「お題目」ではない中小企業に本当に必要なセキュリティ対策とは?Digital Leaders Summit イベントレポート(1/2 ページ)

予算やリソース、スキルに余裕がない中小企業にとってセキュリティ対策を講じるのは簡単な話ではない。神戸大学名誉教授の森井昌克氏が実情を鑑みて「お題目」ではない中小企業に本当に必要なセキュリティ対策を解説した。

» 2024年08月15日 07時00分 公開
[斎藤公二ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 アイティメディアは2024年6月10日〜6月13日、主催セミナー「Digital Leaders Summit」を開催した。

 同セミナーの基調講演では、神戸大学名誉教授の森井昌克氏が登壇し、「サプライチェーンセキュリティの要、それは中小企業の持続可能な対策!」と題して、予算や人員、スキルに制約のある中小企業がサイバー攻撃に対抗する難しさと、中小企業がどのようにセキュリティ対策を講じればいいかをアドバイスした。

本稿は「Digital Leaders Summit」に登壇した森井昌克氏の講演を基に編集部が再構成した。

なぜサイバー攻撃の被害は減らせないのか? 中小企業にありがちな“誤解”

 ランサムウェアをはじめとするサイバー攻撃は今や企業規模や業種とは関係なくあらゆる企業がターゲットだ。中小企業に攻撃を仕掛け、そこを踏み台に取引先企業に攻撃を拡大するサプライチェーン攻撃も大きな脅威になっている。

 ただし、サイバー攻撃はどこか人ごとで、対策に熱心ではない中小企業もある。そうした状況に森井氏は「サイバー攻撃の本質は気が付かないことにあります。気が付かないからこそ中小企業が対策がとれない、“自社は大丈夫だ”と錯覚してしまうのです」と警告する。

 サイバー攻撃は企業にとって大きな経営リスクだ。中小企業の主な経営リスクには、経営判断ミスや資金計画の失敗などの経営上のリスク、負債増加・取引先の倒産などの財務上のリスク、人材流出などの運営継続上のリスク、労働災害・過労死などの人事労務リスクなどがあるが、森井氏によると「サイバー攻撃被害はそれらと比較しても重大なリスク」だという。

神戸大学名誉教授の森井昌克氏

 「サイバー攻撃はリスクを被る可能性が高く、被害も大きいため、中小企業が最も気を付ける必要があります。サイバー攻撃はきちんと対策すれば回避できますが、ほとんどの中小企業は、サイバー攻撃を根本的に理解しておらず、対策のイメージもつかみにくいのが実態です。また、中小企業の場合、ランサムウェアなどで事業継続に支障が出ても、ニュースバリューの観点から被害状況が報道されないという事情もあります。実際には、報道されている件数よりも何十倍もの中小企業がサイバー攻撃で事業運営に支障が出ています」(森井氏)

 中小企業のサイバー攻撃対策としては、国や政府組織がさまざまな注意喚起や対策のガイドラインを発表してきた。森井氏はこれらの情報を踏まえて、有効な対策は以下の6つにまとめられると話す。

  1. ウイルス対策ソフトの徹底
  2. 複雑なパスワードを使用する
  3. OSやソフトは最新版にアップデートする
  4. 怪しい電子メールを開かない
  5. セキュリティ情報に敏感になる
  6. 万が一のバックアップを取得する

 森井氏は「企業だけでなく個人にもこれらをしっかり守りましょうと20年以上前から言われてきました。では、なぜこうした当たり前の対策を今になっても言っているのか。それはこの基本がしっかり守られていないからです。特に中小企業がその典型であり、基本的な対策を怠っているわけです」と指摘する。

 なぜ基本的な対策を怠ってしまうのか。その背景には、対策の意味を正しく理解できていないことが関係している。

 例えば「怪しい電子メールを開かない」については、多くの企業が標的型攻撃メール訓練を実施しているが、実際には効果的な対策にはつながっていないという。

 「怪しい電子メールの開封率を減らすだけではほとんど意味がありません。どんなに頑張っても従業員の誰かは開けてしまうからです。重要なのは、誰かが開封してしまったときに企業全体でどう対処するかで、その演習こそが標的型攻撃メール訓練です。怪しい電子メールを開いてしまうことを前提とした対策が重要なのです」(森井氏)

 この他、「複雑なパスワードを使用する」についても「できるだけ長いパスワードにする」「メモに書いてはダメ」といったルールにただ従っていればよいというわけではない。パスワードは漏れる可能性があることを前提にした対策が必要だ。

 森井氏によると、パスワードで最も大事なことは複雑な推定されないパスワードを設定すること、全てのサービスに異なるパスワードを設定することです。また、パスワードは自分の責任でなくても漏れる可能性があることを肝に銘じましょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR