に甘さ」)
このほか、以前取りあげた経済産業省の「サイバー対策格付けの」動きも中小企業が対象に含まれています。
こうした中小企業の情報セキュリティリスクは、当事者の中小企業だけでなく、規模の大きな企業にも関係があります。対策の基本はどの企業にも該当する内容が含まれ、また、取引先として関係のある大企業も認識をしておくべき課題です。
ただ、中小企業の情報セキュリティ対策には、いくつか重要な課題があり、さまざまな制約要因のなかで最適な方法を見いだす必要があります。
「ジョーシス式ITガバナンス」の第5回は、中小企業の情報セキュリティ対策について取り上げます。
1. 中小企業が抱える情報セキュリティ対策のジレンマ
中小企業の情報セキュリティ対策には、主に3つの課題があります。
第一に、情報セキュリティ対策に対する意識です。
IPAが実施した「2021年度中小企業における情報セキュリティ対策に関する実態調査」(以下、「IPA実態調査」という) によれば、33.1%が情報セキュリティ対策投資をしていないと回答しました。その理由ついて最も多かったのは「必要性を感じていない」で40.5%でした。これは、対策投資をしなかった最も多い理由となりました。
第二に、対策のためのコストを支払う余裕がないという実情です。
「IPA実態調査」において中小企業が情報セキュリティ対策投資をしなかった理由として、上記の「必要性がない」に次いで多かったの回答は、「費用対効果が見えない」が24.9%、「コストが掛かりすぎる」が22.0%と続きました。中小企業が試しで対策にお金をかけることができず、また、そもそも、費用が掛かりすぎている感じていることが分かります。
第三に、人材不足です。
「NRI Secure Insight 2023~企業における情報セキュリティ実態調査~」によると、日本企業はセキュリティ人材の充足度について63.0%の企業が「不足している」、28.7%の企業が「どちらかかと言えば不足している」と回答しています。企業規模を問わず、日本企業に共通している課題です。人材市場を考慮すると、中小企業が雇いたい場合があっても、大企業との人材獲得競争にも晒されます。
2. サイバー攻撃に狙われる中小企業
2.1 ランサムウエア被害の半数以上が中小企業
こうした課題があるなか、中小企業は情報セキュリティやサイバー攻撃にに対するリスク意識を高めておく必要があります。
実は、中小企業はサイバー攻撃の対象として狙われやすいという実態があります。警察庁が発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2023年はランサムウエアの被害が197件発生し、うち中小企業は102件と半分以上です。
2.2 セキュリティインシデントの実例
実際に発生した中小企業のインシデント事例をみてみましょう。
事例1 公立病院(職員数約400名)
2022年病院のシステムがランサムウエアに感染し、暗号化される。電子カルテや会計システムにできなくなる。約3か月の間、新規患者の受け入れを中止。情報漏洩は確認できなかったがアクセスログ、パスワード設定状況などから情報漏洩の可能性が高いと報告。
事例2 発電所向けバルブを製造する企業(従業員数約300名/連結)
2021年、13台あるサーバーのうち3台がランサムウエアに感染、メールやファイルサーバーへのアクセスが遮断。リモートデスクトップが侵入経路との見方も。臨時損失として1000万円が計上された。
事例3 自動車部品製造業(従業員約40人)
シャドーIT(存在が把握されていないハードおよびソフトのIT資産)となっていたPC1台から400件を超えるウイルスが検出された。
では、現実的にどのような施策をとれるのでしょうか。
3. 低コストでも導入できる対策
3.1 無料で導入できる意識改革とセルフチェック
まず、中小企業の情報セキュリティ対策が必要であるという意識を持つことが大切です。実例で挙げたように、中小企業のセキュリティインシデントが発生しており、ビジネス上も被害が発生しています。
対策にかけるコストの問題は現実的な課題ですが、コストを抑えた対策をとることもできます。
