セキュリティ投資額0円の企業も
3月決算の会社では、12月から2月頃にかけて次年度の予算を策定します。
多くの企業では近年、情報セキュリティを含むIT関連の予算の比重が高くなってきていますが、中小企業では様子が異なります。
2024年8月末に発表された東京商工会議所のレポートによると、アンケートへの回答があった1,157件のうち、セキュリティへの備えが必要と認識している企業は79.5%に達した一方で、年間の投資額は“50万円未満が約3割”、“投資していないは約1割”となっており、特に中小企業では、ほぼ半数が50万円未満しか使っていないというのが現実です。
情報セキュリティ対策への投資額
出典:「会員企業の災害・リスク対策に関するアンケート」
2024年調査結果について 東京商工会議所
セキュリティ投資しない理由は?
中小企業のセキュリティ対策に関しては、関係省庁やIPA(情報処理推進機構)などの業界団体でも、何度か調査を行っています。ここ1~2年は、出資額まで踏み込んだ報告はあまりないようですが、いくつかのレポートを見る限り、東京商工会議所の発表は現状を投影したものと言えそうです。
中小企業でセキュリティ投資(対策)が後手に回る理由として、人員と予算の不足が挙げられてきましたが、根底にあるのはサイバー攻撃に対する危機意識の不足でしょう。
このあたりの状況は、IPAが発表した「2021年度 中小企業における情報セキュリティ対策に関する実態調査」、この内容をベースに2~3年後の状況を調査した、三菱UFJリサーチ&コンサルティング(MURC)による「中小企業における情報セキュリティ対策の最新動向」からも読みとることができます(「2021年度 実態調査」はIPAの委託を受けてMURCが実施)。
中小企業の危機意識は後退
サイバー攻撃に対する危機意識ですが、MURCの調査では「被害に遭う可能性を感ずるか」の問いに対し、半数以上の約56%が「いいえ」と答えています。被害に遭わないと考える理由は、“規模が小さく標的にされないと思う”、“重要情報を保有していない”などが挙げられていて、こうした考えに通底するのは、サイバー攻撃に対する実感の無さでしょう。
サイバー攻撃の被害に遭わないと感ずる理由
出典:「中小企業における情報セキュリティ対策の最新動向」
三菱UFJリサーチ&コンサルティング
実際、同調査では対象の約88%が“被害に遭った経験はない”と応じています。
ただし、セキュリティ投資が少ない企業、投資していない組織では、システムに保存されているアカウントや顧客情報の窃取などの被害を受けていたとしても、認識できていない可能性は捨てきれません。
防御は停滞、攻撃は進展
MURCの「中小企業における情報セキュリティ対策の最新動向」では、「2021年度 中小企業における情報セキュリティ対策に関する実態調査」から3年後の変化も分析していますが、総体的には企業の危機感は停滞か後退と判断できる状況です。
企業の意識が立ち止まっている間、サイバー攻撃の標的と頻度、そして手口は刻々と変化しています。まず攻撃が中小企業にも拡がっていること。例えば、ランサムウェア攻撃の発生状況は、中小企業が大企業を上回り、業種を問わず狙われている実態は、警察庁の報告でも明示されています。
ランサムウェア被害の実態
出典:「令和5年におけるサイバー空間をめぐる機能の情勢等について」 警察庁
2023年の後半あたりから目立つ傾向は、業務委託先からの情報漏えいです。
ある病院がランサムウェア攻撃を受けたときの起点は、病院食を供給する業者のシステムへの侵入でした。自治体や企業からデータ処理や印刷業務などを請け負う事業者が攻撃を受け、委託元の大量の機密情報が漏えいした事件も、広く報じられています。攻撃側の実利に結びつく情報を持つと判断された企業は、規模や知名度に関わらず狙われると考えた方がいいでしょう。
もう一つの留意点は攻撃手法です。
ITの要素技術が進歩していく中で、サイバー攻撃だけが停滞することはあり得ません。例えばランサムウェアは、検知を回避する秘匿性や暗号化速度の向上など、技術的な性能は年々上がっています。RaaS(Ransomware as a Service)と呼ぶ形で、プログラム作成、標的の選定、身代金の交渉などのタスクに分業化され、専門知識に欠ける者も攻撃に加担できる基盤も拡がってきました。
攻撃による損失額は?
