サイバー攻撃が中小企業をもターゲットに

テレビや新聞などのマスメディアでもたびたび取り上げられるように、企業・組織を狙ったサイバー攻撃のリスクはかつてないほどに高まっており、多くの企業・組織が被害の当事者になるリスクが生じている。2024年12月に日本ネットワークセキュリティ協会（JNSA）が発表した「JNSA 2024セキュリティ十大ニュース」においても、国内大手のメディア企業をはじめ、自治体や企業から業務委託を請け負っていた企業へのランサムウェア攻撃、宇宙開発を担う行政機関において発生した不正アクセスを原因とする情報漏えいなどを取り上げているが、攻撃の手法の多様化が見て取れる。

そして、近年では中小企業が被害に遭遇するケースも相次いでいる。中小企業の場合、大手企業と比較すると社会的なインパクトが高くないことも関係してか、メディアに取り上げられる機会は少ないものの、被害に遭遇している数は少なくないのが実情だ。

実際、IPAが発表した「2024年度中小企業等実態調査結果（速報版）」によると、「2023年度にサイバーインシデントの被害を受けた」と回答した企業は全回答数の23.3%に上っている。また、サイバーインシデントの被害を受けたと回答した中で「不正アクセス被害を受けた」と回答した企業は43.0%。攻撃によって生じた被害として、「自社Webサイトのサービス停止、または機能が低下させられた」が22.9%、「業務サーバーのサービス停止、または機能が低下させられた」の回答が20.3%となっている。

この調査からも明らかなように、セキュリティ対策が十分とは言えない中小企業はサイバー攻撃の恰好の餌食として狙われているのだ。

中小・零細企業におけるセキュリティ対策、何をするべきか

中小企業におけるセキュリティの課題

先述のIPAの調査では、実際に不正アクセス被害を受けた中小企業に対して、その要因についても深掘りしている。「脆弱性（セキュリティパッチの未適用など）を突かれた」との回答が48.0%、「ID・パスワードをだまし取られた」との回答が36.8%となっており、セキュリティ対策や教育が十分ではなかったことが推察される。

また、こうした状況を裏づける数字も本調査では明らかになっている。「貴社の情報セキュリティ対策はどのような体制で行われていますか。」との設問に対して、図1のように、69.7％が「組織的な対策を行っていない（各自の対応）」を選択しており、セキュリティ対策を従業員個々の対応に依存している状況が調査結果からも垣間見える。

図1：中小企業における情報セキュリティ体制の実情（IPA調査による）

そして、キヤノンMJが2024年12月に実施した「中小企業におけるセキュリティ対策に関する実態調査」では、「セキュリティ対策を実施・運用する上で直面している課題」として、上位から「社内に専門知識を持った人材がいない（44.7%）」、「専任のセキュリティ人材を確保できていない（40.4%）」との回答が続いている（図2）。

図2：セキュリティ対策を実施・運用する上で直面している課題（キヤノンMJ調査による）

この調査を通して見えてくるのは、社内にセキュリティに精通している人材が存在しないことで組織的な対策を実施できていない中小企業の実態だ。昨今のセキュリティ人材のひっ迫状況を踏まえると、こうした実態が当面の間は解消されないことが見込まれる。セキュリティ人材の確保が難しい中で、どのようにセキュリティ対策を講じていく必要があるのかは中小企業にとって大きな課題と言えるだろう。

すぐに取り組める中小企業向けセキュリティ対策

取引先の要求と乖離する中小企業のセキュリティ対策の実態

中小企業においてもセキュリティ対策がもはや必須と言える状況となっているが、近年においては、サプライチェーンリスクを憂慮した大手企業などの取引先から、一定レベルのセキュリティ対策を要請されるケースも少なくない。

キヤノンMJによる先の調査では「取引先から求められている具体的なセキュリティ要件を教えてください。」との設問に対して、上位から「サイバー攻撃を速やかに検知、遮断する対策の実施（41.9%）」、「第三者機関による定期的なセキュリティ監査の実施（32.3%）」、「全従業員への定期的なセキュリティ教育の実施（32.3%）」が高い割合で続いている（図3）。

図3：取引先から求められている具体的なセキュリティ要件（キヤノンMJ調査による）

同調査では、現在もしくは過去1年で実施しているセキュリティ対策についての設問もあるが、「アンチウイルスソフトの導入（74.3%）」、「ファイアウォールの設置（59.4%）」、「セキュリティパッチの定期適用（49.5%）」となっているものの、取引先が求めている、「計画的な従業員向けのセキュリティ教育（35.6%）」、「24時間のログ監視・分析（26.7%）」といった対策の実施率は低く、取引先からの要求との乖離が目立つ結果となっている（図4）。

図4：現在もしくは直近1年で会社で投資しているセキュリティ対策（キヤノンMJ調査による）

こうした結果からも、セキュリティ対策に関する取引先からの要求に対して、適切に対策を講じることができていない中小企業の如実な実態が明らかであり、乖離する状況へのジレンマが透けて見えるとも言えそうだ。

中小企業も他人事ではないサプライチェーン攻撃の危険性とは？

限られるリソースにおいても講じ得る有効な対策とは？

セキュリティ人材の確保が難しく、必要な投資を行うことも難しい。そうした多くの中小企業が抱えるジレンマの解決策とも言えるのがMDR（Managed Detection and Response）だ。MDRはEDR（Endpoint Detection and Response）やXDR（Extended Detection and Response）といった、高度なセキュリティソリューションの設定・運用をアウトソーシングすることができ、初期対応だけでなくインシデント発生時には事後対応まで担ってくれるマネージドサービスだ。

サービスの範囲はセキュリティベンダーによって違いはあるものの、SOC（Security Operation Center）やCSIRT（Computer Security Incident Response Team）の業務を代行するようなサービスも存在する。

つまり、セキュリティに精通した人材が社内にいない場合でも、高度なセキュリティ対策を講じることが可能となるサービスだ。また、いつ何時起こるかわからないサイバー攻撃に対抗するべく、24時間365日で監視・運用を行うだけでなく、インシデント発生時には初動対応を協議しながら進めていくことが可能となる。

キヤノンMJの調査では、MDRの導入を前向きに検討している企業は回答の半数を超える。この結果からも、高度なセキュリティ対策に投資をした方が良いと考える企業が増えており、中小企業の一定数が万一のインシデントによる被害を重く受け止めていることの裏付けと言えるのではないだろうか。

MDRとは？中小企業にも迫られる、サイバー攻撃への予防と対応の必要性

レポートのダウンロードにはお申し込みが必要です