• 2024.10.25
  • サイバーセキュリティ

何故中小企業がサイバー被害に遭うのか

セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第2弾 第4回。今回は、何故中小企業がサイバー被害に遭うのかについてご紹介いただきます。

前回はサプライチェーン攻撃についてご説明いただき、自社のみではなく他社へ影響を持つため、被害の発端にならないためにまずは自社のセキュリティ意識の見直しが重要だとご教示いただきました。
サプライチェーン攻撃への対応の難しさ

今回はそういったサプライチェーン攻撃を含め、何故中小企業がサイバー被害に遭うのかをご説明いただきます。自社が被害の当事者になる可能性が十分にあること、そうならないためには何から始めればよいのか、これらを考えるきっかけにしていただければ幸いです。


何故中小企業がサイバー被害に遭うのか【セキュリティコラム第2弾 第4回】

前回お伝えした、「サプライチェーン攻撃への対応の難しさ」にも関連する内容ですが、大手だからサイバー攻撃者から狙われるかというと、決してそうではありません。インターネットに端末を接続している、あらゆる企業や個人すら常に狙われている、と言っても差し支えありません。

サイバー攻撃の方法は、主に「標的型」と「ランダム型」に分類されます。
「標的型」は、特定のターゲット企業に向けた攻撃であり、主に大手企業や、有名企業が狙われます。「ランダム型」は、インターネットに繋がっているあらゆる機器や端末が対象となる不特定多数を狙った攻撃です。

ランダムに攻撃を行い脅しをかける

現在サイバー被害(ランサムウェア被害)に遭った企業の攻撃パターンを見ていくと、そのほとんどが「ランダム型」であることがわかります。インターネットに繋がっているシステムの脆弱性を突き攻撃を行い、侵入に成功。その後サーバなどに辿り着き、情報を盗みとったり、ドメイン情報等から企業を特定し、暗号化を行い身代金を要求する、などです。

侵入に成功した先がたまたま有名企業であったり、大手企業の場合は、要求する身代金額を高く設定するようですが、ビジネスとしてランサムウェアによる攻撃を行っている場合は、事業規模の大小に関係なく、脅しをかけて金銭を要求し、支払ってくれる先を「確率論的」に求めます。

「確率論的」である、ということは、母数の多いところが被害に遭いやすい、ということでもあります。日本の場合は事業者の99%を中小企業が占めますので、確率論としても中小企業が被害に遭いやすいのは当然の帰結になります。

中小企業の被害件数

警視庁が「令和5年におけるサイバー空間をめぐる脅威の情勢等について」の中で、ランサムウェア被害件数を発表していますが、中小企業の被害は52%と、半数を上回ります。そして、これはあくまでも、警視庁に報告が上がった数であり、「サイバー被害=警察に報告する」という認識がない中小企業がサイバー被害に遭い、警察に報告がなされていない可能性は当然あるはずで、中小企業が被害に遭っている実態は、これ以上に存在すると推測します。

いまだに「うちみたいな小さな会社なんて狙われるわけがない」「うちみたいな会社の情報を奪いに来たって意味がないんだからこないでしょ」とおっしゃる経営者と出会います。私が2016年に執筆した書籍(小さな会社のIT担当者のためのセキュリティの常識)の中で、よくある経営者の間違いとして伝えている内容が、8年経っても同じような認識であること、なかなか認識が進んでいないことを実感せざるを得ません。

セキュリティリテラシーの重要性

加えて、中小企業はITリテラシーやセキュリティリテラシーが高い方が社内におらず、セキュリティ対策がざるになりがちです。

ネットワークやサーバ、セキュリティの運用のほとんどをシステムベンダやOA機器販売会社に丸投げしていることも多く、セキュリティ上の脆弱性が出たとしても情報をキャッチアプすることができないため脆弱性を放置してしまい、被害に遭ってからことの重要性に初めて気づく、となりがちです。

セキュリティに関して判断できる人がいないから、予算も立てられずに対策も打てない・・・この負のスパイラルを解消するために必要なことは「一定の知識量があること」です。知らないことには対策の打ちようがありませんし、判断のしようがありません。

このような記事から読み進める、でもいいので、ある程度判断ができるような最低限の知識を身につけることをお勧めします。

筆者紹介

那須 慎二(なす しんじ)
株式会社CISO 代表取締役

国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。 業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。