第9回 中堅・中小企業とサイバーセキュリティ 適切な投資で損失を防ぐ中堅・中小企業のセキュリティ対策 ~まず、何から取り組むべきか~

中堅・中小企業では、大企業ほど充実した情報セキュリティ対策を行っているところは多くはないかもしれません。

その理由が「狙われるのは大企業だからうちは心配ない」「盗まれるような情報を持っていない」という考えにあるとすれば、それは危険です。近年のサイバー攻撃は中堅・中小企業をターゲットとしているケースも珍しくないからです。

とはいえ、予算や人材の不足しがちな中堅・中小企業が、大企業と同じような対策を導入することは現実的ではありません。では、何から始めればいいのでしょうか。中堅・中小企業の情報セキュリティ対策を考えてみましょう。

中堅・中小企業を狙ったサイバー犯罪が増えている

中堅・中小企業が被害に遭った例

大企業が関わるサイバーセキュリティ被害は、社名とともに大々的に報道されます。一方、中堅・中小企業に関してはあまり報道されることはありません。しかし実は、中堅・中小企業が狙われるサイバーセキュリティ被害も後を絶たないのが実情です。企業を対象とするサイバー犯罪の手口やその被害の傾向としては以下のようなものがあります。

ダミーダミー

なりすましメールからインターネットバンキングの偽サイトに誘導され、ID・パスワードを盗まれ、いつの間にか数百万円が引き出されていた。

ダミーダミー

身代金ウイルス(ランサムウェア)に感染し、データがすべて喪失。画面上には「3万円支払えば、データを返却します」との文字が……。

ダミーダミー

自社のショッピングサイトが改ざんされ、不正アクセスプログラムが仕掛けられていた。クレジットカード情報を含む顧客情報が流出し、サイトは閉鎖へ。

こういった被害の影響は、自社や自社の顧客だけに止まらないこともあります。例えば下記の図のように、攻撃者はターゲット企業への攻撃が困難な場合、まずセキュリティ対策が甘い別の企業を乗っ取り、それを踏み台にしてターゲット企業を攻撃することがあります。最初に乗っ取られた企業は、知らない間に攻撃者の一員となってしまうこともあるのです。

自社のセキュリティ対策が甘いばかりに他社にまで被害が及んでしまったら、「知らなかった」「うちのせいではない」では済まされません。取引の停止や損害賠償という事態にも発展する可能性があります。

ダミーダミー

情報セキュリティ脅威の種類は多様化、複雑化している

上記の例以外にも情報セキュリティに関する脅威は多様化・複雑化の一途を辿っています。下記は、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の2017年版です。企業ではこれらの脅威についてきちんと理解し、対策を取っていく必要があります。

「情報セキュリティ10大脅威 2017」(組織向けの脅威)

順位 組織 昨年順位
1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 7位
3位 ウェブサービスからの個人情報の窃取 3位
4位 サービス妨害攻撃によるサービスの停止 4位
5位 内部不正による情報漏えいとそれに伴う業務停止 2位
6位 ウェブサイトの改ざん 5位
7位 ウェブサービスへの不正ログイン 9位
8位 IoT機器の脆弱性の顕在化 ランク外
9位 攻撃のビジネス化(アンダーグラウンドサービス) ランク外
10位 インターネットバンキングやクレジットカード情報の不正利用 8位
アンダーグランドサービスの拡大で攻撃が増加

注目は9位の「攻撃のビジネス化(アンダーグラウンドサービス)」です。昨今では、サイバー攻撃を目的としたツールやサービスが、アンダーグランドの市場において安価で取り引きされるようになっています。

攻撃ツールが容易に手に入るようになったことで、攻撃に必要な手間も専門知識もコストもおさえられるようになりました。1社あたりのリターンは低くても、十分に利益を出すことができるため、多くの攻撃者は攻撃範囲を広げることで数を確保し、利益拡大を狙う戦略に転じています。

ダミーダミー

その代表的な手法がランサムウェアです。ランサムウェアに感染してしまうと、PCやサーバ上の全てのファイルが自動的に暗号化され、業務の継続が困難になります。そして暗号化の解除のための身代金が要求されてしまうことになります。ランサムウェアによる攻撃は、

  • 幅広く攻撃し、少額の金銭をかき集めるスタイルになっている。
  • 日本語対応のランサムウェアも登場。

といったかたちで、結果としてセキュリティレベルの低い日本企業が感染する事例が増えています。

中堅・中小企業の情報セキュリティ対策の現状

中堅・中小企業の現状は?

情報セキュリティ対策の重要性はわかっていても、なかなか実行できないという企業は多いようです。中堅・中小企業の情報セキュリティ対策の課題を整理してみます。

【中堅・中小企業が抱えるセキュリティ課題の例】
セキュリティ要件を理解・把握していたとしても、セキュリティにお金をかけられない。
  • 直接的に利益を生まないセキュリティには、なかなか先行投資しづらい。
専門知識を持った人材がいないため、セキュリティ要件を正確に理解していない。
  • 人材がいたとしても業務負荷が増えるために手を着けられない。
計画性を持ってセキュリティ対策を行えない。
  • 大企業のように、監督官庁のガイドラインに従わなければという意識が低い。
  • インシデントが発生してから局所的な対策を取ることが多い。
PDCAサイクル(OODAサイクル)を回しきれない。
  • セキュリティ製品を導入することで精一杯で、運用まで手が回らない。

