中小企業を狙ったサイバー攻撃が増えている。これまでは大企業が主なターゲットになっていたが、最近は大企業とつながるサプライチェーンに加わる中小企業も危険にさらされている。ところが、中小企業は大企業に比べて備えが手薄だという。情報セキュリティー対策にかける人材やお金をかけられないからだが、最低限、これだけは取り組んでおいたほうがいいことがある。情報セキュリティー対策やIT人材の育成を支援する独立行政法人「情報処理推進機構」(IPA)中小企業支援グループの江島将和さんに、中小企業が何をすればいいのか聞いた。
中小企業に対するサイバー攻撃の実態は、十分把握されているわけではありません。大阪商工会議所が2018年9月から2019年1月までの間、大阪市内の様々な業種の中小企業30社の社内ネットワークに外部からの不正アクセスを検知するセンサーをつけ、サイバー攻撃の実態を調べたことがあります。それによると、30社すべてに不正な通信が確認され、外部から社内端末に対するリモート操作の可能性があったり、社内端末と悪性サイトとの通信が確認されたりしました。中小企業もサイバー攻撃が仕掛けられているという前提で対策を立てなければならない状況だと思います。
サイバー攻撃に対する大企業の備えは、中小企業に比べて格段に進んでいます。大企業に直接攻撃をかけても、入り込むのが難しくなっています。そのため、大企業にサイバー攻撃をかけようとするとき、そのサプライチェーンの中で備えの弱い取引先にサイバー攻撃を仕掛け、その社内ネットワークに忍び込み、企業情報を盗み取ったり、取引先のネットワークを足掛かりにして大企業のネットワークに攻撃をかけたりする傾向が顕著になってきています。その結果、外部の業務委託先企業から情報が漏出する例が増えています。IPAが発行する「情報セキュリティ10大脅威」の中に2018年までは入っていなかった「サプライチェーンの弱点を悪用した攻撃の高まり」が、19年には4位で初登場しました。従ってサプライチェーン全体でセキュリティー対策を向上させる必要があるのです。
問題点として、まず人材不足があげられます。IPAが2018年度に実施した実態調査によると、情報セキュリティー対策の主導者が従業員1~5人の会社では84%が経営者と答えています。6~20人の企業でも56%の会社で経営者が主導しています。小さな会社では経営者が片手間で情報セキュリティー対策に取り組んでいるというのが実態でしょう。一方、301人以上の会社では、34%の会社が「ITや情報システムの担当者」、25%が「情報セキュリティー担当者」など、専門家が情報セキュリティーを担当しており、人手をかけています。
もう一つの問題点としては、情報セキュリティーに対する従業員の意識が低いことです。「ウイルス対策ソフトを入れているので大丈夫!」「ソフトウェアをなぜアップデートしなければいけないの?」という従業員が、まだ多いのです。中小企業は大企業ほど人員の余裕がなく、そもそも情報セキュリティー対策の知識をもった従業員がいない、というのが実情です。
全国8地域(①岩手県・宮城県・福島県②新潟県③長野県・群馬県・栃木県・茨城県・埼玉県④神奈川県⑤石川県・富山県・福井県⑥愛知県⑦大阪府・京都府・兵庫県⑧広島県・山口県)で実証事業を行います。それぞれの地域で100~200社に参加を呼びかけ、今秋から今年度末まで実証事業に取り組んでいます。参加企業には不正アクセスを検知するセンサーを設置し、サイバー攻撃の実態を収集します。大阪商工会議所が実態を調べた例はありましたが、全国的に中小企業へのサイバー攻撃の実態を調べたことはありませんでした。まず実態を調べ、もしもサイバー攻撃があれば、今回の実証事業に各地域で参加しているITシステム業者から中小企業に「お助け隊」が派遣され、事後対応を支援します。
例えば「サイバー保険」の設計に活用できると思います。すでに損害保険会社はサイバー攻撃を受けた会社から顧客情報が流出したり、システムが破壊されたりしたときの損害を補償するサイバー保険を提供しています。しかし、その保険料は中小企業には高い水準で、大企業に比べて加入率が低いのが実情です。中小企業に対するサイバー攻撃の実態が分かれば、リスクをより正確に知ることができ、実態に合った適正な保険料の決定ができるようになります。中小企業に適したサイバー保険のあり方を検討していきますが、それに今回の実証事業の結果を活用する予定です。
IPAは中小企業が情報セキュリティー対策に取り組んでいることを、まず「自己宣言」するよう求めています。そのための「情報セキュリティ5か条」をIPAは定めており、まず次の5項目に取り組んでもらいます。①OSやソフトウェアは常に最新の状態にしよう②ウイルス対策ソフトを導入しよう③パスワードを強化しよう④共有設定を見直そう⑤脅威や攻撃の手口を知ろう、の5項目です。
