日経ビジネス電子版Special

中小企業はまだセキュリティ対策が不十分 F巧妙化するランサムウエアの脅威 常にアタックが仕掛けられている現状を知ろう中小企業はまだセキュリティ対策が不十分 F巧妙化するランサムウエアの脅威 常にアタックが仕掛けられている現状を知ろう

ランサムウエアの攻撃は巧妙化し、今や大企業やインフラを担う企業だけでなく、中小企業にまで被害が拡大してきている。
セキュリティに大きなコストをかける余裕がない中小企業はどのような対策を取ればよいのだろうか。
日経BPコンサルティングが2022年4月に行った「勤務先のサイバーセキュリティ調査」は、大企業に比べて中小企業のセキュリティ対策が進んでいないことが浮き彫りとなり、中小企業が抱える課題が見える結果となっている。

サイバー攻撃に懸念を持っていても
対策や取り組みは遅れ気味

 勤務先のサイバーセキュリティ調査ではまず、300人以下の中小企業でも、301人以上の中堅・大企業でもサイバー攻撃に対しての懸念を持っていることが示されている。「勤務先のシステムへのサイバー攻撃やその被害について、どの程度懸念を感じていますか」という設問に対して、「とても感じている」「ある程度感じている」と答えた企業は87.0%となっており、懸念を感じていると答えた中小企業は82.0%、中堅・大企業は92.0%と、企業規模に関わらずサイバー攻撃に懸念を持っている企業が多い結果となった。

 懸念を持っているにもかかわらず、十分な対策を取っているとは言えないことを浮き彫りにしているのも同調査の面白いところだ。「サイバーセキュリティ対策がどの程度できていると思いますか」という設問に対して、62.0%の企業ができていると答えているが、これは懸念を持っていると答えた87.0%よりも15ポイントも低い結果だ。

 しかも、そのほとんどが「ある程度できている」(57.0%)と答えており、「とてもできている」と答えたのは5.0%に過ぎない。企業規模別に回答を深掘りすると、できていると答えた中堅・大企業は71.3%に対し、中小企業は52.7%と大きな開きがあり、中小企業のサイバーセキュリティ対策が依然として遅れていることが明確となっている。

勤務先システムへのサイバー攻撃や被害への懸念:とても感じている=32.3%/勤務先のサイバーセキュリティ対策の実現度(現状評価):どちらもできている=5%

勤務先のシステムに対するサイバー攻撃に対して、回答者の大半(87.0%)が懸念を感じながらも、セキュリティ対策は十分ではない、あるいは対策が不十分なことから懸念を感じている

[画像のクリックで拡大表示]

ランサムウエアの被害は多く
中小企業も無関係ではない

 では、具体的に企業はどのような脅威にさらされており、どのような対策を施しているのだろうか。「勤務先がサイバー攻撃の被害を受けたことがある」のは32.7%で、 標的型攻撃やゼロデイ攻撃、DDos攻撃など、企業を脅かす攻撃には様々なものがあるが、サイバー攻撃の種類を尋ねた設問では、ランサムウエアを受けたという企業が54.1%と最も高くなっている。

 企業規模別に見ても、ランサムウエアを受けた中堅・大企業が55.1%に対して、中小企業は51.7%と大差はない。大企業を狙ったほうが多くの身代金を要求できるというイメージがあるランサムウエアだが、実際には攻撃者は常に狙う企業を探し回り、隙を見つけたら企業規模に関係なく攻撃を仕掛けているということなのだろう。

 サイバー攻撃の中でランサムウエアの割合が非常に高くなっている現状に対して、ランサムウエア対策への取り組みが遅れていることも同調査は示している。実施しているサイバーセキュリティ対策について聞いた設問では、97.3%が実施しているウイルス対策や75.0%が実施しているファイアウォールに対して、ランサムウエア対策は43.3%と半数以下の企業しか実施していないことが明らかになった。