中堅・中小企業であっても、取引先の要件で対策を実施しなければならないケースもあります。しかし、そのような強制力が働かない場合には、 「問題が発生してから五月雨式に対策を取っている」という企業も多いと考えられます。

全体的な視点で対策を取っていない

上記のような課題があることで発生する問題として、下の例のようなものがあります。局所的な対策に終始して全体的な視点が抜けてしまう、いわば「木を見て森を見ず」の、ちぐはぐな対策になってしまっているのです。

ダミーダミー

最新のウイルス対策ソフトを導入しているが、アップデートされていない。

ダミーダミー

外部の訪問者の管理は厳重にしているが、USBメモリの利用には制限がない。

ダミーダミー

強固なID管理を導入しているが、パスワードをPCに貼り付けている人がいる。

情報セキュリティ対策を怠るとどうなるか

中堅・中小企業の経営者にとって、情報セキュリティへの投資は利益につながらない、無駄な費用と考えられがちです。しかし、対策を怠ることで被る損失は、次のように多方面に及びます。

金銭の損失

ダミーダミー

  • 顧客や取引先への損害賠償、お詫び
  • 不正送金による盗難被害

業務の損失

ダミーダミー

  • システム停止による業務の停滞、営業機会の損失

顧客の損失

ダミーダミー

  • 社会的信用の低下による取引停止や顧客の減少

従業員への影響

ダミーダミー

  • 企業イメージダウンによる離職者の増加
  • 個人情報に関して従業員からの訴訟

対策を怠ったことで、場合によっては企業の存続が危ぶまれるようなダメージを負うこともあります。そう考えると、情報セキュリティへの先行投資は決して無駄なものではありません。今後さまざまな企業と取引をする上でも、必要最低限のセキュリティ対策投資は必須となってくると考えられます。

まず、何から始めるべきか

「知ること」がスタートライン

さて、「情報セキュリティ対策を何から始めればいいのか分からない」という企業はどうすればいいでしょうか。まずは、「自社の状況を知ること」です。

独立行政法人情報処理推進機構「5分でできる!中堅・中小企業のための情報セキュリティ自社診断シート」

5分でできる!情報セキュリティ自社診断シート

自社の状況を把握するために便利な方法があります。独立行政法人情報処理推進機構(IPA)のホームページで公開されている、「5分でできる!情報セキュリティ自社診断シート」を使って診断してみてください。簡単な設問に回答していくだけで、自社の情報セキュリティ対策のレベルを知り、問題点を見つけることができます。診断結果について詳しく知るための解説パンフレットも用意されています。

独立行政法人情報処理推進機構「5分でできる!中堅・中小企業のための情報セキュリティ自社診断シート」

優先順位を付けて対策を実施

自社の状況を把握したら、次に対策を考えていきます。問題点が多すぎて何から手を着ければいいかわからないということでしたら、優先順位の高いものから始めるとよいでしょう。具体的な取り組み方については、同じくIPAが公開している下記の情報が参考になります。

独立行政法人情報処理推進機構「5分でできる!中堅・中小企業のための情報セキュリティ自社診断シート」

中堅・中小企業の情報セキュリティ対策ガイドライン

本ガイドラインでは、中堅・中小企業にとって重要な情報セキュリティ対策の考え方や実践方法について、具体的かつ網羅的に説明しています。

ガイドラインの活用ステップ
  • Step1 まず始める:「2.情報セキュリティ5カ条 P.23」を参照
  • Step2 現状を知り改善する:「3.情報セキュリティ自社診断 P.25」を参照
  • Step3 本格的に取り組む:「4.情報セキュリティポリシーの策定 P.28」を参照
  • Step4 改善を続ける:「5.情報セキュリティ対策のさらなる改善に向けて P.46」を参照

独立行政法人情報処理推進機構「中堅・中小企業の情報セキュリティ対策ガイドライン」

信頼できるパートナーの必要性

外部のパートナーを選ぶ際のポイント

取り組むべき対策を決定したとしても、担当者が忙しくて手を着けられない、ということもあるでしょう。あるいは情報セキュリティやITの知識がある人材がそもそもいないため、自社の状況を正確に把握することができないという場合も。

そのような時は、業務委託や外部のサービスを利用するのも一つの手です。情報セキュリティに関するサービスを提供する会社はたくさんありますが、どのような基準で選べばよいのか、ポイントを挙げてみました。

ダミーダミー

「製品ありき」ではなく、企業の状態を把握したうえで、優先順位の高い対策から提案してくれるかどうか。

ダミーダミー

財務状況に合わせた、身の丈に合った投資を提案してくれるかどうか。

ダミーダミー

製品やサービスを導入するだけでなく、その後の管理・運用についても任せられるかどうか。

といったように、企業に寄り添い、全体的な視点でアドバイスできるパートナーを選ぶべきでしょう。

NECソリューションイノベータなら

NECソリューションイノベータでは、お客様の対策状況を一緒に確認させていただき、今すぐに必要な対策、将来的に強化すべき対策を、最適な運用・管理の方法まで含めてご提案いたします。大企業・官公庁へのソリューション提供で生かした経験とノウハウを、中堅・中小企業のお客様へのご提案にも生かしています。ぜひお気軽にご相談ください。

フォームから問い合わせる

掲載日:2017年12月5日

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ対応のポイント リーフレット

サイバーセキュリティ対応のポイント リーフレット

NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策リーフレット

    Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ

サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。