セキュリティ
中小企業のセキュリティ対策と現状の課題は?当社の事例も交えて解説!
-テクノロジーのプレゼンテーション.jpg)
この記事は約 7 分で読めます。
こんにちは!biz-usクラウド編集部です。
大企業に比べて軽視されがちですが、中小企業においても情報セキュリティ対策は極めて重要であり、企業の情報資産は、企業の価値そのものと言っても過言ではありません。
情報漏洩やサイバー攻撃による損害は、企業の信頼を失墜させるだけでなく、経済的な損失をもたらす可能性があります。
本記事では、中小企業のセキュリティ対策の現状の課題やそれに対する解決方法、またセキュリティに関する助成金などを詳しく解説します。
≫会社・お店のパソコンがウイルスに感染!PCサポート「biz-us クラウド」に相談する
目次
中小企業のセキュリティ対策の現状と課題
警察庁公表のデータによれば、令和4年(2022年)のサイバー犯罪の検挙件数は12,369件と過去最多を記録しており、「明日は我が身」という状態で年々深刻化しています。2023年8月には、警視庁がサイバー特捜隊を「捜査部」に格上げし、捜査体制を強化することを発表しました。
特に、ランサムウェアによる被害や不正アクセスによる情報流出の脅威が増しています。
ランサムウェアとは、「パソコンのデータを人質に、金銭の要求をする不正ソフトウェア」のことです。「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、「身代金要求ウイルス」ともいわれてるよ!
ランサムウェアの被害のうち53%は中小企業で、企業規模に関わらずサイバー攻撃の被害が発生しています。
業種別で、被害は多い順は下記の通りです。
- 製造業(33%)
- サービス業(21%)
- 医療・福祉(9%)
- 卸売・小売業(7%)
- 建設業(7%)
2024年6月8日に発生した「ニコニコ動画」のサーバーダウンが、ランサムウェア攻撃によるものであることを明らかになっています。月額790円のプレミアム会員は2024年3月末時点で117万人となっており、システム再構築にかかる費用を含めると、一定規模の損失計上が避けられません。
参照元:警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
なぜ製造業にランサムウェアの被害が多いの?
結論からいえば、近年における工場のデジタル化(スマートファクトリー)が関係すると考えられます。
クラウドやIoTなどのデジタル機器の導入によって業務の自動化やデータの共有が可能となり、生産効率が向上します。しかし、外部ともつながることで、付け入る隙を増やしてしまうのです。
今までは工場内だけでデータのやり取りをしていたため、セキュリティ対策が不要でしたが、セキュリティについて以前と同じように考えてしまうと、結果としてセキュリティ対策が甘くなってしまいます。
警視庁も警鐘を鳴らすランサムウェア
2023年に警察庁が発表した調査結果によると、ランサムウェアの影響は年々増加傾向にあり、2021年時の被害は146件でしたが、2022年の被害は230件と右肩上がりで増加しています。
主な感染経路として「VPN機器からの侵入」が挙げられ、次点では「リモートデスクトップからの侵入」となっており、テレワーク等で利用される機器の脆弱性や強度の弱い認証情報を利用して侵入したと考えられています。
参照元:警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
対策方法は?「情報セキュリティ5か条」を提案!
IPA(独立行政法人情報処理推進機構)は、中小企業が最初に取り組むべき情報セキュリティ対策として「情報セキュリティ5か条」を提案しています。
箇条書きでお伝えをすると下記の通りです。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
参照元:IPA(独立行政法人情報処理推進機構)「情報セキュリティ5か条」
それぞれ簡単に深掘りをしていきます。
1.OSやソフトウェアは常に最新の状態にしよう!
これは、身近なもので言うとiPhoneのiOSアップデートと同様、脆弱性対策として重要です。
製造業などでは、安定稼働させるために古いOSを変えたくないという企業が非常に多くあります。
しかし、ソフトウェアのバージョンが脆弱性のある古いままでは、情報セキュリティ上の脅威を受けやすい状態になるため、OSやソフトウェアの更新はこまめに行いましょう。
また、脆弱性に関する情報も収集できる状態にしておく対策が必要です。
2.ウイルス対策ソフトを導入しよう!