その通りです。アップデートを常にしていないとソフトウェアの脆弱(ぜいじゃく)性が放置されてしまい、外からの攻撃に対して危険な状態が続いてしまいます。中小企業の場合、全社員がタイムリーかつ確実にアップデートされていないことがあります。
まだ4桁の数字をパスワードにしている人がいますが、これでは1秒ほどで解析されてしまいます。より複雑にする必要があります。誕生日などをパスワードに利用しているケースもあるかもしれませんが、フェイスブックなどのSNSでは、誕生日はもはや公開情報です。生年月日をパスワードに使うのは極めて危険です。
同じパスワードの使い回しも多いと思います。使い回しをしないための工夫として、私は講演などで、同じパスワードの最後にグーグルのパスワードなら「-g」を付け加えたり、ヤフーのパスワードなら「-y」を付け加えたりすることをアドバイスしています。このアイデアはいろんなところで話していますので、別のアルファベットや「-」ではない記号を使うようにした方がいいですよ(笑)。いずれにしても自分なりに工夫して、同じパスワードの先頭や最後に記号と数字か文字の二つを付け加えるだけで、ずいぶん安全になります。
また社内でいろいろな人が使う共有パソコンのID、パスワードも危険です。ID、パスワードを付箋(ふせん)に書いて共有パソコンに貼っている会社があります。社外の人がそれを見ることもありますので、とても危険です。
例えばIoT機器の設定をちゃんと確認することです。インターネットにつながっている社内のウェブカメラや、プリンター、コピー機などの複合機が危険にさらされていることがあります。工場出荷時の初期設定のまま使用するのは危険です。最近は初期設定が少しずつ変わっていますが、ウェブカメラが撮影した画像や、複合機がコピーしたり、スキャンしたりした情報の共有設定が初期設定で広くなっていることがあります。また、初期パスワードの変更を求めない機器もあります。こうした設定のまま使用していると、ウェブカメラをのぞき見されたり、コンピューターウイルスに感染させられたりすることがあります。社内ネットワークにつながった複合機などの初期パスワードを変更し、情報の共有設定を確認したうえで、情報がむやみに共有されないように設定しなおす必要があります。
⑤の手口を知ろう、というのは、最近の攻撃事例をよく知るということです。「オレオレ詐欺」などの特殊詐欺でも、手口がどんどん進化しています。かつては「ATMで振り込んでくれ」という手口でしたが、今は「受け取りに行くから」という風に変わってきました。ネットに対する攻撃も次々と手口が変化しています。最新の手口をよく知っていないと、だまされてしまうのです。
そうです。まずできることから始めることです。IPAは次の段階として「新5分でできる!情報セキュリティ自社診断」として、25の質問を用意しています。ウェブサイト(https://security-shien.ipa.go.jp/learning/)でも簡単に自社診断ができます。一度試してください。
診断結果を点数化していますが、情報セキュリティー対策のセミナーに参加するような中小企業の平均点は、70点ほどです。中小企業全体では、おそらく50点程度ではないでしょうか。自社の現状をしっかり把握し、従業員にセキュリティー対策に取り組ませ、組織としても情報セキュリティー対策のルールを明文化して社内で共有することを勧めています。
サプライチェーンの上流にいる発注企業は、一次サプライヤーだけでなく、二次、三次のサプライヤーにもしっかりとした情報セキュリティー対策を求めるようになっています。中小企業は情報セキュリティー対策に取り込んでいることを取引先にアピールする必要があり、もはや仕事を確保するためにも、情報セキュリティー対策に手をこまねいている状況ではないのです。
1978年、熊本県生まれ。宮崎大学教育学部卒。法政大学大学院イノベーション・マネジメント研究科(MBA)修了。外資系コンピューターウイルス対策メーカー、セキュリティーコンサルティング会社を経て、2014年から独立行政法人「情報処理推進機構」(IPA)で、中小企業における情報処理セキュリティーの調査、分析および研究業務に従事し、「中小企業の情報セキュリティ対策ガイドライン」の改訂や「SECURITY ACTION」制度の創設をリードする。情報処理安全確保支援士集合講習講師。中小企業診断士。
このサイトは、朝日新聞社と読者のみなさまが、中小企業経営の今と未来を考えていく場所です。最新テクノロジーがどのように企業経営を良い方向に変え、社会に価値を生み出していくのか。経営、ビジネスの視点を中心に最新の情報をお届けしていきます。