例えば、IPAは「中小企業向けセキュリティ対策」というコーナーで実用的なセキュリティ対策ガイドラインやチェックリストなど充実したコンテンツを提供しています。また、東京都はホームページで中小企業向けのサイバーセキュリティのポータルを用意しており、無料の相談窓口や対策のための助成金制度を設けています。
3.2 セキュリティ対策による費用対効果はあり
このような取り組みを通じて、意識改革を行い、自社の現状を理解していくと、リーズナブルなコストで効果的な対策を打つことが視野に入ります。
情報セキュリティインシデントの被害の大きさや、個人情報の漏洩や取引先への被害拡大、信頼の喪失、報告書の作成、顧客対応などを考えると、費用対効果を検討する価値があります。
中小企業の場合には、特定の大口取引先が売上の大きな割合を占めていることも珍しくありません。仮に、セキュリティインシデントが原因で大口の取引先を失えば、経営の根幹を揺るがしかねません。
ただし、専門的な知識が必要な高度なツールをいきなり導入したり、アップデート作業が必要なソフトウエアで対策したりすることは継続性がありません。ツールが使いにくければ放置されてしまいますし、ソフトウエアのバージョンが古いままでは、新たなリスクに対応できなくなります。
情報システム担当者や部門のマンパワーが限られている中小企業とっては、適切なコストで使いやすいツールを選定する必要があるでしょう。例えば、中小企業でも急速に導入が進んでいるSaaS等クラウドサービスの管理とITデバイスの管理が挙げられます。退職者のIDやデバイスの管理漏れは、ランサムウェア等の配布に利用されたり、企業の重要情報の漏洩ルートとなる恐れがあります。
管理ツールの導入を検討するときに考慮すべき点として、例えば、以下が挙げられるでしょう。
SaaS(Software-as-a-Service)で常に最新バージョンが提供される
長期的に継続利用が可能な価格帯
グローバルな情報セキュリティの動向を理解して開発されている
直感的に利用できるユーザーインターエースを備えている
導入・運用・定着まで手厚いサポート体制(カスタマーサクセス)
SOC2以上の認証取得などセキュリティ水準が高い
デバイス管理も依頼できる選択肢が用意されている(上記の事例のようにハードIT資産管理漏れがサイバー攻撃のルートになる恐れ)
情報システム担当者や、総務部等で兼務で業務を担当している従業員の負担を解放することにもつながります。ノンコア業務から解放して、より攻めのIT施策を打つための時間を確保することができます。また、働き方改革としての効果や、コア業務に専念できるようになり会社に対する満足度が上がるという人事政策上の効果も期待できます。
おわりに
今後は、大企業を含む取引先企業から情報セキュリティ対策を求めらえる可能性もあります。先に触れた「IPA実態調査」によれば、取引先から「情報セキュリティに関する条項・取引上の要請」が求められると26.1%が回答しています。
第2回「強化される情報セキュリティ政策、求められる企業の対策」で取り上げたサイバー対策格付け制度の導入の動きも踏まえる必要があります。今後、中小企業はビジネス機会の獲得のために、情報セキュリティ対策をとることは必須、あるいは他社との差別化の要因となり得ます。
このように、中小企業こそ、しっかりと守りの対策をしておきつつ、担当社の負担を軽減して「攻め」のためにリソースを振り向け、新たなビジネス機会を獲得するという考え方が大切になっていくでしょう。
(※注:中小企業庁は従業員300名以下の企業を中小企業庁と定義していますが、本記事ではそれよりもやや規模の大きい企業も想定しています)
ジョーシスは、SaaS管理プラットフォーム(SMP:Saas Management Platform)であり、SaaS等クラウドサービスの一元管理やシャドーITの検知のほか、ITデバイスのアウトソース・管理といった統合管理プロダクトを提供しています。また、SaaS審査やコスト最適化のご相談にも対応しています。少しでも気になることがあれば、気軽にお問い合わせください。
記事で取り上げて欲しいテーマやご意見・ご感想等も歓迎です。
お問い合わせ note@josys.com
ジョーシスについて https://jp.josys.com/
執筆者:川端隆史 ジョーシス株式会社シニアエコノミスト
この記事が気に入ったらサポートをしてみませんか?