中小企業はサイバー攻撃のターゲットになるのか?サプライチェーンの入り口という意味においてはターゲットにはなり得る。だが、直接的な標的にはならない。攻撃者の目的は“金銭”である。だとするならば、潤沢な資金がある大企業が直接的な標的となるのだ。そうすると、中小企業と大企業では脅威の本質が異なる。中小企業は何を目的としてセキュリティ対策を講じるべきか。以下に解説させていただく。
✔️ サイバー攻撃の対象となる企業とは?
✔️ サイバー攻撃の主流はランサムウェア
✔️ 中小企業の実践的なサイバー攻撃対策
✔️ まとめ:中小企業のサイバー攻撃の本質的な脅威
サイバー攻撃の対象となる企業とは?
「うちみたいな会社でもサイバー攻撃の標的になりますか?」そう問われるとその回答は、「NOだけど、YES」となるだろう。なんだそれ?という返答ではあるが、現実を考慮するとそのような回答になる。はっきりと言えるのは攻撃対象外になるとは言い切れないということだ。
中小企業はサイバー攻撃の対象にならない
中小企業が直接的なサイバー攻撃の対象になるか?との問いであれば、答えは「NO」である。直接的というのは、データの搾取や身代金(ランサムウェア被害による)要求の対象にはならないということである。規模の小さい事業者が潤沢な資金を持っているとは考えないだろう。攻撃者は貧乏な家庭よりも、裕福な家庭をターゲットにするからだ。
ただ、「サプライチェーン」の中に位置付けられる中小企業であれば、入り口としてターゲットにされることはある。過去の事例からも明らかである。大手企業よりはセキュリティ対策は緩いであろうと考え、攻撃者はそこから不正プログラムを侵入させ、直接的なターゲットとしたい大手企業に入り込んでいくのである。
中小企業はサイバー攻撃の被害者であるが、入り口として利用されることにより、大手企業に対しては加害者側の位置付けと見られることになるのだ。これが中小企業のサイバー攻撃の脅威の本質である。
サイバー攻撃による負の影響
セキュリティ対策をおろそかにして、もし何かあった時に社会的な信頼の失墜などの影響は大きいですよ…とは、一般的によく言われるし、ITベンダーの営業マンがよく口にすることなのだが、果たしてそうだろうか…私は中小企業の経営者にははっきりと申し上げている。「貴社が社会的な信用・信頼の失墜という事態になることはありません。」と…失礼だが、貴社については社会的には認知されていないので、何か事件や事故があっても報道されるのは委託元の大企業であり、貴社についてはほとんど触れられることがない。と…そういう意味では、社会的に…ということを考えること自体が現実的ではないと思いますよ。と…
社会的云々…というのは大企業のような著名な企業に対しての脅威であり、中小企業が気にかけることではない。気にするべきことは委託元の大企業との取引が停止され事業継続が困難になるかもしれない…単純に売上が確保できなくなり倒産の危機に追い込まれるかもしれないということなのだ。
個人情報保護法を理解して適切な対策を
2024年3月に改訂された個人情報保護法には、委託元が委託先のセキュリティ対策についての管理義務が明記された。これは、社会的な責任がある大企業が、サプライチェーンを構成する中小企業の情報管理体制の責任の一旦を担ってくださいというものなのだ。
中小企業は委託元の情報管理ポリシーに従ってセキュリティ対策を施す必要がある。これができないと委託先として選定されなくなる可能性がある。セキュリティ対策として何をしたらいいのか?…と、悩んでいる中小企業の経営者は委託元に相談し、自社でできる範囲で何をしたらいいかの答えを得たらいいだろう。
サイバー攻撃の主流はランサムウェア
サイバー攻撃の中でも近年、被害が増大しているのがランサムウェアである。不正に侵入させたプログラムがデータを暗号化し使用不可の状態にし、解除して欲しければ金を払え(身代金)と要求する攻撃である。
サイバー攻撃被害の対価
ランサムウェアの被害に合うと、どのくらいの被害・損失額となるのか。様々なデータがあるが、過去3年間で被害を受けた法人組織の平均の累計として1億7,689万(トレンドマイクロによる調査:2023年11月)。被害からの復旧費用として33%の企業は1000万〜5000万円未満を要した(警察庁:2023年3月)とのデータがある。
身代金については、数千万から数億と幅はあるようだが攻撃者は対象企業が支払える範囲のギリギリを要求するようである。実際に身代金を支払って復旧してもらったという企業もあるようだが、実態について信頼できるデータは公開されていない(身代金を払いました!と公表する企業はほとんどないであろう..)
ただ、身代金は支払ってはいけない。これがほとんどの専門家の認識であり、私も身代金の支払いについては拒否するよう強く提言する。払っても解消される保証はないし、またターゲット(カモリストに掲載)にされてしまうからだ。
バックアップで早期復旧可能な体制
データが暗号化されてしまったら、復旧することはほぼ不可能だと認識する。そのデータは諦めて早期に業務が再開できるようにしておくという管理視点を持つことが賢明である。
データのバックアップは安心のための対策として講じておいていただきたい。単に複製を作るようなバックアップの場合、感染しているデータの複製ができるだけで復旧ができなくなる。ランサムウェアを考慮したバックアップシステムの導入を推奨する。具体的な製品には言及はしないが、高性能(高機能)だと高額になるかもしれないが、実運用に応じた安心できるシステム構築をしていただきたい。
中小企業の実践的なサイバー攻撃対策
中小企業はIT・セキュリティを担う人材がいないとされることが多い。では、どのように対策を講じるのが現実的で実践的なのか?限られたリソースで効果的な対策とは何か…以下の2つの視点を提案する。
IPAセキュリティガイドラインを実践する
セミナーや本ブログでも論じているが、IPAが発行しているセキュリティガイドラインを参考にするのがいいだろう。中でも中小企業向けのセキュリティ5か条は現実的であり効果的でもある。過去のインシデントからも実証されているし、私の経験値からも推奨する。多くのコストをかけずに明日にでもできる効果的な対策である。
詳細は以下に解説があるので参考にしていただきたい。
ITアドバイザー:外部に相談できる窓口
IT人材が不在で、担当する部門もないような中小企業のセキュリティ対策はどうするのか?外部に専門的な知識を持つ協力者を求めるということだ。拙著:「IT顧問のススメ」でも、なぜそうするべきなのかを丁寧に解説しているし、他にも同様の提言をする専門家は少なくない。
「IT顧問のススメ」是非、ご一読ください。
画像をクリックしてダウンロードしてください。
まとめ:中小企業のサイバー攻撃の本質的な脅威
中小企業はサイバー攻撃の標的になるか?との問いに答えるべく現実的なことを解説させていただきました。ITベンダーやメディアは「対策=ツールの導入」という方向の論調が多いが、必ずしもそれが効果的な対策になるとは限らない。とくに中小企業ではそうならないケースも多々あるのだ。ツール導入前にやるべきこと、やっておくべきことはある。
失敗しないためにも、勧められた対策を検討するだけでなくそれが適切かどうかを相談する窓口を用意しておくことは安心を確保する上でも重要な対策の一つとなろう。
最後までお付き合いいただきありがとうございました。
また、お会いしましょ。
