ICTソリューション紹介
-独立行政法人情報処理推進機構-
ますます必要性が高まる中小企業の情報セキュリティ対策

記事ID：D10040

公開日：2024/02/26

ICTの活用により経営効率が向上した反面、機密情報の漏えいや金銭的損失など、情報セキュリティに関する被害が多発しています。一方で、中小企業は経営者の情報セキュリティに対する消極的な姿勢や予算の問題などにより、対策があまり進んでいないのが現状です。そこで情報セキュリティ被害の現況や効果的な対応策を、中小企業の情報セキュリティ対策のスペシャリストである、独立行政法人情報処理推進機構の江島将和氏にうかがいました。

被害届の約6割は中小企業特にランサムウェアを警戒

セキュリティセンター
セキュリティ普及開発・振興部
普及啓発グループ
グループリーダー
江島将和氏

　近年、サイバー攻撃やコンピューターウイルスなどによる情報セキュリティ被害が深刻化しています。独立行政法人情報処理推進機構（以下、IPA）が毎年公開している「情報セキュリティ10大脅威2024」（図1参照）では、社会的に影響の大きい事案として、4年連続で「ランサムウェアによる被害」が1位に選ばれました。狙われた会社だけでなく、顧客やサプライチェーン※1にまで影響を及ぼしかねないランサムウェアの手口はますます巧妙になり、被害金額も高額化していると警鐘を鳴らしています。

　「ランサムウェアとは、身代金を意味するランサムとソフトウェア（ウイルス）を組み合わせた造語で、感染させることでデータを暗号化し、使用不能にして復旧と引き換えに金銭を要求するウイルスの一種です。国内でも最近、世界的な自動車メーカーや国際貿易港の一時的な機能喪失などのニュースが話題を集めましたが、いずれもランサムウェアによる攻撃が原因でした」（江島氏）

図1：情報セキュリティ10大脅威2024

　大企業の被害が大きく報道される一方で、2023年上半期に警察庁に提出されたランサムウェアによる被害届の約6割は、中小企業からのものだったと江島氏は言います。

　「ランサムウェアの被害を受けやすいのは、実は大企業ではなく情報セキュリティ対策が比較的脆弱な中小企業です。中小企業がランサムウェアに感染することで『中小企業の業務をダウンさせることで、結果的に大企業の生産体制を妨害』されたり、『中小企業のネットワークから、つながりのある大会社のシステムに侵入しデータを暗号化』されたりすることもあります。世界的な自動車メーカーが被害を受けた件も、実際に攻撃を受けたのは自動車メーカーに部品を納める会社の子会社でした。同件は、子会社を経由して親会社のシステムがランサムウェアに感染し、部品の生産が停止したことで、結果的に自動車メーカーの国内全工場の稼働が停止する事態にまで発展しました。また、ある大病院では、給食委託事業者のシステムから侵入され、そこからネットワークをたどって病院のシステムが攻撃を受け、電子カルテなどがランサムウェアに感染、暗号化されてしまい、病院はほぼ機能不全状態に陥りました」（江島氏）

被害が深刻化する一方で変化が見られない危機意識

　被害の深刻さが顕著になる一方で、ここ数年中小企業の危機意識や対策にはあまり変化が見られないと、江島氏は指摘します。

　「IPAが公開している『2021年度中小企業における情報セキュリティ対策に関する実態調査』によると、中小企業の3割以上が、直近3年間で情報セキュリティ対策への投資をしていないと回答しています。その理由として、コスト面、費用対効果の見える化をしにくいなどの意見が寄せられましたが、中でも40％以上の企業が『必要性を感じていない』と答えています。2020年度の1年間で情報セキュリティの被害に遭遇したか否かの設問では、84.3％が『被害にあっていない』と答えた一方で、2019年にIPAが中小企業1,000社の協力を得て、各社のシステムにセンサーを設置し、外部からの攻撃調査を行った結果では驚くべきことに、全社のセンサーから何らかのサイバー攻撃の痕跡が発見されました。この結果から、実際に情報セキュリティ被害を受けている企業数は、データ以上に多いのではないかと推測しています。実態調査で『被害にあっていない』と回答した84.3％の企業の中にもサイバー攻撃に気づいていないだけの企業がある可能性は否定できません。またこの調査では、5.7％の中小企業が被害回答を提出しています。現在、中小企業は全国で約336万者が存在しますので、その5.7％は約20万社に相当します。この数字を多いと見るか少ないと感じるかは経営者の考え方次第ですが、情報セキュリティ被害は最早対岸の火事では済まされないと言えるのではないでしょうか」（江島氏）

基本的な5か条の対応で被害の大半は防げる！

　情報セキュリティ対策の必要性は認識しても、多くの中小企業にとって、いきなり精巧かつ高予算の対策を施すのは難易度が高いと思われます。そこで江島氏は、できるところから始められる対策として、IPAが提案する「情報セキュリティ5か条」（図2参照）を実行してほしいと語ります。

図2：「情報セキュリティ5か条」と対応のポイント

　「第1に、OSやソフトウエアは常に最新の状態に保ってください。サイバー攻撃の被害の多くは、アップデートを行わずセキュリティが脆弱化したシステムが受けています。2番目にウイルス対策ソフトは必ず導入してください。あるいは最近のOSはセキュリティ機能が標準搭載されていますので、活用すると良いでしょう。第3にパスワードの強化を実施しましょう。現在のものより長く、複雑なものに変更してください。また同じパスワードを、複数のサービス間で使い回さないようにしましょう。第4は共有設定の見直しです。設定のミス、従業員の異動や退職後の削除を疎かにすることで、無関係な人に情報を覗き見られるトラブルが増えています。そして最後に、攻撃の手口の最新情報を知ってください。危険を敏感に察知できる知識は、情報セキュリティ被害を防ぐ第一歩です。取引先や関係者と偽ってウイルス付きのメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げて、IDやパスワードを盗むなど、攻撃者の手口は年々巧妙かつ悪質になっています。しかし、この5か条を実施することで、大半の情報セキュリティ被害は未然に防げると思います」（江島氏）

　情報セキュリティ問題は、これからより複雑化していくでしょう。しかも、被害は自社のみに留まらず、顧客やサプライチェーンにまで波及するだけに、ある日突然経営に関わる緊急事態が発生したとしても不思議ではありません。それだけに情報セキュリティ対策は、経営陣が率先して「情報セキュリティ5か条」に取り組み、会社全体の意識を改革する必要があると言えそうです。

※1 サプライチェーン: 原材料・部品などの調達から販売によりエンドユーザーに製品が届くまでの一連の流れ。
※2 ファームウェア: パソコン、スマートフォン、通信機器、ゲーム機、デジタル家電など、さまざまなデバイスに組み込まれたハードウェアを動かすためのソフトウェア。
※3: Windows 8以降はMicrosoft Defender （旧Windows Defender）というセキュリティ対策機能がOSに標準搭載されている。
※4 ウイルス定義ファイル（パターンファイル）: セキュリティソフトがマルウェアを検出するための定義情報が入ったファイル。

法人名	独立行政法人情報処理推進機構
創立	2004年（平成16年）
所在地	東京都文京区本駒込2丁目28番8号文京グリーンコートセンターオフィス（総合受付13階）
理事長	齊藤裕
政府出資金	199億9,569万1,983円
事業内容	「サイバーセキュリティの確保」「デジタル基盤の提供」「デジタル人材の育成」を事業の三本柱として、デジタル技術の利用促進により豊かな暮らしを実現し、グローバルコミュニティのメンバーとして、直面する課題の解決に貢献している
URL	https://www.ipa.go.jp/index.html