第23回 中小企業のサイバーセキュリティ対策、そのカギは「見える化」と「社員教育」
~すでにあなたのパソコンは被害を受けている~
コロナ禍の昨年度、三菱電機、ホンダ、NTTコミュニケーションズ等へのサイバー攻撃が大々的に報じられ、11月には世界的なゲーム開発会社であるカプコンがサイバー攻撃を受け、社内情報が流出し、その公開を質に多額の現金を要求するという脅迫事件が勃発し、今も完全解決には至っておりません。マスコミが取り上げるサイバー攻撃に関する被害は大企業のみであり、ニュース性を重視した結果であり、大企業が狙われ、被害を受けているだけではないのです。中小を問わず、すべての企業、そして誰でもがサイバー攻撃を受け、被害を受ける可能性だけでなく、実際に被害を受けているのです。
最近ではサイバー攻撃、そしてサイバーテロともいえる広範囲な被害が想定されて、様々な業界、地域、そして国の機関においても調査が行われています。特に中小企業を対象とした調査結果においては総じて、
(1) マルウェア(コンピュータウイルス)対策ソフトは導入しているものの、それ以上の対策を行っていない。
(2) 迷惑メールを利用し、マルウェア感染を目的とした攻撃については日々受けているものの、深刻な被害を受けていない。
(3) サイバー攻撃自体への危惧はあるものの、対策方法への無知や費用が用立てられず、十分な対策を取り得ていない。
という報告です。すでに4年前の2017年6月、大阪商工会議所では会員である中小企業からサイバーセキュリティ関係の相談が増加していることを受けて、サイバー攻撃に対する意識調査、現状の対策、被害状況についてアンケート調査を行いました。現在の調査結果とさほど変わらないということは、現在における大きな問題点でもあるのですが、特筆すべきは標的型攻撃メールを受けているだけでなく、ランサムウェア(身代金ウイルス)に感染し、各種サーバやパソコンが動作しなくなる被害を受け、しかも要求に応じて身代金を払っている企業が存在することでした。それが1社や2社ではなく、回答に応じた大阪の中小企業315社のうち、22社もあったということです。
それまでも明らかにはされていませんでしたが、すでに中小企業は小さくない割合でサイバー攻撃を受けているだけでなく、被害を受けている、ただそれに気が付いていないだけという仮説が存在していました。ランサムウェアという一つの攻撃手法だけで、それも目に見える形での被害で、無作為に選んだ中小企業のうち7%もの企業が被害に遭っているのです。回答してきた企業がサイバー攻撃に関心がある企業、被害を受けた経験のある企業であるということを考慮しても、被害に気付かない攻撃手法も多いことから、多数の中小企業が実際に被害を受けているのではないかという疑念が一層強くなりました。
そこで大阪商工会議所では神戸大学の協力で、大阪府内の各種業種から任意に選んだ30社の中小企業に、どのようなサイバー攻撃が実際に行われ、被害に遭っているのかということを検知できるセンサを設置し、三か月間において調査し、その検知されたデータを詳細に分析しました。細かな分析結果は1,600ページもの分量で詳細に記述されています。その調査結果における最大の成果は、30社のすべてが何らかのサイバー攻撃を受けていること、多くの企業が当時の最新のサイバー攻撃を受けていること、そして会社内部のサーバ、あるいはパソコンがマルウェアに感染し、情報漏えいや、海外の悪性サイトと交信している企業が5社以上存在したという事実が判明したことです。
この結果は経済産業省等の中小企業に対するサイバーセキュリティ強化に刺激を与え、昨年になって、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)と呼ばれる、業界団体とそのサプライチェーン上にある中小企業を中心に対策を推進する組織を立ち上げ、活動を始めました。その一環として、「サイバーセキュリティお助け隊」なる事業を企画し、中小企業に必要なセキュリティ対策をサービス提供側の基準としてまとめ、それを中小企業が受け入れ可能な価格帯で提供予定です。現在、サービスを申請している企業および企業体の審査を行っているところです。
改めて、今年の3月に、近畿経済産業局と近畿総合通信局が中心となり、関西地方の産官学、すなわち企業、大学、自治体、および民間組織が一体となって組織した関西サイバーセキュリティネットワークでは、近畿2府そして福井県を含む5県での中小企業10,000社に対してアンケート調査を行いました。回答数は1,522社でした。
結果として、サイバーセキュリティ対策を実施していると8割以上が回答していることより、中小企業においても危機意識が浸透しつつあることが示されました。しかしながら、その対策の内容はアンチウイルスソフトこそ9割以上の導入となっているものの、ファイヤーウオールやIDSと言った、いわゆる受け身の簡易的対策装置に頼っている割合が7割弱となっており、マネージトサービスの導入、いわゆるSOC (セキュリティオペレーションセンター)による遠隔監視に至っては2割程度であり、何よりも従業員へのセキュリティ教育の実施が4割程度であることから、十分なセキュリティ対策が必ずしも理解されていないことを意味しています。その理解できない理由は、業務が停止する等、その脅威が実感として捉えられないことによるものです。セキュリティ対策が十分でない企業にヒアリング等で理由を聞くと、サイバー攻撃を受けたことがないとの回答が多いのですが、更に聞くとサイバー攻撃を受けたかどうかわからないと回答しています。サイバーセキュリティの脅威の可視化と、その脅威を理解できるよう従業員すべてにわたる最低限のセキュリティ教育が望まれているのです。さらに中小企業の相談相手としては、パソコンやネットワークを導入しているITベンダが主であり、中小企業に足を延ばすITベンダにおけるSEへの教育も必要です。
実際の被害状況ですが、すべての企業が何らかのサイバー攻撃を受けた経験があり、業務に支障があった攻撃は9割を超えています。特に被害に遭った企業の6%以上がビジネスメール詐欺の被害を受けたと回答し、これは注目すべき結果です。また被害を受けた場合の事後の対策が問題となっています。マルウェア感染やランサムウェア等の被害から復旧するために相当時間が必要となっており、多大な損害を被っていることがいくつか報告されています。事前の対策となる危機管理について考えられておらず、十分な知識や情報がないことも課題となっているのです。