サイバー攻撃は無差別、中小企業は少ない予算でどう防御するかがカギ

前回は、サプライチェーンという大きな枠組みのITセキュリティについて説明しました。今回は規模を小さくして中小企業のITセキュリティを取り上げます。今日、中小企業に対するサイバー攻撃が増加しています。その理由は、大企業と比較してITセキュリティ対策が十分でない企業が多い傾向に加え、人手と予算が慢性的に不足しているからです。日本古来の「ウチは中小企業だから大丈夫神話」が正しくない理由と中小企業にこそ必要なバランス感覚について説明します。

「ウチは中小企業だから大丈夫神話」の真相は?

「サイバー攻撃に狙われるのは大企業だから中小のウチは大丈夫」――そう考えている人が身の回りにいないでしょうかか? メディアでは大企業で発生した重大インシデントが取り上げられるがちなので、そう思われるのも仕方がないと思いますが、その勘違いが許されるのは大企業だけが大量のコンピュータと大量のデータを持っていた昔の時代です。

現在はどうでしょうか? 業務で利用するデバイスの台数と社内外での通信量の増加率が高いのはWindows 10への移行を機にモバイル端末を導入し、働き方改革を推進している中小企業です。このことを攻撃側も知っているのか、近年は大企業を襲ったマルウェアが中小企業向けに改造されてワンテンポ遅れて猛威を振るう傾向にあります。元々、大企業を攻撃するために作られたマルウェアであるため、ITセキュリティ対策が十分でない中小企業を攻撃することは比較的容易です。大企業で発生した重大インシデントは中小企業にとって今や対岸の火事ではないのです。

• 

  大企業で発生したセキュリティ・インシデントは中小企業にとって対岸の火事ではない

「ウチは予算が出ないから」は本当なのか?

シスコシステムズが18カ国のCISO(最高情報セキュリティ責任者)に対して実施したアンケート調査 「2019年版CISOベンチマーク調査」によると、ITセキュリティ予算の策定方法は以下のようになっています。

• 昨年の予算に基づいて策定する企業：46%
• 収益に対する一定割合を予算とする企業：42%

つまり、合計で9割近くの企業では自社の現状や周囲の環境変化を顧みることなく、社内事情だけで予算を策定していることになります。このことから攻撃側は業績が悪かった企業から順番に攻撃していけば成功する可能性が高いということが容易にわかります。加えて、次のような負のループに陥る可能性も示しています。

1. 業績が悪かった企業は攻撃側に狙われる
2. 攻撃を受けて更に業績が悪化
3. ITセキュリティ予算がますます減少
4. さらに脆弱性が増す
5. 再び攻撃側に狙われる

日本は2020年以降の景気後退が危惧されていますが、それがこの負のループを助長するおそれがあります。皆さんは昨年の医療費を参考にして今年の医療費を決められますか? 普通は定期的に検査して疾患が明らかになってから検討しますよね(もっとも、ITセキュリティの場合、発病してから検討していては手遅れですが……)。

セキュリティ予算も自社の現状と周囲の環境などを分析したうえでデータに基づいて決めるべきです。IPA(情報処理推進機構)が公開している「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集」でも、「経営者が認識すべき3原則と指示すべき重要10項目」が明記されており、3項と4項で予算確保や仕組みの構築・分析が求められています。

■経営者が認識すべき3原則

1. 経営者のリーダーシップが重要
2. 自社以外(ビジネスパートナー等)にも配慮
3. 平時からのコミュニケーション・情報共有

■サイバーセキュリティ経営の重要10項目

1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2. サイバーセキュリティリスク管理体制の構築
3. サイバーセキュリティ対策のための資源(予算、人材等)確保
4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5. サイバーセキュリティリスクに対応するための仕組み構築
6. サイバーセキュリティ対策におけるPDCAサイクルの実施
7. インシデント発生時の緊急対応体制の整備
8. インシデントによる被害に備えた復旧体制の整備
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
10. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

• 

  本当は怖いITセキュリティ予算の策定法

さらに「レジリエンシーの差」が問題点となる

これまで、人手不足と予算不足が大きな問題点であることを説明しましたが、大企業と中小企業の差が最も激しい領域は、前回ご説明した「レジリエンシー(回復力・復元力)」です。

ITセキュリティは大別して「防御力(検知力・排除力)」と「レジリエンシー(回復力・復元力)」で成り立っています。これらは車の両輪のようにバランスよく強化しなければなりません。大企業は仮にサイバー攻撃を受けて一時的に重要なデータを喪失したとしても、それらを復元させる対策を講じています。「防御力」と「レジリエンシー」のバランスが良い企業は脅威に対して強いのです。

しかし、予算が限られている中小企業では「防御力」を先行して強化し、その後もし業績が良ければ「レジリエンシー(回復力・復元力)」の強化に着手をする、といった運頼みのITセキュリティ強化を継続する傾向にあります。この方法ではバランスが悪い期間が必ず発生してしまいます。「防御力」に偏って強化した場合、高確率で多くの脅威を封じ込めるかもしれませんが、次のような現象が起こり、ITセキュリティを強化したはずがかえってレジリエンシーの弱体化を招き、結果的に自らの首を絞めてしまうことになりかねません。

• 万が一、現行の防御力で対処できないような新たな脅威が出てきた場合、無防備に等しい状態となる
• 高い検知力ゆえに数多く発報されるアラートに対するチェック・対応が追い付かなくなる(前述の人手不足に拍車をかけレジリエンシー強化がますますなおざりになる)」

中小企業にとってデータ喪失や長期間の業務停止は死活問題です。中小企業にこそ、現在の立ち位置をきちんと認識し今後どうあるべきか？を常に検討して必要な予算投資をし続ける絶妙なバランス感覚が常に要求されるのです。

• 

  中小企業に必要なバランス感覚

慢性的な予算不足と人手不足に陥らないためにできること

以上のことは理解できても、すぐに実現することは難しいと思います。そこで情報システム部門の方におススメしたいのは経営層と普段から緊密にコミュニケーションを取っておくことです。

例えば、以下のような取り組みを継続的に実施されてみてはいかがでしょうか?

1. 平時から経営層と定期的に情報共有をしておく(自社の現状報告、競合企業の取り組みなど)
2. 大企業で重大なセキュリティ・インシデントが発生した(チャンス到来！)
3. 自主的に経営層に対して同様のセキュリティ・インシデントが自社で発生した場合の被害予測レポートをする

• 

  平時から経営層とコミュニケーションをとろう!

この取り組みを継続することは情報システム部門に恩恵があるだけでなく、企業信頼度アップにも貢献します。経営層がお客先や社外で何か提案や発表をするときに、自社のITセキュリティへの取り組みを堂々と語れば社会的な信頼度は断然上がりますよね。引き合いの増加に繋がるかもしれません。

ITセキュリティに予算と人手を出してもらえるよう企業改革を促していくことは、結果的に企業の業績アップに貢献することになるのです。できることから少しずつ取り組んでみてください。

著者プロフィール

橋川ミチノリ

幼少よりコンピュータ関連の仕事に憧れ、ディーアイエスソリューション株式会社に入社。
営業職として最新のＩＴソリューションの提案・販売活動に10年間従事した後、マーケティング職に転向。高度化・複雑化が進むIT業界のトレンドや最新技術を分かりやすく解説し、啓蒙を図るミッションに取り組んでいる。
生まれ： 広島県、好きな言葉：やっぱりカープがNo.1!、趣味：ホルン 。