中小企業のセキュリティの実態とは?リスクと対策をひとり情シスが解説!【特別講座 詳細レポート】
コロナ禍によって、リモートワークやBCPの環境整備に迫られ、新たにITの専任担当者が緊急で任命されるケースが増えています。特に従業員100名以下の会社では、情シス経験のない管理部門の担当者が任命されるケースも多く、リスキリングの必要性が高まっています。そこでひとり情シス協会は「ひとり情シス大学」として、経験3年未満の初級情シスや基礎から学び直したいひとり情シスの方を対象に講座を開講しています。
今回はスプラッシュトップ株式会社と一般社団法人ひとり情シス協会との共催により、中堅・中小企業の喫緊の課題であるセキュリティ対策の強化についての特別講座を開催しました。
セミナー動画(全編版)はコチラからお申込みでご覧頂けます。(公開期日:2024年4月12日迄)
ひとり情シスの現状
最初に登壇したひとり情シス協会の清水博氏は、ひとり情シスの現状とセキュリティ対策における日米の違いを解説しました。
コロナ禍以降、従業員数100名以下の中小企業でひとり情シスが激増
日本では慢性的な人手不足が問題になっていますが、中でも情シスの人材不足は深刻です。 清水氏によると、情シスの担当者が一人もいない、いわゆる「ゼロ情シス」は中小企業を中心として26万社存在します。
中小企業でもサイバー攻撃の被害が多発している現状で、情シス担当者が一人もいないと企業活動が停止する事態にもなりかねません。26万社に情シス担当者を一人置くと考えると少なくとも26万人の情シス担当者が必要です。
さらに現時点でひとり情シスの企業が4万社存在します。一人で業務を担当すると、担当者に何かあった場合に誰もフォローできなくなってしまいます。そこでゼロ情シスとひとり情シスの会社を複数名体制にするとさらに30万人必要になり、合計で56万人の情シス担当者が必要となる計算です。
中堅・中小企業を取り巻くセキュリティリスク
中堅・中小企業を取り巻く環境の大きな変化のひとつが、セキュリティリスクの増加です。最近では中堅・中小企業がサイバー攻撃の被害を受けたという話も聞かれるようになりました。
企業を脅かす様々なマルウェアがありますが、清水氏が紹介した調査では、日本ではマルウェアのひとつである「Emotet(エモテット)」の検出台数が他の地域に比べて突出して高い結果となっています。北米はサイバー攻撃で標的にされるイメージがありますが、Emotetの検出台数は日本とは桁違いの差があります。
また、サイバーセキュリティ全般についてもアジア太平洋地域が圧倒的に高いことがわかりました。清水氏は「セキュリティリスクが非常に高い国に住んでいるという意識を持たなければならない」と社内のセキュリティ意識を高める重要性を強調しました。
日本のセキュリティリスクが高い理由
「セキュリティ対策はウチには関係ないと考えている企業がまだまだ多い」と清水氏が指摘するように、日本ではセキュリティ脅威に対する危機感が薄いのが実情です。事実、「日米デジタルエンゲル係数比較調査」によると日本のセキュリティ投資金額は従業員1人あたり2,650円なのに対して、米国は24,700円と大幅な開きがあります。「Emotetの検出台数が日本と米国で大きな差があるのも、セキュリティへの防御・対策への投資の差が影響している」と清水氏は指摘します。
次に清水氏が紹介したのが、米国と日本のセキュリティ対策への取り組みの違いです。図の左側が日本のIPAが出している情報セキュリティ指針、その隣が米国の連邦取引委員会であるFTCが、中堅・中小企業向けに出している情報セキュリティ指針です。両者の基本的な要件は同じですが、FTCの指針には日本と異なる点が2つあります。
ひとつが社員全員のセキュリティトレーニング受講に強制力を持たせるということです。米国では3か月ごとにセキュリティトレーニングを開催し、受講していない社員についてはアカウントをロックして、会社のシステムにアクセスできないようにする指針を徹底しています。それによって社員の仕事が停滞したとしても無条件でロックします。
「日本では営業社員から『セキュリティソフトがスキャンするのが遅いので、商談ができない』などと言われ、ひとり情シスの担当者が泣く泣くセキュリティソフトを外す、といったことが頻繁に起きている。セキュリティリスクの面で心配な面が多い」と清水氏は指摘します。
もうひとつの違いは、米国ではデータが漏えいした場合に弁護士に連絡して法的要件を決定し、法執行機関と警察署に連絡するフローがルールで決まっているという点です。このルールを守らないと1日あたり4万ドル(日本円で約520万円)のペナルティがあります。
日本ではこのような義務がなく、自己判断でセキュリティ対策をしなければなりません。「事故が起きてしまうと4万ドルどころではない損害が出てしまう。日本では各企業の自己判断にゆだねられているため、自律的に取り組む必要がある」と清水氏は指摘しました。
ひとり情シス協会認定インストラクターによる「セキュリティ・リスキリング特別講座」
次にひとり情シス協会認定インストラクターの増山大輔氏が登壇。ひとり情シス歴18年の経験を持つ増山氏ならではのわかりやすく実践的なセキュリティ講座となりました。
メールが危ない!
