ESETでは毎年、中小企業に焦点を絞って、世界のセキュリティ状況について調査を行っている。日本はアジア太平洋地域の主要国として分析対象となっている。調査の結果、特に小規模の企業においては、幹部クラスの人物でさえセキュリティ意識が高くないことが判明した。
この記事は、ESETが発行するホワイトペーパー「State of Cybersecurity in APAC: Small Business, Big Threats, by ESET Whitepaper, October 2017.」を翻訳したものである。
背景 アジア太平洋地域における企業セキュリティの状況
これまでサイバーセキュリティは、主にIT部門内の課題として語られてきた。つまり、その分野の専門家だけの議題となってきたきらいがある。だが今日では、「クラッキング」や「ランサムウェア」あるいは「データ侵害」といった言葉が、広くメディアの報道の見出しを飾っており、問題の規模の大きさを物語っている。調査会社であるジュニパーリサーチ(Juniper Research)によると、データ侵害のコストは、2019年までに220兆円(2兆米ドル)ほどに激増すると見られている。わずか4年で4倍にまで膨れ上がると見込まれているのである。
幸い、多くの企業では拡大し続ける脅威への取り組みを強化している。2017年10月、IDCが公開した報告書によれば、2016年には世界中の企業を合わせると約8兆円(737億米ドル)をセキュリティテクノロジー製品に費やしており、これが2020年までには約11兆円(1,000億米ドル)を上回りそうな勢いとなっている。とりわけアジア太平洋地域は新興国における急速なデジタル化を背景に、最も成長の著しい市場になると予測されている。伸び率も、2016~2020年の予測を上回り、年間で13.8%を示している。
中小企業は、専門性の不足やサイバーセキュリティに関連するコストを理由に、なかなかセキュリティ・ソリューションを真剣に検討する姿勢が見えない。しかし、サイバー犯罪者は、消費者と事業者双方が活発にデジタルテクノロジーを利用し始めていることから、アジア太平洋地域を格好の標的として捉えつつある。
中でも小規模ビジネスは、一般に考えられがちなこととは反対に、大企業を攻撃するための第一ステップとしてサイバー犯罪者が目を付けている恐れもある。例えば、2013年にクラッキングを受けたエアコン関連会社のある組織(約4兆3,000億円(390億米ドル)もの損害を受けた)では、下請け業者から盗まれた認証情報によって、その後も攻撃を受け続けたのである。
小規模ビジネスにもサイバーセキュリティは必須
ほとんどの企業が、サイバーセキュリティ・ソリューションにより、データやサービスへのより優れたコントロールやより高い信頼性が得られるといったメリットを理解しているが、販売促進やリソースの節約といった成果への影響については、胸を張れないのが現状である。とはいえ、中小企業のシステム侵害の被害額は平均で約385万円(35,000米ドル)を上回っており、サイバー攻撃に由来する金銭的な損失は、本当の意味でビジネスを傷つけかねない。
さらには、金銭的な損失以上に大きな損失となるものもある。消費者のセキュリティ意識の向上や、製品やサービスにおけるセキュリティへの需要は成長しつつあり、その結果、より優れたセキュリティ対策を実施する企業が、販売でも優位に立てるようになってきている。
すなわち、情報の保護を確実にすることによって、企業は消費者の信頼の上に支えられ、売り上げや利益にも相乗効果をもたらすだろう。現実は、かつての企業は、サイバーセキュリティを「あったらいいもの」としてしか見られなかったが、今や「持たねばならないもの」なのである。
主な論点―アジア太平洋地域の中小企業が知るべきこと
本報告書は、2017年10月にESETが、アジア太平洋地域で行った中小規模のビジネスに焦点を当てた調査の結果を、まとめたものである。
調査結果に見いだされる発見の1つに、サイバー犯罪対策が強化されつつある、ということが挙げられる。規模や市場の地域にかかわらず、大多数の企業が、ウイルス対策ソフトやファイアウォールを活用するようになっている。さらに、中小企業の81%が、システム内のデバイスや情報に暗号化を適用していることも特記される。
