中小企業も標的!セキュリティ対策はじめの一歩
中小企業も標的になっています
中小企業もサイバー攻撃の標的になっていることは、新聞記事の件数からも伺い知ることができます。日本経済新聞朝刊を対象として、「サイバー 中小」というキーワードで3つの期間を検索してみました。2018年1月1日~12月31日、2020年1月1日~12月31日、2022年1月1日~12月31日の3つの期間です。それぞれ、17件、23件、46件でした。サイバー攻撃関係の話題が増加していることが分かります。
それでは、中小企業のセキュリティ対策は、どのような状況なのでしょうか?独立行政法人情報処理推進機構(以降、IPA)の報告では、次のようになっています。
まず、情報セキュリティ対策にお金を使っていない中小企業が3割を超えていました。
出典:IPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査」
https://www.ipa.go.jp/security/reports/sme/about.html
そして、情報セキュリティ対策にお金を使わなかった理由の第1位が「必要性を感じていない」でした。
出典:IPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査」
https://www.ipa.go.jp/security/reports/sme/about.html
本当にこれで大丈夫でしょうか?実際に中小企業はどれくらいのサイバーアタックを受けているのでしょうか?
IPAが、中小企業43社に対する実際のサイバー攻撃を測定した調査結果を公表しています(令和4年度中小企業等に対するサイバー攻撃の実態調査)。その報告書によると、調査対象の全ての中小企業において、サイバー攻撃を検知しました。
また、警視庁の「令和4年におけるサイバー空間をめぐる脅威の情勢等について」という報告では、ランサムウェア(ランサム=身代金+ウェア=ソフトウェアの造語)被害の増加について報告しています。
出典:警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
同報告では、ランサムウェアの被害を受けた場合の復旧に要する期間と復旧費用についても報告しています。復旧に要する期間は、7割超が1週間以上となっています。また、復旧費用も7割超が100万円以上となっています。
出典:警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
出典:警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
IPAと警視庁の報告から、中小企業もサイバー攻撃の対象になっていて、事業継続にはサイバー攻撃に対する防御が必要であることを、お分かり頂けると思います。
簡単にサイバー攻撃ツールを作れる時代
2017年に、中学生がランサムウェアを作って逮捕されました。この中学生は、海外のサイトで、無料で公開されているランサムウェア作成キットを使ったそうです。今や、ITに詳しくなくても、簡単にサイバー攻撃ツールを作れるのです。
例えば、お盆や暮れ・正月の時期になると、大手通販サイトや宅配便を騙った、なりすましメールが増えると感じたことはありませんか?これは、アルバイト感覚で気軽にサイバー攻撃に手を染める輩が増えているためだと、私は想像しています。
アルバイト感覚で犯罪に手を染めるのは、特殊詐欺が有名です。東京都内で2022年に発生した特殊詐欺は、3,218件あったそうです。東京都の65歳以上の高齢者人口は313万人ですので、東京都の高齢者が特種詐欺にあう確率は約0.1%ということになります。
簡単にサイバー攻撃ツールを作れる時代ですので、犯罪者も使っているはずですし、今後も増えるはずです。先に見た、ランサムウェアの被害報告件数から自社が被害を受ける確率は低いと考えるか。それとも、復旧に1週間以上・100万円以上かかることを重要と考えるか。賢明な経営者であれば、結論は明白なはずです。
セキュリティ対策はじめの一歩
それでは、これまでセキュリティ対策に投資をしてこなかった。セキュリティ対策の必要性を感じていなかった。そのような事業者さんは、どこから手を付ければ良いのでしょうか?
