中堅・中小企業支援特集中堅・中小企業支援特集

メインビジュアルPICK UUP メインタイトルメインビジュアル

ニューノーマル時代を迎え、サイバーセキュリティ対策についての考え方も変化しつつある。近年の中小企業に対するサイバー攻撃の動向、対策の重要性から有効な対策などについて、日経BP 総合研究所 イノベーションICTラボ 所長の戸川尚樹が、IPA(独立行政法人 情報処理推進機構)の横山尚人氏に話を聞いた。

01コロナ禍でサイバーリスクが増大
ランサムウエアの脅迫もより悪質に変化

コロナ禍でネットワークを介した働き方が一般的になり、サイバーセキュリティの重要性が増しています。企業にとって脅威となるサイバー攻撃の現状についてどのように見ていますか。

もともとデジタル化が進んでいた大企業と違って、中小企業の場合はコロナ禍でオンライン対応が急ごしらえになっているため、サイバーセキュリティが脆弱になっている面はあると思います。VPNもインターネットにつながっている以上、完全に安全とは言えませんし、設定が適切でないとテレワークが外部からの侵入口になってしまうケースもありますね。

以前はサイバー攻撃というと大企業や官公庁が狙われるイメージでしたが、中小企業に対するサイバー攻撃のリスクも高まっているということですね。

2021年9月に発表された警察庁のレポ-ト※1では、ランサムウエアの被害のうち中小企業が占める割合が66%というデータが掲載されています。また、調査や復旧にかかった費用について1000万円以上とする回答が全体の39%を占めるなど、中小企業にとっても深刻なリスクとなっています。また、被害の報告件数では、製造業や建設業が目立っていました。ランサムウエアと言えば、以前はPCをロック後、解除する代わりに金銭を要求する手口が主流でしたが、近年は情報を流出させるといった悪質な脅迫になっています。クライアントから機密情報を預かっているようなケースもあるので、どうやって未然に防ぐかがより一層重要になってきていると言えます。

確かに、製造業や建設業だと設計データなどの様々な機密情報があるでしょうから、サプライチェーンの一角を担う中小企業がサイバー攻撃を受けてしまうと、自社のリスクだけでは済まず、サプライチェーン全体の危機になり得るわけですね。

その通りです。大阪商工会議所が民間企業100社ほどを対象に行ったサイバー攻撃に関するアンケート※2では、取引先を経由してサイバー攻撃の被害が及んだ経験があるという回答が25%ほどあり、実際に情報漏洩などの被害に結びついた場合には損害賠償を求めるという声が半数近くに上りました。

  • ※1 出典:警察庁「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」2021年9月9日
  • ※2 出典:大阪商工会議所「サプライチェーンにおける取引先のサイバーセキュリティー対策等に関する調査」2019年5月10日
  • 横山 尚人氏
  • 独立行政法人 情報処理推進機構
    セキュリティセンター 企画部副部長 兼 中小企業支援グループリーダー
  • 横山 尚人
  • 戸川 尚樹
  • 日経BP 総合研究所
    イノベーションICTラボ 所長
  • 戸川 尚樹

02最初から満点を目指さない
課題解決のために、今できることから始める

実際に中小企業をターゲットとした攻撃が増えているようですが、中小企業がセキュリティ対策を進められない理由として、どのような課題がありますか。

多くの場合障壁になっているのは、予算がない、人材がいない、何をすべきか分からない、この3本柱です。予算がなければ専門性を持つ人材も雇えませんし、専門知識がなければどうすればいいか分からない。結果として対策も後手になってしまうわけです。

中小企業にとっては痛いところであり高いハードルですね。余裕がないからやりたくてもできないという企業も多いと思いますが、そうした企業が課題を克服できるようなヒントはありませんか。

最初から100点を目指すのではなく、できることから始めることが重要だと思います。先ほどの3つの課題の中でもとくに深刻なのが、何をすべきか分からないという点です。サイバー攻撃は得てして実感がなく感知しづらいので、気づかないまま被害に遭ってしまうこともあるのですね。ですが、普段からセキュリティ意識を持って知識を蓄積しておくことで、万一のときでも早期にリスクを発見でき、被害を最小限に抑えることにつながります。

日本は生真面目な企業が多いですが、とにかくできることからまずは始めてみる、という意識を持つことが大切ですね。そういったお悩みを持つ企業に対して、IPAさんでは何か取り組みをされていますか。

まず、「何から始めたら?」という中小企業のために、「情報セキュリティ5か条」を公開しています。ウイルス対策ソフトの導入やパスワードの強化など、中小企業でも対応できるものばかりなので、最初の一歩として参考にしていただければと思います。そして、中小企業が自社の対策状況をチェックできるよう「5分でできる!情報セキュリティ自社診断」を公開しました。これを使って、自社の弱点を把握して、具体的な対策につなげていただけたらと思います。また、取り組みを有言実行の形にしていただくよう設けたのが「SECURITY ACTION」という自己宣言の制度です。さらに、予算や人材に限りがある中小企業のサポート事業として、2021年4月から「サイバーセキュリティお助け隊サービス」制度を立ち上げました。

背景として、2020年11月に、経済団体、業界団体が中心となり「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」という団体が立ち上がっています。経済産業省とIPAは設立の後押しをし、IPAはその事務局を担っていますが、このコンソーシアム活動の一環でも、このお助け隊サービス制度に関する検討やこのサービスを中小企業に広めていくための支援を行っていただくことになっています。

お助け隊サービスについてもう少しご紹介させてください。このサービスを一言で説明すると、中小企業のサイバーセキュリティに不可欠な要素を安価なワンパッケージにした支援サービスです。パッケージの内容としては、UTM(Unified Threat Management・統合脅威管理)などのネットワークセキュリティ監視装置を用いたネットワーク通信の異常の監視、または、EDR(Endpoint Detection and Response)などのエンドポイントセキュリティソフトウエアを用いた端末内部の異常の監視をはじめ、相談窓口の設置や緊急時対応の他、簡易サイバー保険もセットとすることが要件とされています。これらを提供する民間のサービスについて、審査機関が審査して、要件を満たしていることが確認されれば、IPAから「サイバーセキュリティお助け隊マーク」の使用を許諾しています。すでに5つのサービスが登録されていますが、今後も需要は高まっていくと見ているので、年に2回程度の審査を継続し、登録サービスを増やしていく予定です。

サイバーセキュリティお助け隊サービスのイメージ
サイバーセキュリティお助け隊のサービスイメージ
サイバーセキュリティお助け隊サービスとは、中小企業に不可欠な各種サービス内容を要件としてまとめたサービス基準を満たすものをいう。2021年10月時点で5つのサービスが登録されている。
pagetop