しかし調査データは、アジア太平洋地域で情報やコミュニケーションの面で、まだ幾つかの課題があることも示している。過去3年間に半数以上(54%)の調査対象の企業(大企業も中小企業も含む)がサイバー攻撃被害を経験している一方で、依然として56%しか従業員にサイバー侵害を知らせるポリシーを持っていなかった。
顧客対応について言えば、数字はさらに低い。およそ49%の企業しか、顧客とコミュニケーションをとる計画を持っていなかった。大企業は明らかにこの点でより対応責任の重要性を理解しており、60%がこのような計画を持っていた。他方で、中小企業の中でもより規模の小さな企業に至っては、33%にとどまった。
調査結果の要点は、中小企業が、デジタル資産保護対策を強化する必要があることを示している。この規模の半分近く(47%)の企業が、サイバー侵害を過去3年のうちに経験している一方で、少数しか従業員へのサイバーセキュリティの意識向上のような予防措置を講じていないからである。
序論
本報告書では、ESETがアジア太平洋に所在地のある中小企業を対象に行った最近の調査の中でも、最も重要な発見内容がまとめられている。調査の目的は、当該地域の中・小規模のビジネスでのサイバーセキュリティに関連した認識と活動をよりよく理解するためであった。特に、アジア太平洋の経営者やIT専門家が、ビジネス実務でサイバーセキュリティをどれだけ重要だと考えているか、実施している既存のポリシーや手続き、2要素認証や暗号化といった先進的なサイバーセキュリティのテクノロジーについての意見に着目した。
調査は、2016年の9~10月に行われ、5つの市場から1,500人の関係者に対して行われた。対象となった地域は、シンガポール、香港、インド、タイ、日本の5カ国である。
サイバー攻撃のリスク
かつてアジア太平洋は、全体的にはサイバー脅威になじみのない地域であったが、今はそうではない。経済のデジタル化も急速に進んでいる。ちょうど調査を行った2016年秋には、シンガポールの大手通信会社であるスターハブ(Starhub)への巨大なDDoS攻撃が行われた。
大手企業が攻撃を受けた場合、中小規模のビジネスもまた、無害であるわけではない。驚くべきことに、50%以上の企業が過去3年間で何らかのサイバー侵害に遭っている(日本を除く)。インドが最も被害が多く、調査対象企業の73%が過去3年間にシステム侵害を経験しており、香港が続いて61%だった。一方、他の地域と比べると日本は明らかに安全性が高く、過去3年間でサイバー侵害を経験した企業はおよそ29%にとどまった。
サイバー攻撃者が攻撃対象を選択する際には、明らかに組織の規模を考慮している。10社中7社の大手企業が、過去3年間で少なくとも1度はサイバー攻撃を受けており、37%が攻撃を受けた零細企業を上回っている。しかし小規模であっても、サイバー犯罪者の標的として目を付けられている。場合によっては、より大きな企業を攻撃するためのバックドアを仕掛けるために攻撃を受けることもある。いずれにせよ、組織規模の大小にかかわらず、さまざまな不正行為や脅威を退けるために警戒を強め、必要な予防措置を講じておくべきだろう。
過去3年にサイバー攻撃被害の遭った中小企業
攻撃の結果
最近のサイバー攻撃の多発状況を念頭に置くと、アジア太平洋地域ではサイバーセキュリティの関心は高まっており、攻撃の背後にある理由にも注意が向けられている。サイバー攻撃は、バングラデシュ中央銀行を襲ったサイバー攻撃からヤフーからの大量の認証情報の漏えいに至るまで、いついかなる時であれ、いかなる産業であれ、影響を及ぼし得る。
企業にとってサイバーセキュリティ対策は、外部の脅威から自分を守るための第一の防衛線である。しかし、こうした対策を実施するまでには、さまざまな障害が立ちはだかっている。回答の中で22%の中小企業が一般に、従業員が自社のものではないデバイスで社内ネットワークにアクセスできることを最大のセキュリティ脅威として引き合いに出している。また、サードパーティーのサービスプロバイダーやサプライヤーがそれに続いている(19%)。組織の規模が小さければそれだけ、サイバーセキュリティに対しても比較的少ない予算しか組まれておらず、調査結果でも最大の課題として位置付けられている。他方で、中小企業の中でも比較的大きな企業は、こうした懸念を抱えたままにすることも少なく、主なセキュリティ課題として取り上げているのは12~10%程度の企業にとどまる。