まずやって頂きたいのが、IPAが公開している「5分でできる!情報セキュリティ自社診断」です。ITに詳しくなくても回答できる、25の設問からできています。回答の採点結果によって、どのように取り組むべきかが示されています。
出典:IPA「中小企業のセキュリティ対策ガイドライン」サイトから
https://www.ipa.go.jp/security/guide/sme/about.html
採点結果は4つのランクに分かれています(100点以上だった方、70~99点だった方、50~69点だった方、49点以下だった方)。これまでセキュリティ対策に投資をしてこなかった事業者様は、おそらく最低の49点以下になると思います。このランクは、「いつ情報流出などの事故が起きても不思議ではありません」という状態です。セキュリティ対策のはじめの一歩は自社のセキュリティレベルを知ることなのです。
自己診断の次に知っておいて頂きたいのが、「情報セキュリティ5か条」です。これは「情報セキュリティの基本のき」ですので、御社の今後の基本方針の柱としてください。
出典:IPA「中小企業のセキュリティ対策ガイドライン」サイトから
https://www.ipa.go.jp/security/guide/sme/about.html
今後の情報セキュリティ強化にあたり、もう一つ知っておいて頂きたいのが、「セキュリティ桶の理論」です。セキュリティ対策は、複数の取り組みが必要です。一つ一つの取り組みを木の桶の板に例えます。木の桶に水を張ると、一番低い板のところから漏れてしまいます。つまり、強固な取り組みを施したつもりでも、1つでも弱い箇所があると、そこから破られてしまうということです。
「セキュリティ対策に終わりは無い」「常に、弱い箇所がないかチェックを続ける必要がある」ということを知っておいてください。
セキュリティ対策の相談窓口
ここまで読んで、セキュリティ対策のはじめの一歩を踏み出そうと決心された事業者様も多いと思います。しかし、自力で進めるにはリソースが不足しているという事業者様は、ぜひ公的な相談窓口をご利用ください。無料で相談にのってくれます。
(1)全国のよろず支援拠点
よろず支援拠点とは、国が設置している中小事業者様向けの無料の経営相談窓口です。47都道府県全てに設置されています。
https://yorozu.smrj.go.jp/
(2)サイバーセキュリティ相談窓口(東京都)
東京都産業労働局内に設置された、都内中小企業者等を対象とした、サイバーセキュリティに関する相談窓口です。
https://www.sangyo-rodo.metro.tokyo.lg.jp/chushou/shoko/cyber/
セキュリティ対策の助成制度
セキュリティ対策のはじめの一歩を踏み出した後は、終わりの無い戦いが待っています。その戦いを助けてくれる助成制度を紹介します。
(1)サイバーセキュリティ対策促進助成金(東京都)
東京都内の中小事業者向けの制度です。サイバーセキュリティ対策を実施するために必要となる各種機器等の導入やクラウド利用に係る経費を、助成率1/2、助成額最大1,500万円まで助成してくれる制度です。詳しくは、東京都中小企業振興公社のホームページをご確認ください。
https://www.tokyo-kosha.or.jp/support/josei/setsubijosei/cyber.html
(2)IT導入補助金「セキュリティ対策促進枠」(国)
こちらは補助率1/2、最大100万円を補助してくれる制度です。クラウドサービスであれば、最大2年間分を補助してくれる点が特徴です。詳しくは、IT導入補助金のホームページをご確認ください。
https://it-shien.smrj.go.jp/applicant/subsidy/security/
最後に
宝くじの当選確率をご存じでしょうか?年末ジャンボ宝くじで1等が当たる確率は、2,000万分の1(0.000005%)と言われています。そのような低い確率ですので、一攫千金を狙うには、それなりの枚数を買う必要があります。
一方で、セキュリティ対策は、何もしなければ、サイバー攻撃の被害を受ける確率は高まります。先に、「東京都の65歳以上の高齢者人口は313万人です。特殊詐欺の大半は高齢者目当てですので、東京都の高齢者が特種詐欺にあう確率は約0.1%ということになります。」と書きました。特殊詐欺犯がサイバー攻撃に参入してきた場合、宝くじよりはるかに高い確率でサイバー攻撃の被害にあうかもしれません。
サイバー攻撃の被害は、復旧期間・費用だけでなく、「信用」を失うことにもつながります。本コラムを参考にして、まずは自社のセキュリティレベルを確認し、はじめの一歩を踏み出してください。