中小企業もサイバー被害による経営リスクが高まっている(写真:Graphs/PIXTA)

今やサイバーセキュリティ対策が必要なのは、大企業だけではない。中小企業もサイバー攻撃の被害を受けるケースが相次いでいる。

「IoTやAIなどの普及によって、さまざまな情報や金銭のやり取りがインターネット上で行われるようになった今、犯罪者たちがサイバー空間を主戦場にするのは、ある意味当然のこと。ダークウェブ上で攻撃ツールが売買されるなど、高度な技術レベルを持たない者でもサイバー攻撃に加わりやすくなっており、企業のリスクは増大している」

そう述べるのは、情報セキュリティに関する調査研究や対策支援などを行っているIPA(独立行政法人情報処理推進機構)セキュリティセンター セキュリティ普及啓発・振興部 シニアエキスパートの横山尚人氏だ。

ランサムウェア被害は事業規模や業種を問わず発生

最近とくに増えているのが、身代金型ウイルス「ランサムウェア」の被害だという。パソコンなどに保存されているファイルを暗号化して使用できないようにし、復旧と引き換えに金銭を要求してくるものだ。情報を窃取してそれを公開すると脅迫するケースもある。

IPAが毎年発行している資料「情報セキュリティ10大脅威」では、このランサムウェアの被害が3年連続で脅威の1位となっている。

警察庁の資料「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、2023年上半期に警察庁に報告のあった「企業・団体等におけるランサムウェア被害」の件数は103件に上り、そのうち約6割を中小企業が占めた。

また、被害を受けた業種の内訳を見てみると、幅広い業種が攻撃対象となっており、感染経路はVPN機器やリモートデスクトップからの侵入が8割を超えている。


「サイバー攻撃を仕掛ける側は、事業規模や業種にかかわらず攻撃してくる。また、サプライチェーンの中で対策が脆弱になっている部分を足がかりに攻撃している。とくに中小企業では被害を受けても気付かないケースや公表・報告をしないケースもあると思われ、実際の被害実態は把握できない部分があるが、経営者が『うちの規模や業種なら大丈夫』と考えていると、狙われるリスクは高まると言える」(横山氏)

「調査・復旧に5000万円以上」かかったケースも

実際にサイバー攻撃を受け、被害に発展してしまうとダメージは大きい。操業の停止や情報漏洩、金銭の損失のほか、取引先から信頼を失うことにもなりかねない。

前述の警察庁の資料によれば、ランサムウェアの被害に遭った企業・団体等に尋ねたところ、有効回答60件のうち、復旧に要した時間で最も多かったのは「1週間以上〜1か月未満」(19件)、中には1カ月以上を要したという回答も10件あった。また有効回答53件のうち、半数以上が調査・復旧のために500万円以上、4件は5000万円以上の費用を要した。


とりわけ大きなリスクは、被害の範囲が取引先にまで及んでしまうことだ。例えば2022年、トヨタ自動車が仕入れ先の小島プレス工業のシステム障害により、国内の全工場の稼働を停止したことは記憶に新しい。

このインシデントは、小島プレス工業の子会社が外部企業との通信に使っていたリモート接続機器が脆弱性を突かれ、不正にアクセスされたことが契機となった。子会社の社内ネットワークを介して小島プレス工業の社内ネットワークに侵入され、ランサムウェア攻撃を受けたのだ。

このように攻撃者は、サプライチェーンの弱点を悪用する。またランサムウェア攻撃では、「攻撃を受けていることを取引先に公表する」と脅すケースもあるという。企業が信頼失墜を恐れて、金銭の支払いに応じることを狙ったものだ。

対策ができていない中小企業が少なくないのはなぜ?

