2021.09.15. 中小企業の倒産リスクを軽減するためのセキュリティ対策が急務

中小企業のセキュリティ対策の現状とは

セキュリティ対策の甘さが目立つ中小零細企業

中小企業庁は「中小企業白書」において、情報セキュリティ対策の実施状況を企業規模別に比較しています。中小企業は、大企業と比較して対策を実施している企業が2割程度少なく、セキュリティ監視ツールの導入等の「監視体制」は5割弱となっています。中小企業においてセキュリティ対策が進んでいないことは顕著です。

同白書によれば、約6社に1社の割合で情報セキュリティ上の被害が発生しており、システムトラブル（67.6%）、コンピューターウイルス（48.6%）、不正アクセス（7.2％）と実に高い数字になっています。

そして、注目すべきは「売上規模別」に見た中小企業における情報セキュリティトラブルの被害額です。被害の発生割合を企業の売上規模別に見ると、売上10億円以下の企業では、なんと64.7％の企業で被害が発生しています。売上規模の小さい企業ほど、実被害の発生割合が高くなっているのです。被害の発生は、中小零細企業の経営に大きな影響を及ぼしうるため、十分な対策を講ずる必要があると言えるでしょう。

サイバー攻撃で倒産に追い込まれる中小企業は珍しくない

米国機関の調査「America's Small Businesses Must Take Online Security More Seriously」によれば、サイバー攻撃を受けた中小企業の約60％が半年以内に倒産しているというデータがあります。データ侵害が発生した際に、企業にのしかかる平均コストは、11万7000ドル（日本円で約1300万円）とも言われます。資本力に乏しい小規模組織にとっては、この財務的な打撃により廃業に追い込まれるケースも珍しくないのです。

中小企業が抱えるセキュリティリスク

日本企業で進まないデータの一元管理

欧米諸国では、Googleドライブなどをはじめとした共有ファイルを活用し、業務データを一元管理しているのが一般的です。しかし、日本ではファイルをメールに添付して共有し、従業員個々人が使用するPC（ローカルディレクトリ）にファイルを保存することが多く見受けられます。一つのファイルで済むものが、多数の人に分散していれば、それだけセキュリティリスクも高まることになるのです

社員の端末のセキュリティ対策が不十分

2020年以降、新型コロナウイルスの影響により企業のテレワーク対応が進みました。東京都が発表した調査によると、2020年4月時点でテレワークを導入している企業は62.7%となり、3月時点の24.0%から1ヶ月程度で約2.6倍に増加しています。しかし、多くの中小零細企業はテレワークへの対応が追いついておらず、会社のモバイルPCを貸与せずに、プライベートPCを利用しているケースが目立ちます。セキュリティソフト未導入の私用PCにウイルスが侵入してしまい、会社全体に影響が及ぶケースが非常に増えているのです。

【特別インタビュー】中小企業がサーバー犯罪の被害を被った事例

中小企業がサイバー犯罪の被害を被った事例について、「デジタルフォレンジック事業」を推進するアスエイト・アドバイザリー株式会社 代表取締役 田中 大祐 氏にお話しを伺いました。

記者：そもそも「デジタルフォレンジック」とは何ですか？

田中：一般的にあまり耳にすることがない「フォレンジック」とは、「法廷」に関することを意味する言葉です。デジタルフォレンジックとは、不正アクセスやデータ改ざん、遠隔操作などのサイバー犯罪に対して、証拠の保全と分析を行うことです

記者：中小企業からの相談割合はどれくらいありますか？

田中：弊社に寄せられる相談の半数以上は中小企業です。セキュリティ対策に不備があった企業様がほとんどです。

記者：具体的にはどのような相談を受けているのでしょうか？

田中：大きく二つに分けると「サイバー攻撃」と「社員による意図的な情報漏洩」です。サイバー攻撃の場合は、 WEBサイトが改ざんされたり、ECサイトからクレジットカード情報が引き抜かれたりと様々です。これらの被害について、サーバーのログ、セキュリティツールのログ解析をして「いつ」「どのように」起こったのか、また「漏洩した情報」の確認を行います。社員による情報漏洩の場合は、他の社員からの通報や取引先からの連絡で発覚することもあります。

記者：中小企業のセキュリティ対策は甘いと言われますが、これは本当ですか？

田中：やはり甘いですね。何もやっていない会社もたまに見受けられますが「セキュリティツールだけをなんとなく入れているだけ」という会社が多いように感じます。「セキュリティツールを入れる目的を理解していない」「業者に言われるがままに入れただけで放置している」「更新していない」など、そもそも、セキュリティツールで何ができるか理解していない担当者も多くいらっしゃいます。会社の業務に適したセキュリティ対策の運用ができていなければ、サイバー攻撃や情報漏洩を防ぐことはできません。

記者：なぜ、セキュリティツールの運用がうまくいかないのでしょうか？

田中：「エンドポイントセキュリティ」という言葉をご存じでしょうか。エンドポイントとは「末端」や「終点」を意味します。つまり、PC、スマートフォン、タブレットなどの端末機器を指します。これらに保存している情報をサイバー攻撃から守るのが、エンドポイントセキュリティです。

このエンドポイントセキュリティの具体例を申し上げると、例えば、アラートが出るとログが上がって来ますが、実は「担当者が見ていない」ことが多いのです。そもそも、セキュリティソフトは、攻撃の検知の取りこぼしをなくすためにアラートを広く取ることが多いので、担当者がアラートに見慣れてしまい「本当に必要なアラート」を見逃してしまうのです。

