ビジネスQ&A

中小企業にもセキュリティ対策は必要なのでしょうか?

2022年 7月 27日

コロナ禍や働き方改革の影響もあり、当社でもIT化が進みましたが、セキュリティ対策は未着手のままです。やはり中小企業にもセキュリティ対策は必要なのでしょうか?

回答

導入したITツールと、そこで使用するデータ、そして取引先の安全のためにも、セキュリティ対策は不可欠です。今やサイバー攻撃は日常的に発生しており、昨今ではセキュリティが強固な大企業ではなく、その取引先の中小企業を足がかりにして攻撃する事例も報告されています。企業の規模を問わず、IT化とセキュリティ対策はセットで考えるべきでしょう。

中小企業の3割超が過去3年間セキュリティ投資を行っていない

昨今、中小企業を狙うサイバー犯罪について耳にすることも多くなっているのではないでしょうか? その背景には、大企業よりも取引先の中小企業の方が、比較的セキュリティ対策が甘くて狙いやすいということが要因の一つとしてあるように思います。事実、今年3月に情報処理推進機構(IPA)が公開した「2021年度中小企業における情報セキュリティ対策の実態調査報告書」において、直近の過去3期セキュリティ投資を行っていない中小企業は33.1%に及ぶことが示されました。セキュリティ投資を行わなかった理由として最多だったのは「必要性を感じていない」の40.5%。このように回答した企業は、まだまだサイバー犯罪を「他人事」と捉えていると考えられます。ですがほとんどの企業が何かしらのITツールを業務に活用している今の時代、もはやその誰もがサイバー犯罪被害者になり得ます。

例えば、石川県で建設業を営むA社では、従業員の端末がランサムウエアに感染してサーバ上のファイルを暗号化されてしまい、その解除と引き換えに金銭を要求されました。この対応に相当のコストと時間が費やされたといいます。また、兵庫県でサービス業を営むB社では、外部のホームページ作成サービスで設定していた安易なパスワードを破られてしまい、不明なファイルを設置されるという被害に遭いました。B社は被害後、「まさか当社のような小規模企業が狙われるとは考えていなかった」とコメントしています。このように、現在のサイバー攻撃は、誰がターゲットになり、どこからどう侵入してくるかわかりません。一度、同報告書の事例集に目を通し、「自分事化」の契機としていただければと思います。

2021年度中小企業における情報セキュリティ対策の実態調査報告書
出典:情報処理推進機構(IPA)「2021年度中小企業における情報セキュリティ対策の実態調査報告書」

セキュリティアップデートやパスワードの再設定など、まずは低コストの対策から

セキュリティ投資を行わなかった理由で次に多かった「費用対効果が見えない」(24.9%)、「コストがかかり過ぎる」(22.0%)に関しては、少々誤解があるように思います。セキュリティ対策は、何もその全てが大規模投資を前提としているわけではありません。4番目に多かった「どこからどう始めたらよいかわからない」(20.7%)にも通ずることですが、セキュリティのアップデートや、パスワードを強固なものへ再設定する、データ共有方法を見直してアクセス制限を施すといったコストのかからないセキュリティ対策でも、十分効果は望めます。先に挙げた二つの事例も、上記のような基本的なセキュリティ対策を実施していれば、被害に遭う可能性は大幅に低減したと考えられます。こうしたコストのかからない対策から確実に実行し、セキュリティ投資は必要に応じて優先順位をつけて実践していくといいでしょう。

なおA社では被害後、IPAの資料に基づき従業員のリテラシー向上に向けた施策を継続的に実施しています。もはやITは専門部署のみが対応すればいいという時代ではありませんから、こうした取り組みで社内全体の意識を変えていくこともコストを抑えた効果的なセキュリティ対策の一つだと思います。

「SECURITY ACTION」や「IT導入補助金」など、各種支援制度も賢く活用

セキュリティ対策のファーストステップとしては、IPAの「SECURITY ACTION」への参加もおすすめです。中小企業がセキュリティ対策に取り組むことを自己宣言し、目標に応じて一つ星、あるいは二つ星のロゴマークを無償で使用できるという制度になります。一つ星の目標は、(1)ソフトウェアアップデートの実施、(2)ウイルス対策ソフトの導入、(3)パスワードの強化、(4)共有設定の見直し、(5)(サイバー犯罪の)脅威や手口を知る──という「情報セキュリティ5か条」に取り組むこと。二つ星の目標は、「5分でできる!情報セキュリティ自社診断」を実施して自社の対策状況を把握した後、「情報セキュリティ基本方針」を策定することです。ロゴマークの使用でセキュリティに対する自社の取り組みをアピールできるだけでなく、本当に効果のあるセキュリティ対策の方法を学ぶことにもつながります。

また、同じくIPAの「サイバーセキュリティお助け隊サービス」では、「相談窓口対応」「異常の監視」「駆け付け対応」「簡易サイバー保険」といったサイバー攻撃への対処に不可欠なサービスを安価なワンパッケージで提供しています。「SECURITY ACTION」で社内のセキュリティ意識を醸成し、ルールや体制づくりを進めた上で、「サイバーセキュリティお助け隊サービス」で近年さらに巧妙化するサイバー攻撃に備える。こうした平時と有事両面の対策を進めておくのが効果的です。

※「サイバーセキュリティお助け隊サービス」の利用料は、中小機構の支援制度「IT導入補助金」の「通常枠」あるいは「デジタル化基盤導入枠」のオプションとして申請可能。また、今年8月ごろより受け付けがスタートする同補助金の「セキュリティ対策推進枠」では、メインのITツールとしても申請できるようになります。

経営者がリーダーシップを発揮してセキュアなビジネス環境の獲得を

中小企業においては、経営者の意向が企業活動により大きな影響を与えると考えられます。その証拠に、先の調査の「情報セキュリティ対策をさらに向上させるために必要と思われること」という設問では、「従業員の情報セキュリティ意識の向上」(46.8%)に次いで「経営者の情報セキュリティ意識の向上」が46.2%と高い割合となりました。多くの社会課題を抱える日本の企業が今後も競争力を保っていくには、IT化やDXを上手に取り入れていく必要があるでしょう。そのような社会においては、繰り返しになりますが、セキュリティ対策もまた不可欠です。こうしたことの重要性を経営者自身が認識し、自らリーダーシップを発揮してセキュリティ対策に取り組んでいく。そのような経営者の姿勢が、これからは中小企業の発展とより深く関わってくるようになるかもしれません。

回答者

独立行政法人情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)

同じテーマの記事