「投資は不必要」 数値で見る中小企業セキュリティ対策の“悲しい実態”:半径300メートルのIT
「相次ぐサイバー攻撃の報道を受けて中小企業のセキュリティ対策意欲は高まっている」、そう思っていましたが、どうやら現実は厳しいようです。今回はIPAの実態調査から中小企業のセキュリティ対策のリアルを解き明かします。
高校生のころ、数学で落ちこぼれていたことがありました。理解が進まず焦っていたため、プライドを捨てて基礎的な予備校講座を受けることにしました。まさにそれが、筆者に足りなかった「現状認識」と「基礎力向上」をもたらしてくれました。この経験は今もかなり大きなものだったと思っています。
そういう意味ではセキュリティもきっと同様です。まず必要なのは、私たちがどのレベルにいるのかというのを知ること。その実態を理解するための資料が、情報処理推進機構(以下、IPA)から公開されました。中小企業のセキュリティ現在地を図る上で非常に有用な資料です。
セキュリティ投資は「いらない」 中小企業の“悲しい実態”
「2024年度中小企業等実態調査結果」の速報版が2025年2月に公開されました。この調査結果は、何となく想像していた中小企業のセキュリティ実態を、数値の形で目の当たりにできるものとなっています。
忙しければ、速報のさらに「概要」を見るだけでもいいかと思います。少しだけピックアップすると、以下のような想像を超えた(想像通りの?)“悲しい実態”が明らかにされています。
- サイバーインシデントが発生した企業における被害額の平均は73万円
- 復旧までに要した期間の平均は5.8日
- 不正アクセスされた企業の約5割が脆弱(ぜいじゃく)性を突かれている
- 過去3期における情報セキュリティ対策投資をしていない企業は約6割
このレポートは速報版で、詳細は2025年4月に公開される予定です。その際には再度ピックアップしたいと思っていますが、速報版でも気になる部分が幾つかあります。特に気になったのは、情報セキュリティ対策投資額に関する質問で「投資をしていない」と答えた一番の理由が「必要性を感じていない」(44.3%)だったという事実です。
仕事柄、いろいろなセキュリティベンダーとお話をするのですが、ここ数年はトップの方の感覚としても、サイバー攻撃被害報道の増加から中小規模の企業の経営者も意識が高くなった、と聞くことが多かったのです。しかし、それとともに「中小企業は意識が二分化している」とも聞いていました。セキュリティベンダーとの付き合いがある企業は、意識が高い方なのでしょう。そうではない企業は、やはりまだまだ多いことを痛感しました。IPAはそういうところにもリーチした資料が出てくるのでさすがです。
そのような経営者にも、セキュリティ投資が今後の取引につながるということを理論立てて説明し、「なるほど」と感じてもらえることが今後の情報セキュリティ啓発の課題になると思います。同調査では「約7割の企業が組織的なセキュリティ体制が整備されていない」という結果が出ている他、実は2016年、2021年調査に比べても、対策について「組織的には実施していない」と答える割合が高くなっていることも気になります。
これは従業員自身のセキュリティ意識が高まり“何もしていないことに気がついた”ということなのかもしれません。経営者はこの実態を正しく捉え、体制を整える準備だけでもしておく必要があるでしょう。
“悲しい実態”に対してIPAが出した答え
面白いことに、今回の速報資料はこのような設問で締められています。それは「サイバーセキュリティお助け隊サービスの導入企業の5割以上が『セキュリティ対策の導入が容易』と回答し、また3割以上の企業が費用対効果を実感している」というものです。ご存じの方も多いかと思いますが、「サイバーセキュリティお助け隊サービス」とはIPAがとりまとめたソリューション群で、一定の基準を満たしたサービスをIPAが認定し、販売しています。
「なんだ、結局ソリューションの売り込みじゃないのか」と思うかもしれません(筆者も少し思いました)。しかし、この「サイバーセキュリティお助け隊サービス」という制度は本当によくできていて、個人的にももう少し認知が上がり、活用されてほしいと感じています。
このサービスはIPAそのものが提供しているものではなく、あくまで中小企業に必要最小限のセキュリティサービスを定義し、かつ中小企業でも手が出る価格帯となるように基準を設け、それに合致したサービスを認証し、一覧化しています。
そのため、サービスを見ていると著名なベンダーというよりも、中小企業にとって身近な商工会議所が取りまとめているものなども含まれており、かつ想像以上に安価なコストで手に入れられるものが多いのが特徴です。以前関連する方にお話を聞いたときには、「社長が1回飲みに行くのを我慢すればいいくらいの値段」と表現していました。確かに、ネットワーク監視サービスであれば月額1万円を超えないことが、サービス提供の基準となっています。
中小企業が求めているのはバズワードではない
サイバー攻撃はますます高度になり、EDR(Endpoint Detection and Response)の“次”を求める動きもあります。バズワードは多数登場するでしょうが、中小企業においては将来像を見せられても困惑するだけです。その結果として、現状維持になっていることが、同報告書の示す現実であると考えられます。
今必要なのは、それを踏まえて現実的に可能な方法を探すこと。そして、基礎力を高め無料でもできることを選ぶことではないかと思っています。その意味では、まずさまざまな資料をチェックしつつ、「サイバーセキュリティお助け隊サービス」のような、中小企業のためにまとめられたものを選択するのがよいのではないでしょうか。
最後に参考になる資料へのリンクもまとめます。サイバー攻撃に負けない組織は、規模を問わず作れるはずです。チェックしてみてください。
%リンク
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“あまりにもお粗末” 岡山県の病院で起きたランサム被害から得られる教訓
岡山県の病院が公開した「ランサムウェア事案調査報告書」に注目が集まっています。この報告書では“あまりにもお粗末なセキュリティの実態”が包み隠さず明らかにされていますが、これを笑える人は一体どのくらいいるのでしょうか。
AWS環境を標的とした新たな「whoAMI攻撃」が見つかる 具体的な保護策は?
Datadogは、Amazon EC2インスタンス向けの仮想マシンイメージ「Amazon Machine Image」を悪用した「whoAMI攻撃」を発表した。この攻撃は名前の混同を悪用し、不正なコード実行を可能にするという。
ChatGPTにマルウェアを作らせる 新たな脱獄手法「Time Bandit」の詳細
ChatGPTの新たな脱獄手法「Time Bandit」が発見された。時間的混乱を利用することで、マルウェアの開発方法など、本来提供されるべきでない情報を引き出すことが可能とされている。
情報セキュリティ10大脅威2025年版が公開 新たに加わった2つの脅威に注目
IPAから2025年版の「情報セキュリティ10大脅威」が公開されました。「組織編」では今回、前年と比較して新たに2つの脅威がランクインしています。このコラムではこれを踏まえて注目すべき脅威とその対策を考えます。