資格を持つセキュリティ人材の不足については、タイが最も大きな課題となっている(40%)。一方、より最新のテクノロジーによる脅威を懸念しているのは、インド企業である(35%)。
職場で「BYOD」(=「Bring Your Own Device」の略で、私物端末を仕事に利用すること)文化が浸透するにつれ、中小企業は、特に組織のネットワークへの接続を許可されたデバイスに制限しなければ、さらに攻撃対象として狙われることになる。有線接続・無線接続にかかわらず、自社のネットワークをモニターしているのは、日本においては中小企業の半数強にすぎず(56%)、インド(95%の企業で社内ネットワークを監視)のような他のアジア太平洋地域の国々と比べると非常に低い割合にとどまっている。ネットワーク監視という措置は、潜在的なマルウェアの攻撃を見つけるまでの時間を短縮する上で、極めて重要である。中小規模の企業も、迅速に、被害の影響を抑制したり、問題を起こさないようにするための予防的な対抗策をとるべきであろう。
中小企業におけるコンピューターネットワークの監視状況
被害額
組織がシステム侵害を受けた際の被害として最もはっきり認識されるのは、ほとんどの場合、金銭的な負担額が提示されたときである。この額によっては、ビジネスの持続性に巨大な影響をもたらしかねないからである。全体では、大規模な組織がより巨大な損失(平均で約470万円(42,543米ドル))を被っており、中規模の組織では約380万円(34,464米ドル)、小規模では約250万円(22,996米ドル)となる。また、サイバーセキュリティ侵害について説明責任を果たすためにかかる費用もかさんでしまう。最も負担が大きいのが香港の中小企業で、平均すると1度のシステム侵害について約480万円(43,607米ドル)の被害を与え、他のアジア太平洋の国々での平均額である約390万円(35,439米ドル) を上回っている。これはシンガポールにおける、システム侵害1回当たりの被害額である約405万円(36,690米ドル)を少し下回る程度である。日本もそれよりわずかに少なく、約400万円(36,440米ドル)である。
ビジネス上の懸念材料
情報漏えいが起きると企業は、サイバー事故からの復旧を急ぐと同時に、日々の通常業務に及ぶ抜き差しならない影響にも対処しなければならない。会社の大小にかかわらず、企業の33%が、「サイバー攻撃に遭ったとき一番恐ろしいのは顧客情報の流出である」と回答している。
香港では「会社の生産性への影響」が中小企業にとっての基本的懸念であり、44%が「顧客の連絡先と財務記録の流出」を最大の懸念材料として挙げており、また23%が「漏えいを修復している間の活動休止時間」のことを心配している。この地域の国々を見渡してみると、企業が何を恐れるかという基本の考え方に違いがあることが分かる。例えば日本の中小企業の19%が「会社の評判に傷が付くこと」を気にしているのに対し、インドでは21%が「社員情報の流出」を懸念しているのである。
企業・組織はどのように守られるか
中小企業の現時点での対策
2016年のニュースをにぎわせたランサムウェア攻撃や大規模DDoS攻撃により、中小企業も、その規模にかかわらず、サイバー犯罪から身を守る努力を増し始めている。調査対象となった企業の大半は、何らかのレベルのセキュリティ対策を会社に施している。アジア太平洋地域の中小企業がサイバー脅威に対抗して使っていると答えた最も一般的なツールは、「ウイルス対策ソフト」(82%)と「ファイアウォール」(77%)だった。
ウイルス対策ソフトをインストールする際、最も対策が進んでいたのがタイの中小企業で、実に89%が早くもこの対策を導入していた。他方、香港では86%の中小企業がすでにファイアウォールを取り入れており、この数字はアジア太平洋地域の中で最も高かった。
暗号化や2要素認証のようなより進んだセキュリティ対策についても、状況は同じである。2要素認証の採用率は全体的にかなり低く、一番企業が取り入れていそうなシンガポールでさえ、数字は42%にとどまっている。しかし中小企業はまた、これらの対策をどうしたら適切に実施できるかも考えるべきだろう。というのは、タイの大半の中小企業はサイバーセキュリティ対策として暗号化を採用している(個人データの暗号化80%、転送中データの暗号化73%)が、そのうちでサイバー攻撃を受けたことがあると報告した会社の圧倒的多数が、まさにその「暗号化を狙い撃ちされた」と答えている(92%)からである。
