テクノロジーで変革する中小企業の未来
中小企業を狙ったサイバー攻撃が増えている。これまでは大企業が主なターゲットになっていたが、最近は大企業とつながるサプライチェーンに加わる中小企業も危険にさらされている。ところが、中小企業は大企業に比べて備えが手薄だという。情報セキュリティー対策にかける人材やお金をかけられないからだが、最低限、これだけは取り組んでおいたほうがいいことがある。情報セキュリティー対策やIT人材の育成を支援する独立行政法人「情報処理推進機構」(IPA)中小企業支援グループの江島将和さんに、中小企業が何をすればいいのか聞いた。
―― 大手企業がサイバー攻撃に見舞われる事例は過去にずいぶんありましたが、中小企業も攻撃されることが多くなっているのでしょうか。
中小企業に対するサイバー攻撃の実態は、十分把握されているわけではありません。大阪商工会議所が2018年9月から2019年1月までの間、大阪市内の様々な業種の中小企業30社の社内ネットワークに外部からの不正アクセスを検知するセンサーをつけ、サイバー攻撃の実態を調べたことがあります。それによると、30社すべてに不正な通信が確認され、外部から社内端末に対するリモート操作の可能性があったり、社内端末と悪性サイトとの通信が確認されたりしました。中小企業もサイバー攻撃が仕掛けられているという前提で対策を立てなければならない状況だと思います。
―― なぜ中小企業が狙われるのでしょうか。
サイバー攻撃に対する大企業の備えは、中小企業に比べて格段に進んでいます。大企業に直接攻撃をかけても、入り込むのが難しくなっています。そのため、大企業にサイバー攻撃をかけようとするとき、そのサプライチェーンの中で備えの弱い取引先にサイバー攻撃を仕掛け、その社内ネットワークに忍び込み、企業情報を盗み取ったり、取引先のネットワークを足掛かりにして大企業のネットワークに攻撃をかけたりする傾向が顕著になってきています。その結果、外部の業務委託先企業から情報が漏出する例が増えています。IPAが発行する「情報セキュリティ10大脅威」の中に2018年までは入っていなかった「サプライチェーンの弱点を悪用した攻撃の高まり」が、19年には4位で初登場しました。従ってサプライチェーン全体でセキュリティー対策を向上させる必要があるのです。
―― 中小企業の情報セキュリティー対策は、何が問題なのでしょうか。
問題点として、まず人材不足があげられます。IPAが2018年度に実施した実態調査によると、情報セキュリティー対策の主導者が従業員1~5人の会社では84%が経営者と答えています。6~20人の企業でも56%の会社で経営者が主導しています。小さな会社では経営者が片手間で情報セキュリティー対策に取り組んでいるというのが実態でしょう。一方、301人以上の会社では、34%の会社が「ITや情報システムの担当者」、25%が「情報セキュリティー担当者」など、専門家が情報セキュリティーを担当しており、人手をかけています。
もう一つの問題点としては、情報セキュリティーに対する従業員の意識が低いことです。「ウイルス対策ソフトを入れているので大丈夫!」「ソフトウェアをなぜアップデートしなければいけないの?」という従業員が、まだ多いのです。中小企業は大企業ほど人員の余裕がなく、そもそも情報セキュリティー対策の知識をもった従業員がいない、というのが実情です。
情報セキュリティー対策をリードしているのは誰ですか?
