「セキュリティ対策は不要」に立ち向かう――情シスが使える3つの根拠：「うちは困っていない」の対策を考える

IPAの調査で、中小企業の約60％が情報セキュリティ対策に投資していないと回答した。主な理由に「必要性を感じない」があった。しかし、問題が起きた時に対処するのは情シスだ。今からやっておくべき対策は。

[星 陽介，雨輝ITラボ（リーフレイン）]

　IPA（情報処理推進機構）の調査によると、2024年10月〜2025年1月の直近過去3期に情報セキュリティ対策に「投資していない」と答えた中小企業は62.6％（2623件）に上った。「投資していない」と答えた回答者にその理由を聞いたところ、第1位は「必要性を感じていない」（44.3％）だった。続いて、第2位に「費用対効果が見えない」（24.2％）、第3位に「コストがかかり過ぎる」（21.7％）が並んだ。この回答からは、「情報セキュリティ対策の必要性が十分に理解されていないことや、コストに見合う投資なのか確信が持てずに投資を躊躇（ちゅうちょ）している企業の実態」が伺える。

　調査は、IPAが2025年2月に公表した「2024年度 中小企業における情報セキュリティ対策の実態調査」。全国4191社を対象に実施したアンケートの結果をまとめたものだ。しかし、「必要性を感じていない」と言われても、万が一問題が発生した場合、矢面に立たされるのは情報システム部門（情シス）だ。本稿では、「必要性を感じていない」に対抗するための施策を3つ紹介する。

「必要性を感じていない」に立ち向かうには

併せて読みたいお薦め記事

セキュリティの関連記事

• 世界のセキュリティ支出急増、IDC調査で判明した「今すぐ投資すべき3領域」
• セキュリティ運用“もう限界”の理由は「人への依存」と「自動化不足」、フォーティネット調査

　「投資していない」（62.6％）以外にも注目すべき点がある。「投資していない」と答えた企業の割合は、2021年度33.1％から2024年度の62.6％に増加している。サイバー攻撃の報道が増え、被害事例も目にする機会が増えているにもかかわらず、投資の必要性を感じていない企業が増加傾向にある。

　調査結果からは、中小企業のセキュリティ対策に対する意識の問題だけでなく、組織的な構造の問題も見て取れる。

セキュリティ担当者がいない企業が約70％

　調査によると「専門部署がある」と答えた企業は9.3％だった。「兼務だが、担当者が任命されている」と答えた企業は21.0％で、両者を合わせると3割近くの企業が何らかのセキュリティ体制を整備している。しかしこれは、約70％の企業に組織的なセキュリティ体制が整備されていない状態にあることも意味する。

情シスが抱えるジレンマ

　「セキュリティ体制が整備されていない」ということは、「今は困っていない」状態であっても、問題が起きたときに誰がどのように対応するか決まっていないということだ。情シスが経営層に「セキュリティ体制整備の必要性」を訴えようとしても、返ってくるのは「何も起きていないから今はよい」という言葉だ。一方でインシデントが発生した際には対応の遅さから責任を問われる。この板挟みが情シスを苦しめる課題だ。

「困っていない」は「被害がない」ではない　データが示す被害の現実

　「困っていない」は「被害がない」ではないことも数字が示している。

被害額と復旧期間：想定より大きく、長くなる

　IPAの調査では、「2023年度にサイバーインシデントの被害を受けた」と回答した企業975社に被害の実態を尋ねた。その結果、過去3期に発生したサイバーインシデントで生じた被害の平均金額は73万円で、被害の最高金額は1億円だった。100万円以上の被害が発生した企業は全体の9.4％だった。復旧までに要した日数の平均は5.8日で、甚大な被害が生じているのは大企業に限らない実態が明らかになった。

「うちには関係ない」を崩す攻撃の手口

　被害の内訳にも注目したい。「2023年度に不正アクセス被害を受けた」と回答した企業419社に攻撃の手口を尋ねた質問では、第1位が「セキュリティパッチの未適用等の脆弱（ぜいじゃく）性を突かれた」（48.0％）だった。次いで「ID・パスワードの不正利用によるなりすまし」（36.8％）、「取引先やグループ会社等を経由して侵入」（19.8％）と続いた。この結果から分かるのは、特別な技術や高度な手口ではなく、パッチの遅れやパスワード管理の甘さが入口になっている点だ。「弊社には不正アクセスで取られるような重要な情報はないから大丈夫」といった話ではなく、管理の不備がリスクになっていることが分かる。

自社だけで終わらない：取引先への波及

　サイバーインシデントによる被害を自社内で収束させることは困難であることも、調査から分かった。「2023年度にサイバーインシデントの被害を受けた」と回答した企業975社のうち、約70％の企業が「サイバーインシデントにより取引先に影響があった」と答えている。内訳は「取引先にサービスの停止や遅延による影響が出た」（36.1％）、「個人顧客への賠償や法人取引先への補償負担の影響が出た」（32.4％）、「原因調査・復旧に関わる人件費等の経費を負担した」（23.2％）が並んだ。

　「取引先やグループ会社等を経由して侵入」された事例が19.8％あるということは、自社が踏み台にされるケースもあるということだ。「当社から漏れた」「当社を経由して攻撃された」は、企業が説明に窮する事態だ。

「困っていない」の根拠を言語化する

　情シスに求められるのは、「困っていないから大丈夫」という声に同調するのではなく「困っていないことの根拠」を説明できるようにすること。さらに、問題が発生した際にやるべきことを決めておくことだ。以下に、情シスが実務で使える判断軸を3つの観点で整理する。

観点1．自社のIT資産の接続状況を把握できているか

　Webサイト、メール、クラウドツール、VPN（仮想プライベートネットワーク）など、外部に公開している接点は攻撃の入口になり得る。IPAの調査からは、最多の攻撃手口が「脆弱性を突かれた」であることが分かった。そこで、外部と接続している全てのIT資産を把握できるかどうかを確認の出発点にする。資産の棚卸しができていなければ、「被害に遭っていない」ことの確認もできない。

観点2．「インシデントが疑われる状態」を可視化できるようになっているか

　ログを取っているだけでは不十分で、「誰が」「いつ」「何を確認するか」が決まっているかどうかが大切だ。予算や人員の制約がある中で完全な監視体制を構築することは難しくても、「どのログをいつ誰が確認するか」を決めておくことの価値はある。

観点3．インシデント発生時の初動フローが言語化されているか

　サイバーインシデントの被害から復旧までに要した日数の平均は5.8日で、最長360日を要した企業もある。復旧期間の長さを左右するのは、技術力よりも「初動局面で何をするかが決まっていたかどうか」が影響する可能性がある。「誰が」「何を」「どこに報告するか」。この3点を平時に決めておくだけで、有事の混乱を減らすことができる。体制が整っていない企業においてはこの一歩が特に重要になる。

　情シスに求められるのは、「困っていないことの根拠」を説明できることだ。自社のIT資産の接続状況、ログ確認の体制、インシデント時の初動手順の有無を確認し、言語化できたとき、初めて「何が整っていないか」が見える。