一般的に言って、社員100人以上の規模を持つ中小企業は、これより小さな企業と比べて、サイバーセキュリティ対策を講じている可能性が高い。比較的規模の大きな中小企業の46%が自社システム防御のために2要素認証を導入しているのに対し、零細企業ではたった18%しかない。
中小企業におけるサイバーセキュリティ対策の導入状況
通信障害の際のポリシー
サイバー犯罪者は何カ月もかけて、1つのサイバー攻撃を計画し、標的の脆弱性を研究し、その企業のどこからなら侵入できるかを調べ上げる。残念ながら企業の側には、彼らが仕掛けてくるサイバー攻撃に対処するのに、彼らが準備にかけたのと同じだけの時間の余裕があるわけではない。そのため、IT部門とIT専門家は、万が一セキュリティが突破された場合、できるだけ迅速に対応するほかないのである。
ESETの調査によると、サイバー事故が起きた際、社内および社外との円滑なコミュニケーションが必要とされていることが分かる。
規模の大きな中小企業なら、そのほとんどが、事故に関する情報を社員に伝えるというポリシーを設けている。だが、それを顧客に知らせるというポリシーを持つ企業はそれほど多くない。サイバー事故の顧客への通報を義務付けているのは、規模の大きな中小企業であったとしても59%にすぎない。( 一部翻訳省略 )インドとタイの中小企業は、このポリシーを持つ割合が比較的高い(インドは66%、タイは63%で、調査対象となったアジア太平洋地域の中小企業の中で最高)ので、その顧客は、サイバー事故が起きたらそれを教えてもらえる確率が高いと言えそうだ。ところが日本の中小企業には、どうも事故情報を顧客と共有しようという考えがあまりないようで、そういうポリシーがあると答えた企業は、わずか25%にすぎなかった。
顧客に事故を知らせるというポリシーがあっても、その内容は、さまざまな要因のせいで変わってくる。「事故が起きたら、状況いかんにかかわらず、すぐ顧客に通報する」と決めている企業は、4社に1社だけである。逆に、調査対象企業の21%が、「問題が修復されるのを待ってから顧客に伝える」と回答している。そして最も心配になるのが、「向こうから聞かれない限り顧客に何も言わない」(19%)という数字である。だからこそ、アジア太平洋地域の企業にとって、これから定期的にバックアップを取る習慣を身に付け、事前予防的な仕方で段階を踏み自社のセキュリティ上のニーズを満たしていくことが、喫緊の課題なのである。
事故が起きたときの対応で、社員への情報の通達というのは少しだけ優先順位が高く、調査対象企業の半数以上がこのポリシーを設けている。インドとタイは、「顧客へ連絡」の数字も高かったが、サイバーセキュリティ訓練プログラムを実行して社員教育に努めているという点でも、優等生である(インドは77%、タイでは71%)。これに対し日本は24%にすぎず、最下位だった。規模の大きな中小企業はこの点でも健闘しており、70%が「サイバー事故情報を社員に伝える」というポリシーを持っている。ところが零細企業は、そういうポリシーを設けるつもりだと答えた企業は、40%にすぎない。
安全なサイバー空間への障壁と課題
アジア太平洋地域の71%の企業が、「サイバーセキュリティ対策に今まで以上に投資する必要がある」という意見に同意しているのは、非常に好ましい。特にインドは83%で、この地域で最大の数字を誇っている。会社・組織は、その規模が大きければ大きいほど、サイバーセキュリティ対策にお金をかけることに対する自覚も高い、というのはうなずける。ところが、より小さな企業の場合、それがどうなのかちょっと頼りなくなり、心配である。アジア太平洋地域、とりわけ東南アジアの経済は、中小企業が牽引しており、そこでますます盛んになってきたサイバー攻撃と戦えるだけの投資をすることが、どれほど大切かを強調する必要がある。
今まで以上の投資が必要なことは理解されているが、企業をサイバー攻撃からしっかり防御するためには障壁と課題があるのも確かだ。それらは、企業の規模に応じて異なってくる。
中小企業が直面している課題と障壁は、もちろん乗り越えられないものではない。「経営陣からの支持が問題であり、この地域のビジネスリーダーたちがサイバーセキュリティ対策を自社に施す必要を理解している」と感じているのは、中小企業の18%にすぎない。
