IPAの調査で、中小企業の約60%が情報セキュリティ対策に投資していないと回答した。主な理由に「必要性を感じない」があった。しかし、問題が起きた時に対処するのは情シスだ。今からやっておくべき対策は。
IPA(情報処理推進機構)の調査によると、2024年10月〜2025年1月の直近過去3期に情報セキュリティ対策に「投資していない」と答えた中小企業は62.6%(2623件)に上った。「投資していない」と答えた回答者にその理由を聞いたところ、第1位は「必要性を感じていない」(44.3%)だった。続いて、第2位に「費用対効果が見えない」(24.2%)、第3位に「コストがかかり過ぎる」(21.7%)が並んだ。この回答からは、「情報セキュリティ対策の必要性が十分に理解されていないことや、コストに見合う投資なのか確信が持てずに投資を躊躇(ちゅうちょ)している企業の実態」が伺える。
調査は、IPAが2025年2月に公表した「2024年度 中小企業における情報セキュリティ対策の実態調査」。全国4191社を対象に実施したアンケートの結果をまとめたものだ。しかし、「必要性を感じていない」と言われても、万が一問題が発生した場合、矢面に立たされるのは情報システム部門(情シス)だ。本稿では、「必要性を感じていない」に対抗するための施策を3つ紹介する。
「投資していない」(62.6%)以外にも注目すべき点がある。「投資していない」と答えた企業の割合は、2021年度33.1%から2024年度の62.6%に増加している。サイバー攻撃の報道が増え、被害事例も目にする機会が増えているにもかかわらず、投資の必要性を感じていない企業が増加傾向にある。
調査結果からは、中小企業のセキュリティ対策に対する意識の問題だけでなく、組織的な構造の問題も見て取れる。
調査によると「専門部署がある」と答えた企業は9.3%だった。「兼務だが、担当者が任命されている」と答えた企業は21.0%で、両者を合わせると3割近くの企業が何らかのセキュリティ体制を整備している。しかしこれは、約70%の企業に組織的なセキュリティ体制が整備されていない状態にあることも意味する。
「セキュリティ体制が整備されていない」ということは、「今は困っていない」状態であっても、問題が起きたときに誰がどのように対応するか決まっていないということだ。情シスが経営層に「セキュリティ体制整備の必要性」を訴えようとしても、返ってくるのは「何も起きていないから今はよい」という言葉だ。一方でインシデントが発生した際には対応の遅さから責任を問われる。この板挟みが情シスを苦しめる課題だ。
「困っていない」は「被害がない」ではないことも数字が示している。
IPAの調査では、「2023年度にサイバーインシデントの被害を受けた」と回答した企業975社に被害の実態を尋ねた。その結果、過去3期に発生したサイバーインシデントで生じた被害の平均金額は73万円で、被害の最高金額は1億円だった。100万円以上の被害が発生した企業は全体の9.4%だった。復旧までに要した日数の平均は5.8日で、甚大な被害が生じているのは大企業に限らない実態が明らかになった。
被害の内訳にも注目したい。「2023年度に不正アクセス被害を受けた」と回答した企業419社に攻撃の手口を尋ねた質問では、第1位が「セキュリティパッチの未適用等の脆弱(ぜいじゃく)性を突かれた」(48.0%)だった。次いで「ID・パスワードの不正利用によるなりすまし」(36.8%)、「取引先やグループ会社等を経由して侵入」(19.8%)と続いた。この結果から分かるのは、特別な技術や高度な手口ではなく、パッチの遅れやパスワード管理の甘さが入口になっている点だ。「弊社には不正アクセスで取られるような重要な情報はないから大丈夫」といった話ではなく、管理の不備がリスクになっていることが分かる。
サイバーインシデントによる被害を自社内で収束させることは困難であることも、調査から分かった。「2023年度にサイバーインシデントの被害を受けた」と回答した企業975社のうち、約70%の企業が「サイバーインシデントにより取引先に影響があった」と答えている。内訳は「取引先にサービスの停止や遅延による影響が出た」(36.1%)、「個人顧客への賠償や法人取引先への補償負担の影響が出た」(32.4%)、「原因調査・復旧に関わる人件費等の経費を負担した」(23.2%)が並んだ。
「取引先やグループ会社等を経由して侵入」された事例が19.8%あるということは、自社が踏み台にされるケースもあるということだ。「当社から漏れた」「当社を経由して攻撃された」は、企業が説明に窮する事態だ。
情シスに求められるのは、「困っていないから大丈夫」という声に同調するのではなく「困っていないことの根拠」を説明できるようにすること。さらに、問題が発生した際にやるべきことを決めておくことだ。以下に、情シスが実務で使える判断軸を3つの観点で整理する。
Webサイト、メール、クラウドツール、VPN(仮想プライベートネットワーク)など、外部に公開している接点は攻撃の入口になり得る。IPAの調査からは、最多の攻撃手口が「脆弱性を突かれた」であることが分かった。そこで、外部と接続している全てのIT資産を把握できるかどうかを確認の出発点にする。資産の棚卸しができていなければ、「被害に遭っていない」ことの確認もできない。
ログを取っているだけでは不十分で、「誰が」「いつ」「何を確認するか」が決まっているかどうかが大切だ。予算や人員の制約がある中で完全な監視体制を構築することは難しくても、「どのログをいつ誰が確認するか」を決めておくことの価値はある。
サイバーインシデントの被害から復旧までに要した日数の平均は5.8日で、最長360日を要した企業もある。復旧期間の長さを左右するのは、技術力よりも「初動局面で何をするかが決まっていたかどうか」が影響する可能性がある。「誰が」「何を」「どこに報告するか」。この3点を平時に決めておくだけで、有事の混乱を減らすことができる。体制が整っていない企業においてはこの一歩が特に重要になる。
情シスに求められるのは、「困っていないことの根拠」を説明できることだ。自社のIT資産の接続状況、ログ確認の体制、インシデント時の初動手順の有無を確認し、言語化できたとき、初めて「何が整っていないか」が見える。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