講座の冒頭で増山氏は「セキュリティ以前にメールが危ない」と語りました。ランサムウェアやフィッシング詐欺、標的型攻撃とサイバー攻撃の手口は様々なものがありますが、その多くはメールが起点です。IPAが毎年発表している「情報セキュリティ10大脅威」の上位3つについてもメール経由の被害が多くなっています。
中でも「ランサムウェアによる被害」は2021年から1位を独走しています。ランサムウェアによる攻撃に使われるのが、日本で感染が突出しているEmotetです。Emotetを切り口とした攻撃は次のような流れで行われます。
最初に社員に不審なメールが届きます。メールを開くと、まずEmotetに感染します。企業を城に例えるとEmotetは忍者のように城に忍び込みます。そして不正アクセスができる裏口を作り、悪意のある第三者による遠隔操作を可能にします。言わばEmotetは攻撃のためのプラットフォームのようなものであり、ランサムウェアに感染させる下地作りの役目を担います。
攻撃の下地ができたところで裏口からアクセスしてランサムウェアを感染させ、PCやサーバーを掌握します。ここまでくると攻撃者が意のままにデータを暗号化できるようになり、最終的には「元の状態に戻すための身代金を払え」という脅迫メールが来るという流れです。
またランサムウェアの手口も進化しています。初期の頃はPCをロックして暗号化し、身代金を請求する手口でしたが、現在はファイルサーバーをロックする手口が横行しています。ファイルサーバーのデータをコピーして「身代金を払わなければデータを世間に公表する」と二重に脅迫する手口です。さらに基幹システム全体をロックする被害も発生しています。この場合は伝票の入力すらできない状態になり、全く業務ができません。
「対象が広がり攻撃が高度化するにつれて、請求する身代金も当初は数十万円程度だったものが、最近では億単位の金額を請求されるようになっている。非常に危険な状態だ」と増山氏は警鐘を鳴らします。
起点となる不審なメールは、社内のやり取りのような非常に巧妙な文面で送られてきます。添付されたZipファイルを解凍すると、WordやExcelのファイルが展開されます。ファイルを開き、「コンテンツ有効化」というボタンをクリックすると、Emotetに感染してしまいます。増山氏は「IPAやJPCERTのWebサイトには不審なメールの例が掲載されているので、ぜひ確認してほしい」と呼びかけました。
自社のセキュリティ対策レベルを把握する
セキュリティ対策を実施するにあたり、まずは自社がどこまで実践できているのかを把握する必要があります。簡単に把握する方法として、IPAが提供している「5分でできる情報セキュリティ自社診断」があります。「セキュリティベンダーの提供する診断サービスもあるが、非常に高額なのがネックとなる。まずは自社診断をして自社の対策レベルを把握するのもひとつの方法」と増山氏は解説します。
情シス担当者として、レベルを把握した上で自社に合った対策をすることになりますが、増山氏は自身の経験を踏まえた予算別の対策を紹介しました。
セキュリティ投資は企業の利益に直結しないため予算を確保するのが難しくなりますが「予算がなくてもできることはある」と増山氏は強調します。それが「0円対策」です。増山氏は「0円対策でできないものは、お金をかけてもできない」とセキュリティリスク対策の風土作りを重要としています。OS・ソフトウェアや機器の自動更新を有効化して脆弱性が残らないようにしたり、パスワードを複雑なパターンにして異なるシステムで同じパスワードを使わないようにしたりといった様々な対策が可能です。「特に社内への注意喚起は、不審なメールを開かせないためにも重要な対策だ」と増山氏は語ります。
年間一人当たりの予算のレベル別は、上記で説明した「0円対策」に続き、「2000円対策」「4000円対策」「8000円対策」「18000円対策」があります。各予算別の詳細は、セミナー動画(全編版)にて、コチラからのお申込みでご覧頂けます。(公開期日:2024年4月12日迄)
会社からの理解を得るコミュニケーション術
やるべきセキュリティ対策が明確になったにもかかわらず、予算を確保するのに苦戦する情シス担当者も多いのではないでしょうか。増山氏は「投資について理解を得るには経営層や上司と密にコミュニケーションをとることが大切」と語ります。増山氏は円滑なコミュニケーションのために、セキュリティ事故の事例や今後自社で取り組みたいセキュリティ対策について簡単な資料を作成し、日頃から経営層や上司にメールしているそうです。
「経営層や上司に説明する場合には、数字の例があるとよい」と語る増山氏は、例として次のようなグラフを紹介しました。
