できるところから始める中小企業の情報セキュリティ対策

オフィスで相談する中小企業の従業員

サイバー攻撃による被害が後を絶たないなか、中小企業においても情報セキュリティ対策は重要です。しかし、多くの中小企業では「専任の担当者がいない」、「セキュリティ対策にコストをかけられない」といったケースも多く、対策があまり進んでいない企業もみられます。本記事では、中小企業における情報セキュリティ対策の実情とともに、中小企業をターゲットにした脅威にはどのようなものがあるのか、そしてどうセキュリティ対策を行なっていけばよいのかを紹介していきます。

中小企業における情報セキュリティ対策の実情

日本企業の99.7%は中小企業と言われています。少ない従業員で事業を進めている中小企業では、情報セキュリティ担当者はもちろん、ITの担当者さえいないというケースも少なくありません。また、利益に直結しない情報セキュリティ対策にあまりコストをかけられない、という企業も多いのではないでしょうか。

IPA(独立行政法人情報処理推進機構)は2022年3月、中小企業における情報セキュリティ対策の実情を把握する目的で実施した『2021年度中小企業における情報セキュリティ対策に関する実態調査』の報告書(*1)を公開しました。全国の中小企業(4,074社)を対象にWebアンケートを実施し、情報セキュリティ対策への取り組みや被害状況、対策実施の課題などを調査したものです。

この調査結果によれば、直近過去3期の情報セキュリティ対策への投資額は、「100万円未満」の割合が最も高く49.2%となっており、次いで多いのは「投資していない(33.1%)」となっています。

直近過去3期の情報セキュリティ対策投資額
直近過去3期の情報セキュリティ対策投資額(出典:IPA)

約1/3が投資していないという結果からも、中小企業においては情報セキュリティ対策が進んでいるとはいえない状況です。また、情報セキュリティ対策への投資を行わなかった理由については「必要性を感じていない」の割合が最も高く、続いて「費用対効果が見えない」「コストがかかり過ぎる」となっています。

情報セキュリティ対策投資を行わなかった理由
情報セキュリティ対策投資を行わなかった理由(出典:IPA)

さらに深掘りし、「情報セキュリティ対策の必要性を感じない」理由としては、「重要情報を保有していないため」の割合が最も高く、次に「情報セキュリティ被害にあうと思わないため」が挙げられています。

しかし、こうした考え方には注意が必要です。自社が「重要情報を保有していない」としても、他社への攻撃の踏み台にされる可能性もあります。最近では、自動車メーカーのサプライチェーンが攻撃を受け、自動車の生産に支障が出た事例などもあります。

「被害にあうと思わない」というのも、絶対にあわないという保証はありません。2020年度(2020年4月~2021年3月)における情報セキュリティ被害としては、「コンピュータウイルスに感染」、「サイバー攻撃」などが挙げられ、被害を認識した企業の割合は全体で5.7%でした。この数字を多いと見るか少ないと見るかはともかく、調査報告書でも「軽微な被害であれば、中小企業が認識できていないケースも相当数存在している可能性はあると考えられる」としており、注意は必要と言えるでしょう。

2020年度における情報セキュリティ被害の有無
2020年度における情報セキュリティ被害の有無(出典:IPA)

中小企業を襲う情報セキュリティの脅威

それでは、中小企業が実際に被害を受けている情報セキュリティに関する脅威にはどのようなものがあるでしょうか。

サイバー攻撃の手口
サイバー攻撃の手口(出典:IPA)

不正アクセス

報告書では「なりすましによるもの」と「脆弱性を突かれたことによるもの」に分けられていますが、特に「ユーザーになりすまされたことによる不正アクセス」が高い結果となっています。なりすましは、IDやパスワードをだまし取られなかったとしても、安易なパスワードを設定していると突破されてしまうケースもあります。

SQLインジェクション

アプリケーションの脆弱性を突いて、データベースを不正に利用する攻撃です。調査報告書では0%となっていますが、SQLインジェクションであると認識していないケースもあると考えられます。

DoS攻撃、DDoS攻撃

データを大量に送信してサーバーやネットワークに負荷をかける攻撃で、DoS攻撃は1台のシステムから攻撃を仕掛ける一方、DDoS攻撃は複数のシステムから攻撃を仕掛ける発展型になります。Webサイトで「F5」キーを連打するような単純なDoS攻撃から、不正アクセスして乗っ取った複数の端末から攻撃をするDDoS攻撃まで、さまざまな攻撃があります。

標的型攻撃

特定の組織を攻撃するにあたって、まず組織内の個人を狙ってウイルス付きのメールを送信して感染させ、その個人の権限を乗っ取り、組織のシステムに侵入し、情報を盗んだりする攻撃です。近年急速に増えています。

ランサムウェア

感染したコンピュータをロックさせて、アクセスできないようにし、その解除と引き換えに身代金を要求する攻撃です。業務システムをロックされ利用できなくなり、業務が停止した事例もあります。

このように情報セキュリティにはさまざまな脅威が存在しています。脅威と対策は「イタチごっこ」と言える状況で、対策をしても攻撃者はすぐに新しい攻撃を編み出してきます。そのため万全と言える対策はなく、また費用もかかり続けるため、対策へのモチベーションが下がってしまうということもあるかもしれません。

しかし、攻撃により業務が停止したり、情報が漏洩したりすることで、金銭的な損失だけでなく企業の信用低下にもつながるリスクもあり、セキュリティ対策は重要な経営課題のひとつと言えます。

おすすめ記事:巧妙化するサイバー攻撃。最近多い手口とは?

