近年、あらゆる組織が高度化・巧妙化するサイバー攻撃の脅威に晒されています。
IPA(独立行政法人情報処理推進機構)が2025年2月14日付けで「2024年度中小企業等実態調査結果」を発表しました。
これは、サプライチェーンを構成する中小企業の、サイバーインシデント(サイバー攻撃によるセキュリティ上の事故)に対する対策状況をまとめたものです。
「2024年度中小企業等実態調査結果」速報版を公開https://www.ipa.go.jp/pressrelease/2024/press20250214.html
この記事では、このIPAの「2024年度中小企業等実態調査結果」報告書(以下、報告書)を元に、近年における中小企業のサイバーセキュリティの実情について書いていきたいと思います。
■セキュリティは不必要?
弊社は、PC端末を2要素認証で強固にセキュリティ保護するサービスを提供しています。お客様とのやり取りの中で、よくこんな状況に遭遇します。
打ち合わせで直接お話させていただくIT部門の担当者様は、セキュリティにも詳しく、その対策の重要性を強く認識されておられます。そのため、すぐにでも製品の導入を行い、サイバーインシデントを未然に防ぎたいと考えていらっしゃいます。
しかし、いざ導入となると、最終的な決定権を持つ上層部にはセキュリティの重要性がなかなか伝わらないという壁にぶつかり、説得するのに非常に苦労するというのです。
もしかすると読者の方の中にも、同じように苦労されている方もいるのではないでしょうか?
この構造は中小企業に限りませんが、どうしてもセキュリティは目に見える効果がわかりにくく、対策が後回しにされていることが多いように感じます。
それらを裏付けるように、約7割の企業がセキュリティ体制が整備されていないことや、セキュリティ対策の対策投資を行っていない企業は約6割に上ることが報告書で明らかにされています。
4. 約7割の企業が組織的なセキュリティ体制が整備されていない
5.過去3期における情報セキュリティ対策投資を行っていない企業は約6割 「情報セキュリティ対策投資をしていない」企業の割合が62.6%でした。2016年度調査の55.2%、2021年度調査の33.1%からさらに増加しています。
また、セキュリティ対策投資について「投資をしていない」と答えた理由について、「必要性を感じていない」、「費用対効果が見えない」、「コストがかかりすぎる」が大部分を占めています。
実際、セキュリティ製品を導入しても、それによって売り上げが上がったり仕事の効率が上がるわけではなく、むしろ不便になってしまうことさえありえます。
弊社製品の例で言えば、各PCにソフトウェアをインストールする手間がありますし、ログオン時に認証デバイスを使う必要があるため、デバイスを持ち歩く必要があったり、管理を行う必要があります。
ここだけを見れば、経営者の立場で考えると企業にとってのプラスをもたらさないように見えるセキュリティ対策が、後回しにされることはごく自然なことのように思えます。
果たしてセキュリティ対策は本当に不必要なものなのでしょうか?
■サイバーインシデントは自然災害ではない
地震や台風などの自然災害であれば、災害による被害の可能性を確実に予想することはできないでしょう。
しかし、サイバーインシデントは自然災害ではなく、必ず人が引き起こすものです。
2.不正アクセスされた企業の約5割が脆弱性を突かれ、他社経由での侵入も約2割
2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業(n=419)について、サイバー攻撃の手口を聞いたところ、「脆弱性(セキュリティパッチの未適用等)を突かれた」との回答が48.0%で最も多く、次いで、「ID・パスワードをだまし取られた」との回答が36.8%でした。「取引先やグループ会社等を経由して侵入」との回答も19.8%あり、サプライチェーン上のセキュリティリスクが読み取れます。
IPAの報告書によると、サイバーインシデントの原因の大部分は、明確に脆弱性(対策の不備)をついたものだということがわかります。
もし、企業がセキュリティ対策をしていないことがわかってしまうと、それだけで攻撃対象となるリスクが急激に上がることは想像に難くありません。
セキュリティ対策をしていない企業にサイバーインシデントが発生していないのは、たまたまサイバー攻撃を受けていないだけ、ということが言えます。
何の対策も行わないまま、ひとたび明確に攻撃対象にされてしまうと、サイバーインシデントは発生してしまいます。
一時期、人口の少ない山間部の集落で、常態的に鍵をかけない民家に強盗が相次いだというニュースが話題になりました。
今までサイバーインシデントが起きていなかったから、これからも大丈夫、と考えるのは軽率だと言えるでしょう。
■サイバーインシデントが発生すると何が失われるのか?