ウイルス対策ソフトは基本中の基本なので、導入している企業も多いと思いますが、ソフトは最新の状態になっているでしょうか。多くのハッカーは、有効期限が切れたり無効になったウイルス対策ソフトを狙っています。
3.パスワードを強化しよう!
セキュリティ企業Nord Securityによると日本で最も使われたパスワードは、なんと「123456」だったという衝撃的なランキングもありましたが、このような単純なパスワードは大変危険です。
最近だと「記号」と「大文字」を混ぜたパスワードでないと登録できないサービスも増えてきました。
覚えるのが面倒かもしれませんが、「長く」「複雑な」パスワードにして、できるだけ同じパスワードを使いまわさないようにしましょう。
毎回新しいパスワードを考えるのが面倒な場合は、Google Chromeに強固なパスワードを自動生成する機能がありますので、そちらを利用することもおすすめです。
4.共有設定を見直そう!
部署ごとに閲覧できるフォルダの有無など設定されている企業も多いと思います。実際に当社でも行っている対策になります。
関係のない人に情報を見られるような共有設定になっていないか、確認していきましょう。
5.脅威や攻撃の手口を知ろう!
情報セキュリティの最新トレンドや攻撃の手口を知ることは重要です。
定期的に対策情報を知って、アップデートしていきましょう。
ランサムウェア対策については、下記記事にもまとめていますので参考にしてみてください。
≫企業がランサムウェアに感染したら?被害件数と事例について解説
株式会社MJEのセキュリティ対策は?事例を解説
挙げだすとキリがありませんが、ぱっと思いつくもので当社の場合だと下記のようなものがあります。
- IT監視ツールの利用
- メールの誤送信防止ツールの利用(外部へのメール送信時にCCに上長アドレスを自動挿入)
- 私物USBの使用禁止
- 個人所有のメールアドレスへの送信禁止
- ChatGPTの使用制限(情報漏洩対策の観点から)
- ファイルストレージサービスは社内IPのみ利用可能
- 社内専用サイトやWeb社内報は社内IPのみ利用可能
- 新しいアプリケーションのインストールはすべて許可制
中小企業とはいえ、適切なセキュリティ対策を行わないと情報漏洩などのリスクが高まります。弊社では常に「念には念を入れよ」をモットーに日々情報セキュリティ対策を行っいます。
中小企業のセキュリティ対策におけるガイドライン
今の時代、企業の規模に関わらず情報セキュリティ対策は必須です。
中小企業のセキュリティ対策のガイドラインとして、IPA(独立行政法人 情報処理推進機構)が2023年8月に『中小企業の情報セキュリティ対策ガイドライン 第3.1版』を公表しています。
2019年3月に公表された第3版からの更新であり、今回の第3.1版は約3年ぶりの更新となります。ガイドラインは「全70ページ」と読むのが大変ではありますが、テレワークの普及やDX推進が進む現代社会の状況を踏まえて、実践的な対策方法が解説されています。
会社の実情を踏まえて、情報セキュリティ関連規程の整備も検討していきましょう。
参考:IPA(独立行政法人 情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」
中小企業のセキュリティ対策にかかる費用とは?
IPAの「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によれば、直近過去3期のセキュリティ投資額が下記の通りです。
- 「100万円未満」が49.2%で最も多い
- 「投資していない」が33.1%
- 「100-500万円未満」が8.2%
前回調査の2016年度からわずかに改善が見られますが「一切投資をしていない」企業も3割あることからまだまだ改善の余地と課題はありそうです。
ちなみに100~500万円レベルのセキュリティ投資をしている企業は大半が大企業とのことですので、企業規模に応じてセキュリティの意識も異なっていることが分かります。
参考記事:IPA(独立行政法人 情報処理推進機構)「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
中小企業のセキュリティ対策に助成金は出る?
