新聞、ニュースで「サイバー攻撃」についての話題を目にする機会は多いものの、実際に会社へ与える影響や被害を具体的に想像することは難しいかもしれません。
昨今のサイバー攻撃では、よりセキュリティ対策レベルの低い中小企業をターゲットにし、攻撃をしかけるといった事例も増加しており、今後より一層のセキュリティ対策が必要になる時代に突入しつつあります。
サイバー攻撃を受けた場合、会社にどのような影響を与えるか具体例を交えながら、企業のセキュリティ課題についてご紹介いたします。
課題①:具体的な被害、会社への影響がイメージできない
適切なセキュリティ対策を行うことで多くのサイバー攻撃は防御することが可能です。しかし、対策が不十分、または対策はしているものの更新の必要なセキュリティアップデートが適用されていないことで、サイバー攻撃リスクを大幅に増加させてしまいます。
経済産業省の産業サイバーセキュリティ研究会によるサイバー攻撃実態調査の結果(※有効回答数:315社)から、調査対象となった中小企業の25%、4社に1社の割合で標的型攻撃メールの受信(18%)やランサムウェア(身代金ウィルス)による被害(7%)が確認されたことがわかりました。
また、中小企業においては専任担当者を設置する割合は4%に留まり、担当者がいない(50%)と回答した企業は2社に1社の割合になります。特に、専任の担当者が不在の企業においては、企業のインターネット利用に必要となる対策の判断、そして万が一サイバー攻撃を受けた場合の影響を考慮することは非常に困難です。
中小企業の情報セキュリティ対策の強化に向け、IPA(独立行政法人情報処理推進機構)より「中小企業の情報セキュリティ対策ガイドライン」が公開されています。しかしながら、対策ガイドラインに沿った対応の実施には、一定のIT技術への理解が求められます。
JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)発行の「2018年 情報セキュリティインシデントに関する調査報告書」によると、2018年の個人情報漏えいのインシデントは443件確認され延べ561万人以上の個人情報が漏えいし、想定損害賠償総額は2,684億円以上と推定されています。
経済産業省の産業サイバーセキュリティ研究会によるサイバー攻撃実態調査の結果(※有効回答数:315社)から、調査対象となった中小企業の25%、4社に1社の割合で標的型攻撃メールの受信(18%)やランサムウェア(身代金ウィルス)による被害(7%)が確認されたことがわかりました。
また、中小企業においては専任担当者を設置する割合は4%に留まり、担当者がいない(50%)と回答した企業は2社に1社の割合になります。特に、専任の担当者が不在の企業においては、企業のインターネット利用に必要となる対策の判断、そして万が一サイバー攻撃を受けた場合の影響を考慮することは非常に困難です。
中小企業の情報セキュリティ対策の強化に向け、IPA(独立行政法人情報処理推進機構)より「中小企業の情報セキュリティ対策ガイドライン」が公開されています。しかしながら、対策ガイドラインに沿った対応の実施には、一定のIT技術への理解が求められます。
JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)発行の「2018年 情報セキュリティインシデントに関する調査報告書」によると、2018年の個人情報漏えいのインシデントは443件確認され延べ561万人以上の個人情報が漏えいし、想定損害賠償総額は2,684億円以上と推定されています。
また、直接的な被害の他にも、取引先・顧客からの信頼を失う、事故対応への対処負担などといった二次被害も発生します。
結果として、サイバー攻撃が企業に与える被害は無視できないものとなってきており、適切な防御は企業運営上のリスクを軽減するためにも必要不可欠と言えます。
出典:経済産業省 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/
wg_keiei/pdf/005_05_00.pdf
課題②:対策知識、費用
内閣サイバーセキュリティセンター発行の「中小企業のセキュリティ対策とクラウド活用」によると、約9割近くの中小企業ではウィルス対策ソフトの導入が進みました。その一方で、「特に情報セキュリティ対策の製品やサービスは導入していない」という回答も1割を超える数存在しています。
サイバー攻撃の巧妙化により、ウィルス対策ソフトでは検知できない攻撃手法が増加し、複合的な対策が求められるようになりました。
しかし現実的な課題としてセキュリティ対策にかけられる費用の点が挙げられます。限られたセキュリティ対策費用から、個々の企業の業態やIT資産の特徴を考慮し、無駄のない効率的な対策方法を検討する必要があり、その判断をするための対策知識は欠かせないものとなります。
サイバー攻撃の巧妙化により、ウィルス対策ソフトでは検知できない攻撃手法が増加し、複合的な対策が求められるようになりました。
しかし現実的な課題としてセキュリティ対策にかけられる費用の点が挙げられます。限られたセキュリティ対策費用から、個々の企業の業態やIT資産の特徴を考慮し、無駄のない効率的な対策方法を検討する必要があり、その判断をするための対策知識は欠かせないものとなります。
出典:内閣サイバーセキュリティセンター https://www.nisc.go.jp/conference/cs/jinzai/wg/dai05/pdf/
05shiryou02.pdf
課題③:人的リソース不足
企業のネットワークやセキュリティを担当するIT人材は、「2030年に最大79万人不足する」と経済産業省では試算しています。人材の不足に加え、世界的にビジネスのデジタル化が加速する中で、従来のPCに加えスマートフォンなどデバイスの増加や、テレワークなど働き方の多様化により、IT人材にはより幅広い知識が求められることが予想されます。そのような変化の流れの中、人材リソースの不足する中小規模企業においては、今後ITサービスやアウトソーシングを積極的に活用し自社の業務に必要なIT環境を整備・維持していくことが主流になっていく可能性があります。
今後、個人情報保護法の改正により、個人データ漏えい報告の義務化や罰則の強化が予想されることから、中小企業においても対策の強化が不可欠になります。
社内の対応負担、コスト負担を考慮しながら適切なセキュリティ対策を継続して実施していく仕組みづくりは、高度なデジタル化社会への対応として企業規模を問わず求められるものになるでしょう。
今後、個人情報保護法の改正により、個人データ漏えい報告の義務化や罰則の強化が予想されることから、中小企業においても対策の強化が不可欠になります。
社内の対応負担、コスト負担を考慮しながら適切なセキュリティ対策を継続して実施していく仕組みづくりは、高度なデジタル化社会への対応として企業規模を問わず求められるものになるでしょう。
出典:中小企業庁 2018年版 中小企業白書 https://www.chusho.meti.go.jp/pamflet/hakusyo/H30/h30/html/
b2_4_1_2.html