―― 中小企業の情報セキュリティー対策を支援するため、IPAは今年度、経済産業省と中小企業向けサイバーセキュリティー事後対応支援実証事業「サイバーセキュリティーお助け隊」を始めました。具体的にはどんな取り組みでしょうか。
全国8地域(①岩手県・宮城県・福島県②新潟県③長野県・群馬県・栃木県・茨城県・埼玉県④神奈川県⑤石川県・富山県・福井県⑥愛知県⑦大阪府・京都府・兵庫県⑧広島県・山口県)で実証事業を行います。それぞれの地域で100~200社に参加を呼びかけ、今秋から今年度末まで実証事業に取り組んでいます。参加企業には不正アクセスを検知するセンサーを設置し、サイバー攻撃の実態を収集します。大阪商工会議所が実態を調べた例はありましたが、全国的に中小企業へのサイバー攻撃の実態を調べたことはありませんでした。まず実態を調べ、もしもサイバー攻撃があれば、今回の実証事業に各地域で参加しているITシステム業者から中小企業に「お助け隊」が派遣され、事後対応を支援します。
―― 今年度については参加企業に「お助け隊」が派遣されるなど、役に立つとは思いますが、来年度以降、実証事業の結果はどのような施策に活用されるのでしょうか。
例えば「サイバー保険」の設計に活用できると思います。すでに損害保険会社はサイバー攻撃を受けた会社から顧客情報が流出したり、システムが破壊されたりしたときの損害を補償するサイバー保険を提供しています。しかし、その保険料は中小企業には高い水準で、大企業に比べて加入率が低いのが実情です。中小企業に対するサイバー攻撃の実態が分かれば、リスクをより正確に知ることができ、実態に合った適正な保険料の決定ができるようになります。中小企業に適したサイバー保険のあり方を検討していきますが、それに今回の実証事業の結果を活用する予定です。
―― 「お助け隊」の事業に参加している中小企業は、全体から見れば少数です。多くの中小企業は、どこから情報セキュリティー対策に取り組めばいいのでしょうか。
IPAは中小企業が情報セキュリティー対策に取り組んでいることを、まず「自己宣言」するよう求めています。そのための「情報セキュリティ5か条」をIPAは定めており、まず次の5項目に取り組んでもらいます。①OSやソフトウェアは常に最新の状態にしよう②ウイルス対策ソフトを導入しよう③パスワードを強化しよう④共有設定を見直そう⑤脅威や攻撃の手口を知ろう、の5項目です。
情報セキュリティー対策を進める際の課題は何ですか?
―― ①はソフトウェアのアップデートを忘れずに実行するということですね。
その通りです。アップデートを常にしていないとソフトウェアの脆弱(ぜいじゃく)性が放置されてしまい、外からの攻撃に対して危険な状態が続いてしまいます。中小企業の場合、全社員がタイムリーかつ確実にアップデートされていないことがあります。
―― ②のウイルス対策ソフトの導入は当然のことだと思いますが、パスワードの強化はなかなか難しいですね。同じパスワードを使い回しているのが実態ではないでしょうか。
まだ4桁の数字をパスワードにしている人がいますが、これでは1秒ほどで解析されてしまいます。より複雑にする必要があります。誕生日などをパスワードに利用しているケースもあるかもしれませんが、フェイスブックなどのSNSでは、誕生日はもはや公開情報です。生年月日をパスワードに使うのは極めて危険です。
同じパスワードの使い回しも多いと思います。使い回しをしないための工夫として、私は講演などで、同じパスワードの最後にグーグルのパスワードなら「-g」を付け加えたり、ヤフーのパスワードなら「-y」を付け加えたりすることをアドバイスしています。このアイデアはいろんなところで話していますので、別のアルファベットや「-」ではない記号を使うようにした方がいいですよ(笑)。いずれにしても自分なりに工夫して、同じパスワードの先頭や最後に記号と数字か文字の二つを付け加えるだけで、ずいぶん安全になります。
また社内でいろいろな人が使う共有パソコンのID、パスワードも危険です。ID、パスワードを付箋(ふせん)に書いて共有パソコンに貼っている会社があります。社外の人がそれを見ることもありますので、とても危険です。
―― ④の共有設定を見直すとは何をするのですが。
例えばIoT機器の設定をちゃんと確認することです。インターネットにつながっている社内のウェブカメラや、プリンター、コピー機などの複合機が危険にさらされていることがあります。工場出荷時の初期設定のまま使用するのは危険です。最近は初期設定が少しずつ変わっていますが、ウェブカメラが撮影した画像や、複合機がコピーしたり、スキャンしたりした情報の共有設定が初期設定で広くなっていることがあります。また、初期パスワードの変更を求めない機器もあります。こうした設定のまま使用していると、ウェブカメラをのぞき見されたり、コンピューターウイルスに感染させられたりすることがあります。社内ネットワークにつながった複合機などの初期パスワードを変更し、情報の共有設定を確認したうえで、情報がむやみに共有されないように設定しなおす必要があります。
