中小企業だからこそ重要な「リスク前提」のサイバーセキュリティ対策

脅威は会社の規模を問わず襲ってくる 「万全な対策は存在しない」情報セキュリティ

多くの中小企業にとって、サイバー攻撃の被害に遭うのは大企業であると思われがちで、「自分ごと」として捉えられていないのが実情だ。独立行政法人情報処理推進機構(IPA)の調査によると、情報セキュリティ対策を進める上での課題点として、最も割合が高かったのは、56.6%の回答者が答えた「従業員の意識がまだ低い」であるという。しかし、サイバー攻撃は会社の規模を問わずいつでも襲ってくる。

IPAが発表した「情報セキュリティ10大脅威」の2020年版では、「内部不正による情報漏えい」が前回の5位から2位に、「予期せぬIT基盤の障害に伴う業務停止」が圏外から6位に浮上した。
こうした背景には、働き方改革の推進により社内で利用する情報端末が増えたことや、近年発生した大規模な自然災害やシステム障害などの影響が大きく、企業が非常時でも事業を継続できる体制を見直す契機となっている。

さらに現在は、新型コロナウイルス感染防止対策の一環としてテレワークが急増したことによる情報セキュリティリスクも高まっている。
例えば、急遽テレワークを実施することになり私物のPCを使ったところ、情報セキュリティ対策が不十分でコンピュータウイルスに感染してしまうといったケースや、テレワークで使用するパソコンを家族と共有していたため、家族の不注意により機密情報が外部に漏洩してしまう、といったケースが考えられる。

また、今後はAIやIoTを活用した企業活動を標的とした新たなサイバー攻撃の脅威も予測されている。特に、急拡大するIoTの活用においては、物理的に外部ネットワークにつながっていないシステムや機器であっても、持込み端末やソフトウエアを機器のインターフェイスやネットワークに接続して利用するなかで、間接的に外部とつながりマルウエア侵入を許してしまい、重大インシデントが発生してしまうといったケースもある。企業が保護しなければならないデバイスやアプリケーションの数は大幅に増えるとみられており、ネットワーク全体のセキュリティ強化が求められている。

いまだに多くの中小企業では、サイバーセキュリティに対する優先順位が低い状況

「中小企業の4社に1社は、今もなおサイバー攻撃への対策は行っていない」「サイバー攻撃への対策は、他の経営課題より優先度が低い」（日本損害保険協会）というのが多くの中小企業の現状である。それは、経営層や従業員が「情報セキュリティ」ではカバーしきれていない、インターネット、WAN、LANリソースなどのコンピューターネットワーク（の利用）を狙ったサイバー攻撃の脅威に対する理解やイメージができていないために、サイバーセキュリティ対策が進みづらいという実態があるようだ。

他に考えられる要因はサイバーセキュリティにコストをかけられない、直接的に利益とはつながらないサイバーセキュリティには先行投資しづらい、専門知識を持った人材やサイバーセキュリティ要件を正確に理解していないなどが挙げられ、それによって情報セキュリティ管理（ISMS）のPDCAサイクル（図1）を継続的に回し続けられない企業が多々存在する。

（図1：ISMSのPDCAサイクル）

しかし、サイバー攻撃は、タイミング、組織の規模にかかわらずいつでもどこにでも襲ってくる。中小企業でも、さまざまな業種で「ランサムウエアウイルスに感染する」「従業員がメールに添付されていたファイルを開き、ウイルス感染により自社の基幹システムが書き換わる障害が起こる」「独自のシステム使用時にパソコン画面が動かなくなる」といった被害が日々増えているのである。

まずはガイドラインで自己診断
リスク対策の優先順位をつけることから

既述のように、情報セキュリティ対策に「ここまで実施すれば十分」といった指標は存在せず、サイバー攻撃を完全に防止することは不可能に近いのが現状である。その結果、リスクマネジメントへの取り組み方も「いかにリスクを予防するか」という考え方から、「いかにリスク発生前提のもとで備えるか」という考え方に大きくシフトしてきている。

中小企業では、サイバーセキュリティに関して何から対策を打つべきか、悩む企業も少なくはないだろう。大企業のように、CISO（最高情報セキュリティ責任者）やCSIRT^※といった情報システムのセキュリティに特化した部隊を社内組織に設置することも対策の一歩となるが、人員面やコスト面でも負担がかかる。

 (※) CSIRT : Computer Security Incident Response Teamの略。「コンピュータセキュリティインシデント」に関する報告を受け取り、調査し、対応活動を行う組織体の名称。

そこで紹介したいのが、「中小企業の情報セキュリティ対策ガイドライン」（IPA）というサイバーリスクの評価基準である。

このガイドラインに沿ったリスク対策で特に重要なのが、「リスクの洗い出し」である。具体的には、次の2点を踏まえてサイバー攻撃のリスクと向き合うことが推奨されている。一つ目は、「外部状況のリスク」の洗い出しである。こちらは法律や規制、情報セキュリティ事故の傾向、取引先からの情報セキュリティに関する要求事項などを対象とする。二つ目は「内部状況関連のリスク」の洗い出しであり、経営方針、情報セキュリティ方針、管理体制、情報システムの利用状況などが対象となる。（「IPA中小企業の情報セキュリティ対策ガイドライン」）

中小企業にこそ重要なリスクベースアプローチという考え方

「リスクの洗い出し」から始める対応方法は、「リスクベースアプローチ」と呼ばれている。企業単位で現状のサイバー攻撃における脅威・リスクを特定、評価し、リスクの優先順位にそって適宜対策を講じるという方法である。
情報セキュリティレベルをより強固にするためには、「中小企業の情報セキュリティ対策ガイドライン」にある経営的、組織的、技術的な対策例と活用や詳細リスク分析に注目することが効果的と考えられる。
リスク分析の手順については、第一に「情報資産の洗い出し」、次に「リスク値の算定」、最後に「情報セキュリティ対策の決定」を行うといったフローを実施するために、取り組むべき具体的なリスクの判断基準や試算方法について掲載されている。
優先度の高いリスクを「リスク値」として順位をつけ、リスク「大」のものには優先的に対策を実施、リスク「中」のものには対策を実施、リスク「小」のものには現状維持するなどリスクベースアプローチを行い、これによりコスト、人員面で負担の少ない効率的なリスク対策や適切なセキュリティソリューションの導入が実現される。（図2）

（図2：リスクの優先順位付け）

情報ネットワークが拡大を続ける現代、情報セキュリティに対する意識をこれまで以上に高く持ち、リスクから組織を守る取り組みを優先的に進めることがますます重要となっている。
企業規模に関係なく、リスクは起こるものという前提でリスクベースアプローチを実施し、影響を最小化するための対策に取り組むべきであろう。

◎製品名、会社名等は、各社の商標または登録商標です。