検索
特集

中小企業を強力に後押し IPA提供のサイバーセキュリティ対策ツール・制度とは?「Security Week 2022 冬」開催レポート(1/2 ページ)

昨今のサプライチェーン攻撃の流行によって、中小企業にとってランサムウェアなどへのサイバーセキュリティ対策が急務になっている。だが予算やリソースの兼ね合いから対処が困難な中小企業も多いはずだ。こうした企業を支援するためにIPAがさまざまな資料や制度を提供しているのを知っているだろうか。

Share
Tweet
LINE
Hatena

 サイバー攻撃が激化し、これまでであれば「ウチには狙われる理由がない」と思っていた中小企業こそが、サイバー空間において格好の標的になっている。しかし、こうした企業は人手不足や知識不足といった課題を抱えており、セキュリティ対策を講じる余裕がないのが実情だ。そして、この状況を変えるべく動いているのが情報処理推進機構(以下、IPA)である。


IPAの横山尚人氏

 アイティメディア主催のオンラインイベント「ITmedia Security Week 2022 冬」において、IPAで「中小企業における情報セキュリティ対策ガイドライン」の改訂・公表や「SECURITY ACTION」制度、「サイバーセキュリティお助け隊サービス」制度の創設などに関わるキーパーソンである横山尚人氏(セキュリティセンター企画部 エキスパート)が登壇した。

 本稿は、横山氏による講演「サイバー空間における脅威の動向と中小企業が取り組むべきセキュリティ対策」の内容をレポートし、IPAが考える中小企業に向けたセキュリティ対策の指針や知っておいて損はない制度、補助の仕組みを解説しよう。

「10大脅威」から考える、中小企業を狙ったサイバー脅威

 IPAはこれまで「誰もがITの恩恵を享受できる社会」「安心してITを使いこなせる環境の整備」というミッションに従って、さまざまな指針やガイドライン、統計情報を公開してきた。その中でも、毎年有識者を集めて社会的に影響が大きかったと考えられるセキュリティ事案から10の脅威をピックアップする「情報セキュリティ10大脅威」はセキュリティに関わる人であれば必ず知っているはずだ。

 2023年及び2022年では「ランサムウェアによる被害」が組織部門で1位となり、2021年も国内企業や病院などでの被害が多く報道され、大きな話題となった。


2022年版「情報セキュリティ10大脅威」組織向けの脅威動向(出典:横山氏の講演資料)

 横山氏は、毎年ランキング形式で公表されている10大脅威について「順位が低いからといって脅威が小さいわけではなく、あくまで相対的な懸念を基に順位を付けている」と話す。例を挙げると「不注意による情報漏えいの被害」は10位となっているが、先日報告書が公開された尼崎市における個人情報を含むUSBメモリの紛失事案は、幸い発見され大事には至らなかったが組織を大きく脅かした。

 横山氏は10大脅威から、中小企業に特に大きな影響を与える脅威を幾つかピックアップした。第1位の「ランサムウェアによる被害」は企業規模を問わず発生しており、大きな被害が多数報告されている。

 その攻撃手口は電子メールやWebサイト、脆弱(ぜいじゃく)性、不正アクセスなどを経由してランサムウェアに感染させ、金銭を要求するというものだ。四国の病院で発生したランサムウェア被害は、VPN機器における公表済みの脆弱性の悪用あるいは、サイバー攻撃者に認証情報が公開されていたことで対処が遅れ、侵入を許してしまった可能性が高いと指摘されている。その他、製粉会社がランサムウェア被害に遭い、四半期決算報告書の提出が不可能となり重要な企業活動が阻害されたことも記憶に新しい。


ランサムウェアの被害傾向(出典:横山氏の講演資料)

 いずれの被害にも共通しているのは、子会社や取引先をつなぐ「ネットワークの脆弱性」が狙われていることだ。自動車部品会社が攻撃にあった事例では、その子会社とその先の取引先企業との間をつなぐリモート接続機器の脆弱性が悪用されて侵入された。横山氏はこれについて、10大脅威で第3位に入っている「サプライチェーンの弱点を悪用した攻撃」にも通じていると指摘、「第10位までに挙げられたものを単体で見るのではなく、それぞれつながっていると考えるのが妥当かもしれない。全体を見て対策を講じてほしい」と話す。

データで見る中小企業のランサムウェア被害実態

 「ランサムウェア対策は重要だと分かってはいるが、コストを考えると足踏みしてしまう」といった中小企業もあるはずだ。だが下記のデータを見ると考え方を改める必要があるだろう。

 横山氏は警察庁が公開したレポート「令和4年度上半期におけるサイバー空間をめぐる脅威の情勢等について」から、中小企業がチェックすべき統計をまとめた。

 調査によると、2022年における国内のランサムウェア被害件数は警察庁に報告された数だけでも114件で、そのうち中小企業が52%を占める。具体的なランサムウェア被害としては、重要情報を暗号化されるだけでなく、情報を盗み公開すると脅す二重恐喝が65%と半数を超えた。侵入経路としては「VPN機器からの侵入」が68%となっている。

 注目したいのはランサムウェアに感染した場合の影響だ。以下は大企業も含めたレポートだが感染からの復旧には「1カ月以上かかる」と回答したのが20%超、さらに復旧や調査費用として「1000万円以上要した」ケースが55%と、時間もコストもかかることが分かる。


ランサムウェアに感染した場合の影響(出典:横山氏の講演資料)

 さらに悩ましいのが、ランサムウェア被害に遭った企業の87%が「ウイルス対策ソフトを導入していた」と回答していることだ。つまり、こうしたセキュリティ製品を導入してはいるものの、設定や運用の問題が考えられるが検出状況は思わしくなく、わずか10%しか脅威を検知できていない。


ほとんどの企業がウイルス対策ソフトを導入していたが、最新の脅威に追い付けていない(出典:横山氏の講演資料)

 「さまざまな業種が狙われている今、『ウチは関係ないよ』と考えるのは間違い。対策を講じるのは大変だというのは重々承知しているが、対策ができていなかった場合に発生する被害の規模感がこのデータから分かると思う」(横山氏)

       | 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る