 企業規模別に見ると、中堅・大企業の53.3%がランサムウエア対策を実施しているのに対し、中小企業は33.3%と、ここでも中小企業の対策の遅れが目立つ結果となっている。

ウィルス対策(PC)=97.3%

「ウイルス対策(PC)」は企業規模を問わず、ほぼすべて(97.3%)の企業が実施しているが、その他の対策は大企業・中堅企業と中小企業で10~30ポイントほどの差があり、中小企業の取り組みの遅れが顕著である。特に、ランサムウエアは受けたことがある企業が増えているのに、対策は遅れているといえる

[画像のクリックで拡大表示]

 一方で、セキュリティ対策において「サイバー攻撃への適切な防御策を導入すること」「感染や侵入後に、適切な対応作業を行うこと」「適切な戦術を立案したりソリューション選定を行うこと」のそれぞれがどの程度できているかを尋ねた設問では、「サイバー攻撃への適切な防御策を導入すること」ができている企業は55.0%(中小44.7%、中堅・大65.3%)、「感染や侵入後に、適切な対応作業を行うこと」ができている企業は49.3%(中小38.0%、中堅・大60.7%)、「適切な戦術を立案したりソリューション選定を行うこと」ができている企業は36.3%(中小25.3%、中堅・大47.3%)という結果となった。

 つまり、防御策への取り組みが遅れているだけでなく、インシデントが発生したときの対応はさらにできておらず、セキュリティの戦術立案やソリューション選定に至っては多くの企業が困難と感じており、中小企業はさらに対策の遅れが目立つ形となっている。

 では、企業は今後セキュリティ対策をどのようにしたいと考えているのだろうか。今回の調査で「業務負荷を減らしたい」と答えたのは72.4%(中小65.3%、中堅・大79.3%)、「セキュリティ対策をシンプルにしたい」と答えたのは81.0%(中小77.3%、中堅・大84.7%)、「よりコストをかけても、セキュリティ対策の強度を高めたい」と答えたのは47.4%(中小32.7%、中堅・大62.0%)、「セキュリティ対策の投資対効果を高めたい」と答えたのは71.0%(中小62.6%、中堅・大79.3%)となっている。多くの企業がセキュリティ対策のコストを抑え、シンプルにして業務負荷を減らしたいと考えており、シンプルで扱いやすく、高額ではないソリューションを求めていることがわかる結果だ。

(1)セキュリティ対策の業務負担を減らしたい=とてもそう思う22.7%

セキュリティ対策は欠かせないが、大企業・中堅企業、中小企業ともかなり負担を感じており、セキュリティ対策の強度とコストとの関係で企業規模による差が目立つ結果となった。お金をかけてでも強度を高めたい大企業・中堅企業と、そうは言いにくい中小企業の差が表れている

[画像のクリックで拡大表示]

大企業のEDR製品と同等の
ソリューションを中小企業にも

 ランサムウエア対策を行うためには、多くの企業が導入しているファイアウォールやウイルス対策ソフトのような侵入を止める対策だけでなく、侵入されてしまうことを前提として、侵入後の検知と対応を行えるEDR(Endpoint Detection and Response)ソリューションが必要だといわれている。しかし、EDR製品の多くは高額で専門的な知識がなければ使いこなせない製品も少なくない。

 大企業で導入されているEDR製品と同等なものを採用したいと考えている中小企業に朗報なのが、マイクロソフトが提供している「Microsoft Defender for Business」だ。

 Microsoft Defender for Businessは、300人以下の企業向けに特化したエンドポイントセキュリティソリューションで、大企業向けのMicrosoft Defender for Endpoint P2の強力なエンドポイントセキュリティと同等の機能を搭載している。

 Microsoft 365 Business Premiumの機能としても提供されており、Office アプリやMicrosoft Teamsとともに導入して、デジタル戦略やDXを進めていこうと考えている中小企業にもお勧めできる。

