サイバー攻撃は、近年ますます悪質化すると同時に、手口が巧妙化かつ多様化しています。
さらに、かつては大企業が狙われることがほとんどでしたが、昨今では中小企業が狙われることの方が多いとも言われています。
なぜなら、中小企業を介して、その取引先である大手企業など次なる攻撃の足掛かりとされるケースが増えているから。そうすると、中小企業は自社が被害に遭うだけでなく、取引先からの信用も失うことになります。あらゆる企業はこのことを念頭に置き、適切な情報セキュリティ対策を実施しなくてはなりません。
★関連記事★
▮中小企業がサイバー攻撃の主な標的に
これだけサイバー攻撃の脅威が社会に蔓延しているにもかかわらず、独立行政法人 情報処理推進機構(以下、IPA)の「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によれば、過去3期における「情報セキュリティ対策投資」の状況について、33.1%の企業が「投資を行っていない」と回答しています。また、セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない(40.5%)」、「費用対効果が見えない(24.9%)」、「コストがかかりすぎる(22.0%)」という回答結果が出ています。
※IPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書より
IPAの他の調査(※)では、「セキュリティ対策について予算はまったくかけていない、あるいは最低限の対策にのみ費用をかけている企業が多い」という報告もあがっています。金額については、多くの中小企業が「セキュリティ対策に支払可能な金額としては、月額1万円程度」と回答しているようです。
セキュリティ対策が不十分な企業が多いという現状がある一方で、IPAでは実証実験の結果も踏まえて「業種や規模を問わずサイバー攻撃の脅威にさらされており、ウイルス対策ソフト等の既存対策だけでは防ぎきれていない実態が明らかとなった」とも発表しています。
では、実際にどれくらいの数の企業が情報セキュリティ被害に遭っているのでしょうか。IPAの調査では2020年度の1年間に情報セキュリティ被害に遭ったかを問うアンケートも行っており、その結果、84.3%の中小企業が「被害に遭っていない」と回答しています。何らかの被害にあった企業は5.7%、最も多い回答は「コンピュータウイルスに感染(2.7%)」でした。
※IPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書より
84.3%の企業が「被害に遭っていない」と回答していることに対し、IPAでは「回答企業においてサイバー攻撃を認識できていない可能性も否定できない」と指摘しています。
というのも、IPAが行った令和2年度「中小企業サイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け隊事業)成果報告書(全体版)」によれば、中小企業1117社に設置した機器が、なんと181,536件もの外部からの不審なアクセスを検知したことが明らかになっているからです。
情報セキュリティ対策の実施状況がわずか33.1%にとどまっていることを踏まえると、実際には被害に遭っているが気づいていない企業が多いことも考えられるのです。
▮セキュリティ対策投資を行わない理由
なぜ、中小企業のなかで情報セキュリティ対策が進まないのでしょうか。IPAの調査では、多くの中小企業が「専門人材の不足」「社員や専門人材に対する教育がなされていない、費用を捻出することが困難」といった課題を挙げています。情報セキュリティ対策の必要性は感じているが予算がない、という企業も多いようです。
しかし、被害に遭ってから対処するのでは手遅れになるのがサイバー攻撃です。情報漏洩や業務停止、情報漏洩による信頼の失墜など、場合によっては企業の存続に関わる大きな問題に発展しかねません。
社内に専門人材がいなくても、情報セキュリティサービスを利用してセキュリティ対策ソフトの運用のアドバイスを受けるなど、セキュリティ環境を整える方法はいくらでもあります。社員が安心・安全に働くためにも、まずは経営者や社内の意思決定層にいる人々が、情報セキュリティの必要性をしっかりと認識することが大切です。
<参考>
独立行政法人 情報処理推進機構「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
サイバーセキュリティお助け隊(令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業)の報告書について
アクトのサイバーセキュリティ対策支援
アクトでは日頃のIR・SOC業務で多くの知見を持つ当社サイバーセキュリティ事業部のスペシャリストが、企業さまのセキュリティに関する不安を解消するため、全力でサポートさせていただいております。