サイバーインシデントの直接的な被害として挙げられるのは、「データの破壊」、「個人情報の漏洩」などです。
1.過去3期内で、サイバーインシデントが発生した企業における被害額の平均は73万円(うち9.4%は100万円以上)、復旧までに要した期間の平均は5.8日(うち2.1%は50日以上)
破壊されたデータの復旧を行うためにかなりの時間を費やしていることがわかります。
復旧するまでに業務が止まってしまうことも考えると、ここで挙げられている被害額の金額以上に、復旧には大きなコストがかかっていると思われます。
インシデント発生に気づいてから被害の状況を調査し、取引先の問い合わせに対応し、被害の復旧を行う…。
それが数日から長くて50日以上ともなれば、経営者や担当者の心労もはかり知れません。
サイバーインシデント発生の対応に追われる当事者のことを考えただけで胃が痛くなりそうです。
しかし、サイバーインシデントの影響はこれだけにとどまりません。
続く報告書の内容では、サイバーインシデントが取引先に影響を与えているかについて報告されています。
3. サイバーインシデントにより取引先に影響があった企業は約7割
サイバーインシデントが発生すると、その影響は直接被害を受けた企業だけではなく、取引先にも影響を与えていることが明らかにされています。
取引先の信用を失うことで、サイバーインシデントの発生前と同じ仕事をしていても「発注をしていただけない」、「商品の販路を提供してもらえない」といった事態に陥り、以降の売り上げにも大きな影響を及ぼすことが考えられます。
信用の回復にはどうしても時間がかかるため、売り上げの減少にとどまらず、事業撤退や会社の存続すらも危ぶまれるといった事態にも発展しかねません。
■セキュリティ対策が売り上げにつながる?
先ほどとは反対に、セキュリティ対策投資を行うことが、取引につながっているという報告もあります。
7. セキュリティ対策投資を行っている企業の約5割が、取引につながった
冒頭ではセキュリティ対策を行っても業務にプラスにならないと考えている企業が多いことを書きましたが、面白いことにこの報告はその逆を示しています。
「セキュリティ対策を行っている」ということを、取引先の企業が取引リスクの重要な判断基準にしていることがこの報告からは伺えます。
サイバーインシデントの報道が繰り返されている昨今、セキュリティ対策が重要、または必須であると考えるようになった企業が増えていることも示していると言えます。
補足
クレジットカード業界の国際セキュリティ基準であるPCI DSSのバージョン4.0では、「カード会員データ環境(CDE)へのすべてのアクセスにMFAが実装されている。」ことが明記されており、すべてのアクセスにセキュリティ対策が必須化されています。
セキュリティ対策が必須である一例です。
■まとめ
報告書では中小企業の多くは、サイバーセキュリティ対策を行っていないことが示されていました。
しかし、一度でもサイバーインシデントを発生させてしまうと、その信用を取り返すことは困難です。
それは中小企業であればなおのことでしょう。
業務が止まり、取引先の信用を失い、次の取引が困難になる。
中小企業の規模でそのインパクトに耐えられるかというと相当困難であることは想像に難くありません。その影響度を考えれば中小企業こそ、十分なセキュリティ対策が必要だと言えるのではないでしょうか。
しかし、中小企業の規模で大きなコストをかけてセキュリティ対策をすることはそれこそ現実的ではありません。
だからこそ、その規模に見合ったセキュリティ対策が必要とされます。
弊社製品には小規模な環境でも、すぐに導入できるPCログオンのセキュリティ対策ソフトがあります。
例えば、「YubiOn WindowsLogon Standalone」は、1台から手軽に導入できるPCログオンセキュリティ対策製品です。まるでPCに鍵をかけるように、かんたんにログオンを2要素認証に強化できます。特に、セキュリティ対策に大きなコストをかけられない中小企業や小規模部門にとって、すぐに始められる対策として最適な製品設計となっています。
まずはPCに鍵をかけることから始めてみてはいかがでしょうか?
■製品リンク
すばやく、かんたんにPC端末の2要素認証を導入
[YubiOn WindowsLogon Standalone]
パスキーでスマートにログオン
[YubiOn FIDO Logon]
引用元
IPA(独立行政法人情報処理推進機構)「「2024年度中小企業等実態調査結果」速報版を公開」