ランサム被害の6割が中小企業､狙われる脆弱性 深刻な取引先への影響､損害賠償のリスクも

「サイバー犯罪が脅威だという認識はあっても、自分事化できていない中小企業がまだ多いようだ。またサイバーセキュリティ対策は、営業力や生産力の強化などと異なり、売り上げや利益に及ぼす影響が見えにくい分野。人的資源や資金力に限りがある中小企業としては、優先順位が上がりにくいのだろう」（横山氏）

平時からの防御体制と､有事の際の仕組みを構築

では、余裕のない中小企業は、どう対策を行えばよいのか。横山氏は「防犯や防災と同じ」だと言い、次のように続ける。

「ソフトウェアの更新やセキュリティソフトの利用、設定の見直しなど、基本的な対策から段階的に取り組んでほしい。重要なのは、平時からの防御体制の確立と、有事の際に早期に検知・対応・復旧に取り組めるための仕組みの構築。この両方を意識したい」

まず平時の備えについては、IPAでは中小企業の経営者や実務担当者が、情報を安全に管理するための手順を示した「中小企業の情報セキュリティ対策ガイドライン」を公開している。何から始めればよいのかわかっていない企業でも、理解しやすい内容だ。

またガイドラインの付録「5分でできる！情報セキュリティ自社診断」では、25項目の設問に答えることで自社の脆弱な部分が把握できるほか、項目ごとに具体的な対策例も提示されている。

有事への備えとして活用しやすいのは、IPAが2021年から中小企業向けに始めた「サイバーセキュリティお助け隊サービス制度」だという。これは「相談窓口」「ネットワークや端末の24時間監視」「緊急時の支援」「簡易サイバー保険」など、対処に必要なサービスをワンパッケージで提供する民間サービスの登録制度だ。

現在、35社45サービスが展開されている。ネットワークの監視は月額1万円以下、端末の監視は1台当たり月額2000円以下など、中小企業でも検討しやすい価格設定になっている。

とはいえ、対策のレベルは企業によって異なる。機密性の高い情報を扱っており、被害が発生した際に取引先や顧客にまで深刻な影響を与える可能性が高い場合ほど、より強固な対策が必要になることは言うまでもない。

ただ、難しいのは「自社がどのレベルまで対策を講じる必要があるか」を適切に把握することだ。横山氏は「リスク分析に悩むときは、コストはかかるが、外部の専門家への相談を躊躇しないでほしい」と話す。

IPAの「情報セキュリティ対策支援サイト」では、専門家を探せる「セキュリティプレゼンター検索」というサービスを提供している。全国約1700人の専門家が登録しており、活動地域や取得資格などから検索することが可能だ。例えば中小企業の実情をよくわかっている専門家を求めている場合、「情報処理安全確保支援士」と「中小企業診断士」などクロス検索して候補を絞れる。

さらに、「社内に火元責任者を置くのと同じように、サイバーセキュリティ対策の担当者を置いてほしい」と横山氏は言う。

「今後は、中小企業でもあらゆる面でIT活用が不可欠になっていく。そのため、IT人材を育成するという観点で、対象者にサイバーセキュリティ対策の知見も深めてもらうとよいのではないか。社内で対応が難しい部分は、外部のリソースに委ねるという選択肢も持ち、対策の重要性を社内の従業員に周知していくことも大切だ」（横山氏）

東洋経済Tech×サイバーセキュリティのトップページはこちら

著者フォローすると、長谷川 敦さんの最新記事をメールでお知らせします。