記者：狼少年のような状況になってしまうわけですね。会社に適したセキュリティ対策ができていないとはどういうことですか？

田中：例えば、社外とコンタクトを取る必要がある営業社員が社内には少ないのに、メールを送るのに何重も承認が必要なセキュリティツールを入れているケースです。エンドポイントにしても、外部にパソコンを持ち出さない内勤社員のPCにエンドポイントセキュリティを入れても意味がありませんよね。エンドポイントセキュリティを入れる目的は、サイバー攻撃から守ることもありますが、USBを差してログをとったり、使用制限をしたりするためにあったりします。
無駄なコストをかけないためにも、個々のセキュリティ機能の必要性を検討する議論が必要です。内勤業務が主体の会社によっては、エンドポイントセキュリティではなく、サーバーのファイアウォールに力を入れるべきです。セキュリティの運用には、「可用性」（稼働にどこまで影響を与えるのか）、「機密性」（機密がきちんと守られているのか）、「完全性」（セキュリティ範囲の網羅性）のバランスが必要です。

記者：中小企業がサーバー攻撃に狙われて被害を被った事例について教えてください。

田中：1つ目は、サイバー攻撃によって顧客の個人情報が外部に漏洩してしまったA社の事例です。A社は保険にも加入していなかったこともあり、数千万円の損害賠償金が発生しました。更には、セキュリティやサーバーの入れ替え費用、弁護士費用、当社のサイバー調査費用、顧客対応のためのコールセンター設立など総損害額は1億円以上となり、A社の経営は、すっかり傾いてしまいました。

2つ目は、社員が機密情報を持ち出したB社のケースです。社員が会社PCから機密情報をUSBに入れて持ち出した事例です。当社は当該USBの復元、個人PCの調査を担当しました。実務的には、弁護士と一緒にいきなり社員の自宅に乗り込み、携帯、USB、パソコンなどありとあらゆる媒体を押収し証拠を特定します。詳細は申し上げることができませんが、データを持ち出した社員には数千万円の調査費用と会社への賠償金が発生することになると思います。

記者：どんなところにリスクが潜んでいるのでしょうか？

田中：「うちの会社なんかがサイバー攻撃を受けるわけがない」という甘い認識が一番のリスクと言えるかもしれません。上場会社は株主への説明責任もあるので、問題が起きれば責任が問われるので強固な対策が必要です。しかし、中小企業はその意識が薄く、経理社員が2000万円横領しても勉強代と割り切った社長も見てきました。

社長も担当者も「何かが起きないと自分ごととしてリスクを感じない」ことが多いです。しかし、サイバー攻撃はセキュリティの甘い中小企業こそ狙ってきます。何かが起こってからでは遅いのです。

企業に対するサーバー攻撃は、メディアで報じられないことがほとんどです。そうしたこともあって、なかなかセキュリティに対する意識が変わっていかない。これは知っておいて欲しいのですが、サイバー攻撃は「突然なされるものではなく、常に攻撃されている」ということです。ログを見ればその事実を目の当たりにするはずですよ。

記者：日常では、どのようにセキュリティ対策と向き合うべきでしょうか？

田中：まず、サイバー攻撃や情報漏洩は「起こることが当たり前」の世の中であることを認識してください。「何かが起きた時にどうしたらいいのか？」を社内で共有しておくことが重要です。

サイバー攻撃された場合であれば「誰に報告するのか」「いつ警察に連絡するのか」「保険に加入しているのか」など、シミュレーションしておくことをお勧めします。

担当者不在の中小企業でも簡単に運用できる「Exo Security」

EXOセキュリティは、アンチウイルスソフトでは防ぎきれないウイルスやランサムウェアなどのマルウェアの危険からPCやモバイル端末を守ってくれます。

基本的な機能としては、
・人工知能とクラウド分析技術を採用したアンチマルウェア遮断技術
・新種のランサムウェアの防御
・悪性サイトのアクセスを遮断

などの、基本機能を搭載しており、さらに個人情報保護として、
・暗号化されていない個人情報の検出
・暗号化勧告または強制暗号化
の機能があります。

また情報漏洩対策やプログラム遮断機能、管理の簡単さも重要視して作られており、このような包括的なサービスのため非常に人気を集めています。エンドポイントセキュリティを提供するEXOセキュリティはB2BSaaS(Business to Business Software as a Service)といわれ、企業や法人向けのサブスクリプションサービスです。そのため、ソフトウェアやシステムを所有するのではなく、クラウドサービスとして一定期間の利用権の料金を払うことでサービス利用が可能になります。

«EXOセキュリティは50アカウントで月額5,000円»

EXOセキュリティは50人のユーザーで月額5,000円（税込）です。そのため50人でサービス利用したとすると、1人あたり１ヶ月たったの100円で使用することができます。他の会社では、50人のユーザーで月額24,000円や、月額19,300円などEXOセキュリティに比べて高額であるにも関わらず、EXOセキュリティよりも機能が少ないことが多くあります。

EXOセキュリティの機能の充実性で、月額5,000円ならコスパ最強といえるでしょう。 そんなEXOセキュリティは無料トライアル期間もあります。企業・法人でセキュリティ万全なセキュリティ対策、マルウェア対策をしたい方は現在注目を集めている｢EXOセキュリティ｣をぜひ無料で1度お試ししてみてください。

EXO Securityの機能一覧はこちら

業界最安セキュリティサービスEXO Security トライアル申込み