このグラフのように、被害を受けた際に復旧に要した期間とかかった費用の総額を定量的に表現すると説得力が増します。「セキュリティ対策だけでなくシステム導入の時も同様の取り組みが必要だ」と増山氏は締めくくりました。
ひとり情シスの達人が伝授「どうやってセキュリティ風土を醸成するか?」
ここからは清水氏がモデレーターを務め、内製型ひとり情シスとして活躍する二宮友和氏、伝説のひとり情シスと呼ばれる黒田光洋氏、そして今回の講師を務めた増山氏によるパネルディスカッションが行われました。
経営層・ユーザー層のセキュリティに対する意識
セキュリティ対策はツールの導入だけではなく、社内全体の意識を高めることも重要になります。
「経営層・ユーザー層のセキュリティに対する意識に変化はあるか」という清水氏の問いかけに対して、「紙での業務が多く、全体的にPCに対するセキュリティ意識は低い。ユーザー層への啓発に苦慮している」(二宮氏)、「経営層の意識は高まりつつあるが、ユーザー層の意識は依然として低い。注意喚起をする地道な活動を続けている」(増山氏)、というように現状の情シスが抱える課題が挙がりました。黒田氏は「親会社が主導でセキュリティ対策を行っており、全体的にセキュリティの意識は高い」と前置きした上で「ウイルスソフトやWindowsを最新の状態に保てていないケースが散見されるため、日々確認して対策を促している」と語り、ひとり情シスが地道な取り組みに奮闘している姿が浮き彫りになりました。
厳しい管理も必要
ここまでの話でユーザー層のセキュリティ意識の浸透に課題があることがわかりました。そこで清水氏は登壇した際に紹介した日本と米国の取り組みの違いについて触れ、「米国のように厳しく管理する必要があるのではないか」と問いかけました。
二宮氏は「システムによっては一定時間を超えると強制的にログアウトする仕組みを組み込んでいる」と語りました。また増山氏の会社ではセキュリティ対策としてEDRとEDRのログを解析するSOCサービスを導入し「明らかに怪しい動作があった場合は強制的にパソコンをロックしている」と語りました。両氏ともユーザーのPCの状況をチェックして個別に注意喚起する取り組みも併せて実施しており、ユーザーの利便性を考慮しつつ、強制力を働かせる取り組みについての苦労が感じられました。
経営層との信頼関係を構築、情シス自身の身も守る
次に清水氏が提起した課題は「セキュリティ対策の投資に向けて、経営層をどのように説得したらよいか」という点です。
黒田氏は「セキュリティ対策をしないという選択にどのようなリスクがあるかを伝えるべき」と語ります。その上で「経営判断で投資をしないという決定は尊重するが、その決定についても記録に残した方がよい。投資しなかった時に限って事故が起きて、情シスが何もしていなかったからだと言われてしまうこともある」と語り、情シス自身の身を守るためにも予算の申請についても記録を残しておくことが重要だと示唆しました。
セキュリティ投資について経営層に働きかけるには、日頃からの信頼関係の構築が必要です。セミナー動画では達人の実践している取り組みが詳しく解説されていますので、そちらもご覧ください。
まとめ
今回の特別講座は、中堅・中小企業を取り巻くセキュリティリスクから、限られた予算内でできるセキュリティ対策まで学べる、実用的なセキュリティ・リスキリング講座でした。パネルディスカッションでは、ユーザー層のセキュリティ意識の醸成と、セキュリティ投資のための経営層・上司との関係構築の重要性が語られ、情シスとしての日頃の取り組みや積み上げた経験がセキュリティ強化につながっていると感じられました。 セキュリティ対策投資に対して経営層を説得することの難しさが話題になり、予算がない中でも何とかセキュリティを強化しようとするひとり情シスの苦労がうかがえました。
スプラッシュトップの調査でも、無料ツールの使用経験がある企業の約85%は現在でも無料ツールを使用している実態が明らかになっています。一方で無料ツールを使用している企業の約半数以上がセキュリティの不安を感じています。無料ツールはコスト削減の観点から合理的な判断であるものの、顧客情報の流出や業務の停止といった不安を抱えながら無料ツールを利用していることが分かりました。
スプラッシュトップではこうした企業の課題に寄り添い、中堅・中小企業で奮闘するひとり情シスの方々をサポートしていきたいと考えています。これからも各種調査の実施やセミナー開催等を通じて、役立つ情報を発信していきます。
セミナー動画(全編版)はコチラからお申込みでご覧頂けます。(公開期日:2024年4月12日迄)
(前回のひとり情シス協会との共催セミナー『ひとり情シスとテレワークの壁』のレポートはこちら)
関連記事
