ITトレンド記事 コラム
「中堅・中小企業のサイバーセキュリティについて
エキスパートが語る
~経営者と現場に今求められること~」(1)
サプライチェーン・サイバーセキュリティ・コンソーシアム
運営委員会議長 梶浦 敏範氏
メンバー紹介
サプライチェーン・サイバーセキュリティ・コンソーシアム
運営委員会議長梶浦 敏範氏
東芝ITサービス
セキュリティビジネス推進部 主幹(技術専門職)枡田 鉄也
東芝ITサービス
セキュリティビジネス推進部 参事鈴木 孝臣
企業がサイバー攻撃を受けて大きな被害を被る事件が後を絶たない中、近年では大企業を中心にサイバーセキュリティ対策にかなり力を入れる企業・組織も増えてきました。その一方で比較的規模の小さい中堅・中小企業では、いまだに「対岸の火事」と捉える風潮が強いようです。
しかし実際には多くの中堅・中小企業がサイバー攻撃のターゲットとなっており、大きな被害を受けています。そしてひとたび攻撃を受けると自社だけでなく、顧客や取引先にまで大きく被害が及んでしまいます。こうした実態を踏まえ、中堅・中小企業は今どのような姿勢でサイバーセキュリティ対策に臨むべきなのでしょうか。
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)の運営委員長や一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)の代表理事など、数々の要職を務めながら中堅・中小企業のサイバーセキュリティに関して提言を行っている梶浦敏範様と、弊社でセキュリティビジネスを担当する枡田と鈴木の3名で、中堅・中小企業のサイバーセキュリティの現在と未来について忌憚なく語り合ってもらいました。
01サイバーセキュリティのリスクを過小に見積もっている中堅・中小企業
BCP(事業継続計画)の観点からサイバーセキュリティのリスクを考える必要があるということですね。
その通りです。東日本大震災以降、多くの企業が震災対策などの強化に努めてきましたが、サイバーセキュリティもそうした施策の一環として捉える必要があります。地震や台風といった自然災害は意思を持たずに攻撃してきますが、サイバー犯罪は攻撃者が意思を持って攻撃してきますから「意思を持って攻撃してくる自然災害だ」というぐらいに捉えてリスクを評価するべきでしょう。
02企業規模の大小にかかわらずあらゆる企業がリスクにさらされている
実際に中堅・中小企業の経営者の方や情報システム担当者の方々とお話しすると、「うちには攻撃者が欲しがるような情報はない」「うちがサイバー攻撃者に狙われるわけがない」と思い込んでいるケースがほとんどです。しかし実際には企業規模の大小や個人情報のあるなしにかかわらず、あらゆる企業がサイバー攻撃のターゲットになり得ますし、実際にそうした攻撃を受けて被害を受けた中堅・中小企業の例を数多く見てきました。
メディアで大きく報道されるのは大企業の被害ですが、実際には中堅・中小企業もサイバー攻撃を数多く受けているのですね。
はい。実際にマルウェアに感染して情報漏えいが発生した企業のケースを調べてみると、攻撃者は当初からその企業をターゲットにしていたわけではなく、過去の攻撃で入手したメールアドレスに対し、新たな攻撃メールをばらまき、たまたまマルウェア感染してしまったというものでした。特に中堅・中小企業は大企業と比べて、メールシステムに対するセキュリティ対策や従業員のセキュリティ教育が十分行き届いていないことが多いため、メール経由でマルウェアに感染するリスクはむしろ大企業より高いと言えます。
やはりメール経由でマルウェアに感染するケースが多いのでしょうか。
そうですね。やはりインターネット経由で入って来ますので、メールを介して感染したというケースは多く発生していますね。
また最近ではだいぶ少なくなってきましたが、USBメモリを介した感染も相変わらず発生しています。さらには、システムの保守メンテナンスのためPCを接続する際に、マルウェアに感染するケースも珍しくありません。
例えば製造業のお客様が工場内で運用しているシステムは、インターネットから遮断してオフラインで運用していることが多いため、インターネット経由で直接マルウェアに感染するリスクはほとんどありません。しかしシステムの保守作業を行うために業者が工場内に持ち込んだPCがマルウェアに感染していて、そこから侵入を許してしまったというケースが実際に発生しています。