 これまでのパッケージ販売から、単体での販売も開始され、1ユーザーから購入可能で、導入しやすい価格設定となっている。

 Microsoft Defender for Businessでは、特別な知識がなくてもAIによる自動化が行われており、エンドポイントのセキュリティに関する推奨事項と分析情報を使用して、侵入の検知とその後の対応、修復を簡単に行うことが可能だ。そのうえ、Windows Updateを適用するだけで常に最新の状態に保たれることから、最新の脅威にも強く、メンテナンスフリーで利用できるため専任のIT担当者やセキュリティ担当者を確保しづらい中小企業に向いている。

脅威と弱点を特定/攻撃手段の現象/リアルタイムで保護/エンドポイントでの検出と対応/自動調査と修復

Microsoft Defender for Business は、PC やスマートフォンなどのエンドポイントに対して、サイバー攻撃を受けることを前提にしたゼロトラスト・セキュリティを適用。脅威の検出や除去などの初動対応を円滑に行い、被害を最小限に抑えることを目的としている

[画像のクリックで拡大表示]

 Microsoft Defender for Businessは販売パートナーから、またはMicrosoftのウェブサイトから直接購入できる。また、Microsoft Defender for Business協賛パートナー10社は、製品の販売とあわせて、導入や管理・運用をサポートする関連サービスを提供していく予定。詳細は記事最後の製品URLを確認してほしい。

脅威と弱点を特定/攻撃手段の現象/リアルタイムで保護/エンドポイントでの検出と対応/自動調査と修復

製品の問い合わせ窓口を設けているMicrosoft Defender for Business 協賛パートナー。協賛パートナーの協力の下、製品の販売促進、また関連サービス提供を行っていく

[画像のクリックで拡大表示]

ランサムウエアの被害は甚大
使いやすさを重視した製品選びを

 神戸大学大学院教授で情報セキュリティ大学院大学客員教授でもあり、情報セキュリティ専門家の森井昌克教授は、「NICT(国立研究開発法人情報通信機構)によると、サイバー攻撃はこの数年で2倍以上、10年で30倍以上増えているとしています。日本では増え続けるサイバー攻撃に対し、各省庁が出しているガイドラインの数も増えています」と話す。

 そのうえで森井教授は、「リモートワークが普及したことで堅固な城郭で守られた城である会社から外に出て、城郭の無い普通の家にいる機会が増えています。セキュリティ対策をしないということは、自宅や会社のカギをかけないで留守にすることと同じです」と警鐘を鳴らす。

 「ランサムウエアによる身代金の要求は非常に高額となっており、しかも、実際に身代金を支払ってしまった企業が信用を失墜するケースも珍しくないのです。

 ランサムウエアの被害にあうと、経理会計や顧客データ、営業などの一切のデータが使えなくなって経営が成り立たなくなったり、データが漏洩して信用を失ってしまったりする可能性があります。現実社会では、防犯措置を含む警備費や保険費用、安全対策を行うための設備費などに費用が掛かりますが、セキュリティ対策に対しても同等な費用が必要であると考えましょう。

 一度被害にあえば膨大な費用がかかり、信用失墜で経営にも問題が出てきます。予算も考慮した上で、ランサムウエア対策を含む機能を持ったソリューションを、使いやすさを重視して選ぶことが重要だと考えます」と森井教授は話している。

調査概要

調査名:
勤務先のサイバーセキュリティ調査
調査機関:
日経BPコンサルティング
調査対象:
企業等(従業員11名以上)の情報システム部門やその他部門の勤務者で、勤務先のサイバーセキュリティへの取り組みやソリューション選定に何らか関わる人
調査手法:
インターネット調査
調査期間:
2022年4月14日~20日
有効回答数:
300件
回答者属性:
<所属部署> 情報システム部門:47.3%、その他の部門:52.7%
<従業員数> 1000人超:34.0%、301~1000人:16.0%、11~300人:50.0%
ページトップへ