企業がサイバー攻撃の被害を受け、その被害が取引先にも及んだ場合、取引先はどのような対処を行うことが考えられるのか。

2019年に大阪商工会議所が大企業や中堅企業を対象に実施した調査では、採りうる対処として、「口頭や文書での注意喚起」が51%に上った一方で、「損害賠償請求」(47%)や「取引停止」(29%)など、厳しい対応を採ると答えた企業も多く見られた。

サイバー攻撃を受けた企業は被害者ではあるが、取引先から預かった機密情報が漏洩するなどした場合には、同時に加害者の立場にもなるため、重い責任を問われることもありうるというわけだ。

しかし、事業を継続するうえでこれだけのリスクがあるにもかかわらず、なぜ対策ができていない中小企業が少なくないのだろうか。

IPAの「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によると、「過去3年間でセキュリティ対策への投資を行っていない」と回答した中小企業は33.1%。そのうち投資を行わなかった理由として最も多かったのは「必要性を感じていない」(40.5%)、次いで「費用対効果が見えない」(24.9%)、「コストがかかり過ぎる」(22.0%)が上位を占めている。


「サイバー犯罪が脅威だという認識はあっても、自分事化できていない中小企業がまだ多いようだ。またサイバーセキュリティ対策は、営業力や生産力の強化などと異なり、売り上げや利益に及ぼす影響が見えにくい分野。人的資源や資金力に限りがある中小企業としては、優先順位が上がりにくいのだろう」(横山氏)

平時からの防御体制と、有事の際の仕組みを構築

では、余裕のない中小企業は、どう対策を行えばよいのか。横山氏は「防犯や防災と同じ」だと言い、次のように続ける。

「ソフトウェアの更新やセキュリティソフトの利用、設定の見直しなど、基本的な対策から段階的に取り組んでほしい。重要なのは、平時からの防御体制の確立と、有事の際に早期に検知・対応・復旧に取り組めるための仕組みの構築。この両方を意識したい」

まず平時の備えについては、IPAでは中小企業の経営者や実務担当者が、情報を安全に管理するための手順を示した「中小企業の情報セキュリティ対策ガイドライン」を公開している。何から始めればよいのかわかっていない企業でも、理解しやすい内容だ。

またガイドラインの付録「5分でできる!情報セキュリティ自社診断」では、25項目の設問に答えることで自社の脆弱な部分が把握できるほか、項目ごとに具体的な対策例も提示されている。

有事への備えとして活用しやすいのは、IPAが2021年から中小企業向けに始めた「サイバーセキュリティお助け隊サービス制度」だという。これは「相談窓口」「ネットワークや端末の24時間監視」「緊急時の支援」「簡易サイバー保険」など、対処に必要なサービスをワンパッケージで提供する民間サービスの登録制度だ。

現在、35社45サービスが展開されている。ネットワークの監視は月額1万円以下、端末の監視は1台当たり月額2000円以下など、中小企業でも検討しやすい価格設定になっている。

とはいえ、対策のレベルは企業によって異なる。機密性の高い情報を扱っており、被害が発生した際に取引先や顧客にまで深刻な影響を与える可能性が高い場合ほど、より強固な対策が必要になることは言うまでもない。

ただ、難しいのは「自社がどのレベルまで対策を講じる必要があるか」を適切に把握することだ。横山氏は「リスク分析に悩むときは、コストはかかるが、外部の専門家への相談を躊躇しないでほしい」と話す。

IPAの「情報セキュリティ対策支援サイト」では、専門家を探せる「セキュリティプレゼンター検索」というサービスを提供している。全国約1700人の専門家が登録しており、活動地域や取得資格などから検索することが可能だ。例えば中小企業の実情をよくわかっている専門家を求めている場合、「情報処理安全確保支援士」と「中小企業診断士」などクロス検索して候補を絞れる。

さらに、「社内に火元責任者を置くのと同じように、サイバーセキュリティ対策の担当者を置いてほしい」と横山氏は言う。

「今後は、中小企業でもあらゆる面でIT活用が不可欠になっていく。そのため、IT人材を育成するという観点で、対象者にサイバーセキュリティ対策の知見も深めてもらうとよいのではないか。社内で対応が難しい部分は、外部のリソースに委ねるという選択肢も持ち、対策の重要性を社内の従業員に周知していくことも大切だ」(横山氏)


東洋経済Tech×サイバーセキュリティのトップページはこちら

(長谷川 敦 : ライター)