03まずは経営者が自らサイバーセキュリティを「自分事」とすること
こうしたサイバーセキュリティのリスクに対処するために、中堅・中小企業はまず何をすべきなのでしょうか。
まずは経営者がサイバーセキュリティのリスクを「自分事」として捉えることです。先ほども申し上げた通り、企業がセキュリティ事故を起こした際に被るダメージは、「被害者に謝罪してQUOカードを配ればOK」といった程度のものでは到底ありません。実際にはお客様や取引先に多大な迷惑を掛けてしまいますし、もし重要なシステムが停止してしまったら事業継続の危機、場合によっては倒産の危機にまで発展する恐れがあります。
これだけ企業経営全体に大きなインパクトが及ぶのですから、当然のことながら財務リスクやコンプライアンスリスク、人事・労務リスクといった他の重要な経営リスクと同列に並べてサイバーセキュリティリスクに対処する必要があります。
どのようにすれば、中堅・中小企業の経営者がサイバーセキュリティのリスクを適正に評価できるようになるのでしょうか。
経営者に対して「誰が言うか」が重要です。最も効果的なのは、その企業の重要な取引先の経営者が、その企業の経営者に対してサイバーセキュリティのリスクを直接指摘することです。ここで重要なのは「経営者が経営者に対して指摘する」という点です。現場の担当者、例えば自社の営業部門が取引先の購買部門から指摘されるだけでは不十分です。そうではなくサプライチェーンの上位に位置する元請け企業の「経営者」が、下請け企業の「経営者」に直接言わないと実際には何も動き出しません。
あるいは地域の商工会議所などの経営者同士のコミュニティの中で、他の経営者からサイバーセキュリティの話を聞きつけて、「うちはちゃんとできているのか?」と現場に指示を出すケースも多いです。いずれにせよ、経営者が意識を変える上では「他社の経営者からの指摘」が最も効きます。
弊社は中堅・中小企業の情報システム担当者や総務担当者の方からサイバーセキュリティに関するお問い合せをいただくことが多いのですが、お話をうかがうとやはり現場が自ら率先してセキュリティ対策を進めている例は極めて少ないですね。実際には、経営者の方が経営者同士の会合の中でセキュリティについて聞きかじってきて、「うちは大丈夫なのか?」と現場に降ろしてくるケースが多いようです。
あとは先ほど梶浦さんもおっしゃった通り、得意先から「おたくはちゃんとセキュリティ対策を講じていますよね?」と言われて、やらざるを得なくなったというケースが多く見られます。
元請け企業の担当者の方から「納入業者にセキュリティをきちんと担保してもらいたいのですが、どうすればいいでしょうか」と相談を受けることもあります。もし契約に含まれていない施策の場合、これを強いることは下請法に抵触する恐れがあるため慎重にならざるを得ないのですが、「次回の契約からはセキュリティ対策の条項を含めます」とあらかじめ通達したり、場合によっては元請け企業が自ら費用を負担してでも下請け企業に納入システムのセキュリティ診断を受診させるようなケースも見受けられます。
(第2回に続く)
日本の中堅・中小企業は大企業と比べて、サイバーセキュリティ対策に遅れをとっていると言われています。
日本では個人情報の漏えい事故に対する罰則や被害者への補償が海外と比べ比較的軽いことから、中堅・中小企業の経営者の方々はサイバーセキュリティのリスクをあまり深刻に捉えていない向きがあるように見受けられます。しかし実際には、サイバー攻撃のリスクは決して個人情報漏えいだけではありません。
例えば2022年に発生した某社へのランサムウェア攻撃では、某社1社が被害を受けただけでなく取引先へも影響が波及し、最終的には某メーカの国内すべての工場が稼働停止に追い込まれるという事態にまで発展しました。このようにサイバー攻撃の被害を受けると自社が被害を被るだけでなく、大事なお客様や取引先にまで多大な迷惑を掛けてしまうということを中堅・中小企業の経営者は肝に銘じておくべきでしょう。
つまり重要なシステムがサイバー攻撃によって稼働停止に追い込まれてしまうと、一気に事業継続が危ぶまれる事態にまで追い込まれるわけです。