⑤の手口を知ろう、というのは、最近の攻撃事例をよく知るということです。「オレオレ詐欺」などの特殊詐欺でも、手口がどんどん進化しています。かつては「ATMで振り込んでくれ」という手口でしたが、今は「受け取りに行くから」という風に変わってきました。ネットに対する攻撃も次々と手口が変化しています。最新の手口をよく知っていないと、だまされてしまうのです。
―― まずはこの5項目を社内で確認し、情報セキュリティー対策に取り組み始めることが重要ですね。
そうです。まずできることから始めることです。IPAは次の段階として「新5分でできる!情報セキュリティ自社診断」として、25の質問を用意しています。ウェブサイト(https://security-shien.ipa.go.jp/learning/)でも簡単に自社診断ができます。一度試してください。
診断結果を点数化していますが、情報セキュリティー対策のセミナーに参加するような中小企業の平均点は、70点ほどです。中小企業全体では、おそらく50点程度ではないでしょうか。自社の現状をしっかり把握し、従業員にセキュリティー対策に取り組ませ、組織としても情報セキュリティー対策のルールを明文化して社内で共有することを勧めています。
サプライチェーンの上流にいる発注企業は、一次サプライヤーだけでなく、二次、三次のサプライヤーにもしっかりとした情報セキュリティー対策を求めるようになっています。中小企業は情報セキュリティー対策に取り込んでいることを取引先にアピールする必要があり、もはや仕事を確保するためにも、情報セキュリティー対策に手をこまねいている状況ではないのです。
江島 将和(えじま・まさかず)
1978年、熊本県生まれ。宮崎大学教育学部卒。法政大学大学院イノベーション・マネジメント研究科(MBA)修了。外資系コンピューターウイルス対策メーカー、セキュリティーコンサルティング会社を経て、2014年から独立行政法人「情報処理推進機構」(IPA)で、中小企業における情報処理セキュリティーの調査、分析および研究業務に従事し、「中小企業の情報セキュリティ対策ガイドライン」の改訂や「SECURITY ACTION」制度の創設をリードする。情報処理安全確保支援士集合講習講師。中小企業診断士。
- 人材育成
- 事業成長
- AI
- オフィス
- 福利厚生
- 最先端技術
- PC
- プリンター
- 中小企業
- 機械学習
- 伝統
- 投資
- つながる
- 生産性向上
- 少子高齢化
- サイバーセキュリティ
- データドリブン
- 魂の中小企業
- テクノロジー
- 日本酒
- ITC
- 食文化
- 衛生管理
- 商品開発
- 発創カンパニー
- けいざい+
- 顧客開発
- 自然米
- 居酒屋
- 新規需要開拓
- 資金調達
- フィンテック
- スタートアップ
- 物流
- アフターコロナ
- ニューノーマル
- アイデア家電
- 弁当
- アウトドア
- オープンファクトリー
- 工業デザイン
- 鋳造
- 表面処理
- 燕三条
- アウトドア用品
- キャンプ場
- パン
- トースター
- デザイン
- ニット
- 繊維
- 紡績機
- 和紙
- 冷却設備
- センサー
- ロボット
- ファストファッション
- ネット通販
注目の記事
Editor's Pick
気になるキーワード
- 全て
- 人材育成
- 事業成長
- AI
- オフィス
- 福利厚生
- 最先端技術
- PC
- プリンター
- 中小企業
- 機械学習
- 伝統産業
- 投資
- つながる
- 生産性向上
- 少子高齢化
- サイバーセキュリティ
- データドリブン
- 魂の中小企業
- テクノロジー
- 日本酒
- ITC
- 食文化
- 衛生管理
- 商品開発
- 発創カンパニー
- けいざい+
- 顧客開発
- 自然米
- 居酒屋
- 新規需要開拓
- 資金調達
- フィンテック
- スタートアップ
- 物流
- アフターコロナ
- ニューノーマル
- アイデア家電
- 弁当
- アウトドア
- オープンファクトリー
- 工業デザイン
- 鋳造
- 表面処理
- 燕三条
- アウトドア用品
- キャンプ場
- パン
- トースター
- デザイン
- ニット
- 繊維
- 紡績機
- 和紙
- 冷却設備
- センサー
- ロボット
- ファストファッション
- ネット通販
生成発展
絶えず活動しながら発展する
このサイトは、朝日新聞社と読者のみなさまが、中小企業経営の今と未来を考えていく場所です。最新テクノロジーがどのように企業経営を良い方向に変え、社会に価値を生み出していくのか。経営、ビジネスの視点を中心に最新の情報をお届けしていきます。
