中小企業のセキュリティ対策、進めるカギは「平易な言葉」

3月8日、チェック・ポイント・ソフトウェア・テクノロジーズは同社のSMB向けディストリビューターを対象とした「中小企業向け 最新ITセキュリティセミナー」を開催した。セミナーでは、船井総合研究所 サイバーセキュリティチーム チームリーダー チーフ経営コンサルタントの那須 慎二氏が「日本の中小企業をサイバーセキュリティ被害から守るために、IT企業が取り組むべきこと」と題した特別講演を行った。

中小企業に対して平易な言葉で脅威を説明し、理解してもらえることを期待

那須氏が執筆した中小企業向けのセキュリティ解説書は初版4000部が即日完売、現在4刷目に入っているという。同書が売れている理由について、「中小企業の担当者が必要な情報を網羅しており、かつ具体的な対策方法が含まれていてわかりやすいからでは」と分析していた。

同氏がディストリビューターに対して望む中小企業へのセキュリティ啓蒙の要点は「セキュリティの実態を伝え、誤った考え方を正す」ことだという。

「IPAなどの公的機関は中小企業のセキュリティ対策の実態をつかみ切れておらず、セキュリティに関する資料や啓蒙活動も行き届いていない。この状況を打破しなければならない」(那須氏)

その上で、那須氏は注意すべき脅威として、以下の3つを挙げた。

• ネットバンキングの不正送金マルウェア
• 情報を暗号化して使い物にならなくした上で金品を要求するランサムウェア
• 場合によっては加害者と見なされてしまうボット

不正送金は警察庁の取りまとめで、2014年に29億円、2015年には30億円の被害額が明らかになっており、メガバンクだけでなく、地方銀行や信用金庫といった地方の中小企業が利用している金融機関にも被害が波及している状況にある。その上で万が一被害を受けた場合、原則的に「法人に対する不正送金の補てんはない」と、那須氏は盲点になりがちなポイントを指摘する。ある金融機関では、500万円の不正送金被害にあったことで500万円の資金調達を行い、負債を増やしてしまったこともあるという。

続くデータベースを暗号化するランサムウェアに関しては「身代金を払ったとしてもデータが元に戻る保証はなく、事前のバックアップがなければ事実上アウト」にもかかわらず、コトが起こってから"問題化"したケースが多いため「バックアップに関する周知・啓蒙」を行うよう呼びかけた。

ボットについては「PCが2台しかない代理店に警察が踏み込んできた」という事例を紹介。明らかにボットが悪さをしていたものの、代理店が攻撃を行ったと判断され、事情聴取などで半年ほど仕事にならなくなったと説明していた。

一方で、中小企業が行える対策は人的リソースおよび費用の面で限られているため、OSやJava/Flash Playerといった使用頻度の高いアプリケーションの定期的なアップデートや、統合セキュリティ対策ソフトのアップデート、重要なファイルのバックアップとUTMの導入を推奨している。

そして、那須氏はディストリビューターは単にセキュリティ対策商品を売れば良いのではなく、「なぜその対策が必要なのか」をユーザー企業に平易な言葉で説明することでニーズを顕在化させる必要があると語った。その上で、(なかなか表に出てこない地元企業の)具体的な被害例で緊急性を理解させ、専門家としての対応策を提案することが重要だとした。