これは、今何の対策もとっていない企業にとって、少なくともウイルス対策ソフトとファイアウォールのようなごく基本的な対策を導入するという最初の一歩を踏み出す、またとない機会である。より進んだサイバーセキュリティ対策をすでに備えている企業なら、マネジメント側のこれまで以上のサポートにより、既存の対策をアップグレードするための投資を増やし、それぞれのツールが最大限に効果を発揮できるよう専門家を雇い入れるのが得策だろう。
主な課題 現在のサイバーセキュリティ・ソリューション実装時における難しさ
BYODは今ではごく普通のこととなっており、そのため従業員は職場で自前の端末を使ってネットに接続するのは安全で特に問題のないことだと高をくくっている。しかし実際、このことは大半の中小企業にとっては悪夢に等しい。全体の22%がそれを自社最大の問題として取り上げてすらいる。会社側が自社のデバイスは十全に保護されていると自信を持っている場合でも、個人のデバイスについては管理し切れない。教育し、個々の意識を高めることがいかなるビジネスにおいてもいまだに最優先事項の1つであり続けているのはそのためである。
身軽さと自在性を保つために、中小企業はさまざまなサードパーティーのベンダーやサプライヤーたちと協業している。しかし、こうしたベンダーやビジネスパートナーは中小企業の重要情報を扱う可能性があるにもかかわらず、攻撃を防ぐのに必要なサイバーセキュリティを備えていない場合がある。19%の会社・組織がそうしたリスクのために自社自身でサイバーセキュリティ・ソリューションを備える必要に迫られていると感じている。こうした心配はもっともであり、中小企業としては彼ら自身の対策手段が整うのを待たずしてビジネスパートナーの側が対応策をとってくれるのを期待するわけにはいかない。情報がサードパーティーのベンダーの手元にあるときに安全なのか否か懸念があるならば、中小企業自身が認証システムとネットワークのモニタリングといったオプションを導入することを検討する必要が出てくるだろう。
中小企業が次第に成長するのに伴い、ほかのもっと急を要する要件が出てきた場合、サイバーセキュリティは最優先課題ではなくなることもあり得る。サイバーセキュリティを検討している当のチームがもっと重要と目されるほかの成長分野のプロジェクトを進める任に当たるときには、このことが中心課題の1つとなってくる。中でも比較的大手の中小企業(24%を占める)がその規模をさらに拡大していく際、この問題はより大きな課題となっている。他方、規模の小さな中小企業はこれを大きな問題と見てはおらず、その代わりに資金の手当てという問題に直面している。
主な障壁 現在のサイバーセキュリティ・ソリューション実装時における難しさ
調査対象の企業のうち、ほぼ33%がサイバーセキュリティに関しては資金の確保がその最大の障壁である、と述べている。規模の小さな中小企業は特にそのような資金がビジネス運営上のほかの用途で活用することができる場合には、セキュリティへの投資を正当化することは特に難しいと見ている(35%)。先進国市場においては、こうした十分な予算がないという問題は、もっとはっきりと現れている。例えば、予算が足りないとする企業は日本では40%、シンガポールは34%、香港は28%となっている。それに比べて新興国市場では予算不足と答える企業は、インドが24%、タイでは20%である。この事実は、中小企業のサイバーセキュリティ対策に関して、新興国が先進国の先を行っているということを示している、と解することができるかもしれない。
優秀な人材の不足もまたサイバーセキュリティ導入の際の課題リストの上位に挙げられる。調査対象の会社の27%が自社の雇用対象には経験豊かな専門家が不足しているとしている。サイバーセキュリティがこの2、3年のうちで主要な懸案事項になったということを考えてみると、これは当然の話である。サイバーセキュリティ専門家の需要は最近、それに見合った人材の供給を上回っている。また大企業と異なり中小企業は、関連業務を一括して請け負う事業者に業務をアウトソースする資金を必ずしも持っているわけでもない。