IT導入補助金の「セキュリティ対策推進枠」という枠組みにおいて助成金が出ます。
セキュリティ対策推進枠では、セキュリティサービスの利用料(最大2年分)の一部を補助することで、高まるサイバー攻撃事案の潜在リスクを踏まえ、サイバーインシデントが引き起こすさまざまなリスク低減を支援することを目的としています。
以下は、過去の申請数と採択率の表です。セキュリティ対策推進枠の採択率はいずれも80%以上であり、他の枠と比較して採択率が高い傾向にあります。
| 申請締切 | セキュリティ対策推進枠の採択率(申請数) |
|---|---|
| 1次締切 | 80.0%(25件) |
| 2次締切 | 86.4%(37件) |
| 3次締切 | 100.0%(16件) |
| 4次締切 | 87.5%(24件) |
IT導入補助金については、弊社のオウンドメディア「IT解決コラム」にて解説をしておりますのであわせてご覧ください。
≫【2024年版】IT導入補助金について分かりやすく解説してみた【厳しい?】
中小企業にお勤めでセキュリティ対策を考えている方へ
なぜ大企業ではなく、中小企業を狙うサイバー犯罪のほうが多いのでしょうか?
その背景には、大企業よりも中小企業の方が、比較的セキュリティ対策が甘くて狙いやすいことが要因の一つとしてあるからです。
先ほどもご紹介した通り「中小企業のセキュリティ対策にかけている費用」のうち33.1%の会社が1円もお金をかけていないという結果が出ています。この結果から、中小企業の中にはセキュリティを「他人事」と捉えているところがあると考えられます。
しかし、現代では大半の企業が何かしらのITツールを業務に活用しており、誰もがサイバー犯罪の被害者になり得るのです。
≫会社・お店のパソコンがウイルスに感染!PCサポート「biz-us クラウド」に相談する
費用がかけられない場合はどうすれば良い?
お金を1円もかけずとも基本的なセキュリティ対策は小さなことから始めることが可能です。
具体的にお伝えすると下記の通りです。
- OSやソフトウェアを最新の状態にする
- 記号や大文字を用いた複雑なパスワードを設定する
- ブラウザの定期的なアップデートを行う
- 重要情報に対するアクセス制限を行う
- 私物USBの利用を禁止する
- ソフトウェアの新規インストールの際は申請制にする
- 離席時の画面ロックや退社時の施錠保管などの物理的な対策を社内で徹底する
- 新たな脅威や攻撃の手口への対策を社内共有する
これらの対策を取り入れるだけでも、セキュリティの向上が期待できます。さらに、社内でセキュリティ対策の重要性の認識が広まることで、理解が深まり、費用をかけた対策を行える可能性も高まります。まずは、できることからやっていきましょう。
まとめ
いかがでしたでしょうか?
本日は中小企業のためのセキュリティガイドとして、対策や課題点、助成金の活用方法などについて網羅的に解説をさせていただきました。
ここまでご紹介した中でも、分かりづらい部分やセキュリティ対策について理解が進まない方も多いと思います。
もし会社にセキュリティ対策や情シス担当がいない、もしくは会社に情シス担当が1人しかいない場合などありましたら、弊社のITヘルプデスクサービス「biz-usクラウド」へお任せください!
ITヘルプデスクの「biz-us クラウド」とは?
「biz-usクラウド」は、一言でお伝えすると「パソコン関係が全くわからない法人であってもサポートをしてくれるサービス」です。
今回ご紹介した、セキュリティ上の問題点を検知・通知しトラブルを未然に防止するほか、トラブルが発生した際も専門スタッフがスピーディに解決します。
基本料金2,000円~/月、1端末あたり+500円/月というリーズナブルな価格帯で、ヘルプデスク代行だけでなく、IT資産管理やセキュリティ対策も可能なので、非常に高いコストパフォーマンスを実現します。
もし会社に情報システム部がない場合や、ヘルプデスクやセキュリティ面で課題を抱えておられる企業様はぜひチェックしてみてください!