コストや人手をかけずに「できるところ」から情報セキュリティ対策を

以上を踏まえ、中小企業はどのような情報セキュリティ対策をするべきでしょうか。IPAでは、中小企業の情報セキュリティ対策に関する具体的な対策を示す『中小企業の情報セキュリティ対策ガイドライン』を公開しています。第3版は専門用語の使用を可能な限り避け、ITに詳しくない方にとっても理解しやすい表現となっています。

また、中小企業庁では、どのような情報セキュリティ対策を行うべきかをWebサイト『中小企業の情報セキュリティ』で示しています。その他にも、経済産業省や総務省などからも情報セキュリティに関するさまざまなガイドラインが出ています。

しかし、これらのガイドラインをすべて理解して、その通りに対応するというのは、とくに専任の担当者を持たない、あるいは対策コストをあまり投資できない中小企業にとっては至難の業です。そこで重要なのが、上記2つの情報セキュリティ対策の指針でも推奨されているように、「まずできるところから始める」ことです。IPAでは「情報セキュリティ5か条」として次の5つを挙げています。

1. OSやソフトウェアを常に最新の状態に

OSやソフトウェアを古い状態のまま放置すると、その脆弱性を攻撃者に狙われます。OSやソフトウェアだけでなく、ネットワーク機器のファームウェアなどもできるだけ最新版を維持したいところです。また前述のランサムウェアについては、VPN機器の脆弱性を突いてネットワークに侵入するといったケースも散見されています。

2. ウイルス対策ソフトを導入

すでに多くの企業では最低限これだけはしているというケースも多いでしょう。Windowsを利用しているのであれば、付属の「Microsoft Defender」なら追加コストもかかりません。ウイルス定義ファイルは常に最新の状態を維持しましょう。

3. パスワードを強化

「1234」や「1111」など単純なパスワード、誕生日や部屋番号など推測されやすいパスワードは避けましょう。できれば英数字や大文字、小文字混在で長い(8文字以上を推奨)パスワードを設定し、他のアプリケーションと併用しないようにしたいところです。以前はパスワードを定期的に変更するよう言われていましたが、2017年にNIST(米国標準技術研究所)が「パスワードを定期的に変更する必要はない」としたことから、日本でも総務省から「パスワードの定期的な変更は不要」と指針が出ています(*2)。

4. 共有設定を見直す

ネットワークが普及したことでさまざまな機器やサービスを共有して利用できるようになっていますが、無関係な人がアクセスできないように設定を見直しましょう。できればファイルサーバーや無線LANアクセスポイントなどの設定も見直したいところです。

5. 脅威や手口を知る

脅威や手口に関する最低限の情報を知ることも重要です。どのようなメールやWebサイトを疑うべきかについても知っておくと良いでしょう。また、「なりすまし電話で情報を聞き出す」、「偽装メールを送って重要な情報を入力させる」などのソーシャルエンジニアリングについては、個人レベルで対策できることも多くあります。

情報セキュリティ5か条は、専任の情報セキュリティ担当者がいなくても、また情報セキュリティ対策のコストをかけられなくてもできる対策が中心となっています。できるところから始め、その後、組織全体で本格的に取り組んでいくことになりますが、まずこの5か条を実践するだけでも大いに意味があります。多くのサイバー攻撃において攻撃者はシステムやネットワークの弱いところを狙ってくるため、脆弱性を放置しないことは大変重要です。

おすすめ記事:パスワード付きZipファイルは安全?今なお使われる理由とは

支援パッケージや補助金を活用

そのほかにも中小企業向けの情報セキュリティ対策として利用できる対策はあります。

例えば、『サイバーセキュリティお助け隊サービス制度』は、中小企業に向け安価なワンパッケージでセキュリティ対策の導入・運用を支援しています。IPAが認定した12事業者がセキュリティサービスを提供しています。

また、セキュリティ対策の製品やサービスを導入するにあたり、補助金を利用することができるケースがあります。

IT導入補助金2022 セキュリティ対策推進枠

IT導入補助金は、中小企業・小規模事業者がITツールを活用して、生産性の向上や売上アップといった経営力を強化することを目的としており、ITツールを導入する際に活用できる補助金です。2022年5月、新たにセキュリティ対策推進枠が創設され、『サイバーセキュリティお助け隊サービス制度』に掲載されているサービスを導入する際、最大2年分のサービス利用料の補助が受けられます。

令和4年度 サイバーセキュリティ対策促進助成金(東京都)

東京都の中小企業を対象としたセキュリティ対策への促進助成金で、セキュリティ対策を実施するために必要となる機器の導入やクラウドサービス利用に係る経費に対し、助成を得ることができるます。こうした中小企業へのセキュリティ対策助成は東京都だけでなく、さまざまな自治体で実施されています。

できるところから始め、支援パッケージや補助金などを活用しながら本格的に情報セキュリティ対策を実施していくのが、専任の情報セキュリティ担当者がいない、情報セキュリティ対策のコストがあまりかけられない中小企業にも無理のない対策の進め方と言えるでしょう。

 

参考:

Contributeur DocuSign
筆者
DocuSign
公開