予算や人材が足りなくてもできる基本対策とは?

 サイバーセキュリティーの重要性は十分認識している。しかし対策のための予算も人材も足りない。そんな企業はどうすればいいのか。

土屋氏は「『10大脅威』以外にも多数の脅威が存在しますが、攻撃の手口は古くから使われているものばかり。基本的な五つの対策をとることで、被害に遭う可能性は低減できるはず」と強調する。

 その五つの基本対策をまとめたものが以下だ。「ソフトウェアの脆弱性」を狙われた半田病院や名古屋港は、基本対策であるソフトウェアの更新を継続して実施していたら被害の状況は違っていたかもしれない。その意味で、以下の表はセキュリティー対策のチェックリストとしても有用だといえよう。

<図2>情報セキュリティ対策の基本

明日はわが身。巧妙化・高度化・無差別化するサイバー攻撃の実態と今すぐできる対処法とは出典:「情報セキュリティ10大脅威 2024 解説書」P10(※3)
拡大画像表示

 ただ、どんなに警戒をしていても、うっかりメールの添付ファイルを開いてしまったり、メール本文に記載されたリンクを踏んでしまったりすることはあり得る。前出の10大脅威で「9年連続9回目」の選出となった4位の「標的型攻撃による機密情報の窃取」はまさにそうだ。8位の「ビジネスメール詐欺による金銭被害」のように、経営者や社外の権威ある第三者になりすまして金銭を振り込ませる手口もある。

「だから、基本対策5番目の『脅威・手口を知る』が重要なのです。具体的な手口を知っていれば、『ひょっとして』と手を止めるきっかけになります。お勧めしたいのは、セキュリティ関係のニュースサイトをチェックすることです。毎日見ていると、どんな手口が使われているかもつかめますし、気になったときに検索をかければ必要な情報にすぐたどり着けます」(土屋氏)

セキュリティー対策の向上は企業にとって最重要課題

 サイバーセキュリティーは防御であり、利益ではなくコストと見なされがちだ。脅威が目に見えにくいのも、企業が対策に二の足を踏む要因だろう。

「しかし、IT社会においては、IT活用による『攻め』と同時に、情報セキュリティーによる『守り』が不可欠です。情報セキュリティー対策を継続的に行うためには、組織全体の意識を高めていくことも必要でしょう。具体的な対策の第一歩として、IT導入補助金の申請要件ともなっている『SECURITY ACTION』制度や、IT導入補助金を活用できる『サイバーセキュリティお助け隊サービス制度』も活用いただけたらと思います」(土屋氏)

「SECURITY ACTION」は、企業が情報セキュリティー対策に取り組むことを自己宣言する制度。現状診断ツールも活用できるため、自社のサイバーセキュリティーの現在地を社員と共有しやすい。「サイバーセキュリティお助け隊サービス」は、中小企業向けセキュリティーサービスが満たすべき基準をIPAが設定し、21年春から開始した制度。サイバー攻撃への対処として不可欠なサービスがワンパッケージにまとめられている。

 中小企業にとって、取引先からのサプライチェーンセキュリティー強化の“圧力”に対応できるかどうかは死活問題となりつつある。一方で予算や人材は限られている。まずは基本対策を見直しながらこうした公的な制度を利用し、脅威に備えておくことが中小企業の生存戦略として不可欠なのではないだろうか。

※1 警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
※2 IPA「情報セキュリティ10大脅威 2024」)
https://www.ipa.go.jp/pressrelease/2023/press20240124.html
※3キャプション:出典:「情報セキュリティ10大脅威 2024 解説書」P10
https://www.ipa.go.jp/security/10threats/nq6ept000000g22h-att/kaisetsu_2024.pdf