サイバーセキュリティ・ソリューションを導入したりアップグレードしたりする際のもう1つの障壁は、状況が常に変化しているということである。中小企業は自分たちが最新のテクノロジーに投資していないという事態に陥ることを恐れ、いつ、どこで彼らがそのソリューションに投資すべきなのか、確信が持てなくなっている。彼らはまた、その技術が自社の組織に適合するか否かも不確かである。インドの会社はこのジレンマに直面している最たる例だ。国内の中小企業の35%は、テクノロジーが次々に登場してくることが、どのサイバーセキュリティにするのかを確定する際の障害となっている、と述べている。
企業・組織にできること
今こそ中小規模の企業・組織は、サイバーセキュリティを真剣に検討し始めるべきである。半数以上の会社が過去3年の間にセキュリティ漏えいを経験しており、自分たちが標的とされ始めているということを認識している。漏えいが最も多いのはインド(75%)、香港(61%)である。こうした漏えいは経済的な損失を招くだけではなく、信頼を損ない、会社の評判はダメージを受けることになる。
ビジネスを大きくすることが優先事項になることは理解できる。しかし同時に企業・組織は、このデジタル時代においてサイバー攻撃の脅威を無視することはできない。サイバーセキュリティを高めていくために企業が焦点を当てるべきなのは、ここなのだ。
より洗練されたサイバーセキュリティ・ソリューションの探求
概してアジア太平洋地域の中小企業は、基本的なサイバーセキュリティ・ソリューションを備えている。82%の企業はウイルス対策ソフトをインストールしており、78%が自社のネットワークへの不正なアクセスを防止するためファイアウォールを備えている。しかし、それでも54%の企業はいまだデータ漏えいを起こしているのである。
サイバー攻撃に対抗する基本的な構成要素が適切に機能するのは重要なことであるが、他方、アジア太平洋地域の中小企業はこの基本的対策を超えて先を見据えていく必要がある。サイバー攻撃は日々進化しており、必要最小限の対策に頼るだけではもはや十分ではない。彼らは自社のデータを保護しネットワークへのアクセスを制御するために、侵入検知システムや2要素認証(2FA)のような多要素認証の導入を検討する必要がある。今のところ、アジア太平洋の企業の33%が会社の重要情報にアクセスするのに2FAを実施しているにすぎない。
個人のデバイスに、より質の高いセキュリティを課すこと
日本以外では、BYOD文化は市民権を得ており、アジア太平洋のほとんどの市場において推奨すらされている。実際これは、中小企業が直面している主な課題の1つである。残念ながら従業員を教育するためのサイバーセキュリティ啓発プログラムを用意している会社は、わずか59%にすぎない。特に規模の小さな中小企業では深刻な課題で、その手のプログラムを採用しているのは、35%に限られている。
企業が従業員に危険性を警告することなく手持ちのデバイスで機密情報にアクセスすることを許可している場合、社内の全従業員へと攻撃対象域が広がり、企業は情報漏えいの危険に身をさらすことになる。それゆえ、企業の側が不正な、もしくは異常なアクセスをモニターすることのできるサイバーセキュリティ・ソリューションを備えることはもちろんのこと、企業は従業員がサイバーセキュリティの最善の実践をできるように環境を整え、彼らに教育することが重要なのである。
情報漏えいが起きたときに備えてコミュニケーションポリシーを準備する
情報漏えいの際の経済損失は常に憂慮されるが、その一方で企業・組織の評判が受けるダメージも看過できない。評判や信用が企業の重要な要素である日本のビジネス界では、これは特に重要な問題となるはずだ。
情報漏えいが実際に起こらないようにいかに防止するかに力を注ぐのは重要なことである。しかし、漏えいが起こった後にいかに対処するかも、同じように重要である。調査対象の企業の34%が、情報リスクが高まる恐れのあるときには顧客に通知だけでも実施することを検討している。もっと心配なのは、19%の会社は問い合わせがない限りは顧客に通知すらしないことになっているということである。
こうした透明性の欠如は顧客の信頼を損ないかねず、さらにダメージを大きくしかねない。中小企業は自分たちのコミュニケーションポリシーを見直し、いかにそれを改善し得るかを考える必要がある。透明性の高いコミュニケーションを行って情報漏えいを上手にリカバーできれば、それは信用を支え、顧客との関係を改善することに一役買うことができるのである。