もし自社がサイバー攻撃を受けたら、どれ位の被害が生ずるのでしょうか。
業界団体や調査会社からは、“中小企業でも数千万円、状況によっては億単位”という話も出てきますが、決して誇張ではありません。組織の規模に関わらず、被害を受けたときはいろいろな処置が発生します。大まかな流れは、初期段階の対応として原因と被害を受けた範囲の調査、状況がほぼ把握できた時点では、システムの復旧と再発防止に向けた作業があります。
費用の一例を挙げると、専門スタッフによる調査は、被害状況にもよりますが200万~300万円。“機密情報がない当社は攻撃対象にならない”と合点し、ログの整備が不十分だった環境では、もう少しかかるかもしれません。復旧と再発防止もシステムの規模と仕様に左右されますが、構築費用の10~30%程度は想定した方がいいでしょう。
機密情報の流出があれば損害賠償が発生します。過去の例では、個人情報なら1件あたり3,000~5,000円。3,000円としても、3,000件流出すれば900万円を負担しなければなりません。コールセンターを3カ月開設すれば、500万から700万円の費用がかかります。
こうした費用を合算すれば、少なくとも2,000万~3,000万円程度はかかるはずです。なお、ここには機会損失による損害と内部の人件費は含まれていません。
コスト削減がランサムウェアを招いた?
関西に拠点を置くあるメーカーでは、VPN装置の保守契約を打ち切った後、不正アクセスとランサムウェア攻撃を受け、億単位の損失が発生したとされています。契約解除はコスト削減が目的だったとすれば、あまりにも高い代償を払ったと言えるでしょう。
セキュリティ対策は、決して高い投資ではありません。
サイバー攻撃の標的は中小企業と委託先にも拡がっています。攻撃者が情報とツールをやり取りするダークウェブや、RaaSのような犯罪の基盤が整備され、手口も進化を続ける現在、少しの投資で被害に遭うリスクを減らす。これが正しい選択ではないでしょうか。
投資と言っても、それほど大きな負担はかかりません。
例えば、ランサムウェアの侵入経路として狙われやすいVPNには、定期的な動作検証と脆弱性の是正が必須ですが、ここは保守サービスの範囲でできるはずです。認証情報の漏えいと悪用防止に有効な多要素認証は、1ユーザーに付き月額数百円から1,000円程度で実装が可能です。
企業内のサーバー、ストレージ、PCなど、個々のデバイス単位でリスクの有無をチェックするエンドポイントセキュリティや、標的型攻撃メールの検出に有効なツールなども、中小企業向けに少ない予算で導入できる形で提供されています。
エンドポイントセキュリティツールに備わる機能の一例
安全対策は企業間取引の前提
セキュリティ投資が必要な理由はもう一つ、事業継続のためです。
現在、大手メーカーなどを軸としたサプライチェーンでは、業界標準のセキュリティ対策の遵守が取引の条件となるケースも少なくありません。
販売先との契約締結時のセキュリティに関する条項・要請の頻度
出典:「中小企業における情報セキュリティ対策の最新動向」
三菱UFJリサーチ&コンサルティング
MURCの調査でも、中小企業の20%以上は取引先から要請を受け、依頼は増加傾向にあるとされています。明確な要請がない環境で活動しているとしても、最低限のセキュリティ対策は企業間取引の必須要件と考えるべきでしょう。
セキュリティ投資が不足していると思われる企業様は、エンドポイントの安全強化、メールセキュリティ、あるいは、自社に関する情報漏えいを検知するダークウェブモニタリングなど、基礎的なツールの導入から検討してください。