敵の弱点を狙う――。言うまでもなく勝負事に欠かせない鉄則だ。今このときも誰かが誰かにしかけているサイバー攻撃で言えばどうか。効率を求める攻撃者が狙う「弱点」はセキュリティ意識の低い人や組織となるだろう。
ここ数年、大規模な情報漏洩事故が相次いだりマイナンバー制度が始まったりしたため、大企業や官公庁自治体は急ピッチでサイバー攻撃対策の高度化やインシデント(セキュリティ事故)対応組織の設置を急いできた。その流れから置いていかれている「弱点」の1つが中小企業である。
政府も中小企業の弱点を認識
中小企業庁によれば、国内企業382万社の99.7%が中小企業だ。中規模企業が14.6%の55万7000社、小規模事業者が85.1%の325万2000事業者という内訳である。製造業やインフラ事業者といった大企業は多くの取引先から部品や原材料を調達するサプライチェーンを構成し、その取引先のほとんどは中小企業である。
「今、サイバー攻撃が起こるところは中小企業になっている。大企業や官公庁を直接狙うのは勇猛果敢な攻撃者だけ。ほとんどはサプライチェーンの末端への侵入を足がかりに、大企業や官公庁を攻めようとしている」。PwCサイバーサービスの名和利男最高技術顧問はこう現状を明かす。名和氏は日本のサイバーセキュリティ専門家の第一人者であり、今も現場で事故対応に当たりつつ、経済産業省をはじめとする政府の様々なセキュリティ関連委員会に参画している。
攻撃の矛先が大企業から中小企業に移っている根拠を示す明確な統計データは今のところ見当たらない。ただ、名和氏は大企業からインシデント対応の依頼を受けると「取引先の中小企業に行ってほしい、そこで事故が起こった」と言われるケースが増えているといい、最前線でその変化を感じているのだ。
これは政府も同様だ。国のサイバーセキュリティ戦略を舵取りする内閣サイバーセキュリティセンター(NISC)が2018年7月に公表した「サイバーセキュリティ2018」の準備資料「次期サイバーセキュリティ戦略骨子」では「IoT(インターネット・オブ・シングズ)、重要インフラ、サプライチェーンを狙った攻撃などにより、国家の関与が疑われる事案も含め、脅威は深刻化・巧妙化。経済的・社会的損失のリスクも指数関数的に拡大」しているとの認識を示している。そして「経済社会の活力の向上および持続的発展」に向けた施策の1つに「多様なつながりから価値を生み出すサプライチェーンの実現」を挙げ、その例に「中小企業の取り組みの促進」を掲げている。
学ぶ機会のない中小企業
実際の中小企業のセキュリティ意識はどうなのか。名和氏は今年、40歳未満の中小企業の経営層や管理職が参加する公益社団法人日本青年会議所から個人として委託を受けて、会員1000社を対象に中小企業のサイバーセキュリティに関する意識調査を実施した。ITが自社の業務に必須かを尋ねたところ、「必須」と「一部必須」の合計が95.9%であり、中小企業であってもITと業務が不可分になっていて、インシデントが発生すれば事業停止のリスクを抱えていると分かった。
セキュリティリスクをどう認識しているかを聞くと、1位は「経営者が経営リスクの1つとして認識している」で47.2%で、2位は「セキュリティリスクがよく分からない」で36.9%だった。経営リスクであるとの認識は広まっているものの、実際にセキュリティリスクの管理体制を構築しているかを質問すると、1位は「考えていない」で61.8%という結果だった。
この結果は帝国データバンクが2018年5月に事業継続計画(BCP)に関して調査した結果と符合する。帝国データバンクの調査では「BCPを策定している」「策定中」「策定検討中」とした4492社の35.1%が「事業の継続が困難になると想定しているリスク」に「情報セキュリティ上のリスク」を挙げた。順位は4位で、1位は地震や風水害といった自然災害(69.1%)で、2位は設備の故障(40.7%)、3位は火災・爆発事故(35.3%)だった。
