目次 |
1. 昨今の情勢について
中小企業のITの利活用が進む一方、サイバー攻撃手法の巧妙化、悪質化などにより事業に影響を及ぼすリスクが高まってきています。
独立行政法人情報処理推進機構(以下、IPA)が公開した「情報セキュリティ10大脅威 2023」*では、「ランサムウェアによる被害」と「サプライチェーンの弱点を悪用した攻撃」がそれぞれ第一位と第二位となっています。
*「情報セキュリティ10大脅威 2023」とは、2022年に発生した情報セキュリティの事案から、特に影響が大きいと考えられる脅威についてIPAが独自に選定したもの。
ランサムウェアとは、感染したパソコンなどのデバイスに保存されているファイルを暗号化したり、端末をロックしたりして特定の制限をかけ、その制限の解除と引き換えに金銭を要求するサイバー攻撃のことです。ランサムウェアに感染すると、同一ネットワーク上のファイルサーバーや接続している記録媒体など、感染が広範囲に及ぶ可能性があります。日本でも多くの感染事例が報告されており、その対策は急務です。
また「サプライチェーンの弱点を悪用した攻撃」については、以前からそのリスクは語られていました。経済産業省が2015年に公表した「サイバーセキュリティ経営ガイドライン Ver1.0」でも「自社のみならず、系列企業やサプライチェーンのビジネスパートナーなどを含めたセキュリティ対策が必要」と警告しています。しかしサイバー攻撃は激化しており、2022年には実際に系列企業や海外子会社がランサムウェア被害に遭い、本社の業務が停止する例がありました。このように、その懸念は現実のものとなってしまったのです。
これまでのセキュリティ対策は、大企業を中心に進められてきました。重要な資産となる情報を守るため、多大なコストをかけてセキュリティ対策を講じることができたのです。しかし中小企業は大企業ほどセキュリティにコストをかけることができず、セキュリティ意識もそこまで高くないというのが実状です。そのため、十分な対策が取られず、攻撃者のターゲットとなってしまいました。実際に中小企業を踏み台としたサプライチェーン全体のセキュリティインシデントが頻繁に発生しているため、早急な対策が求められています。
2. 4年ぶりに改訂された3.1版のポイント
そこでIPAは、2023年4月26日「中小企業の情報セキュリティ対策ガイドライン第3.1版」(以下、ガイドライン)を公開しました。
このガイドラインは、個人事業主や小規模事業者を含む中小企業の経営者が情報セキュリティ対策に取り組む際に認識し実施すべき指針や、社内において対策を実践する際の手順や手法をまとめたものとなっています。3.1版では「テレワークの情報セキュリティ」や「セキュリティインシデント対応」に関する開設が追加されており、コロナ禍によって利用が増加したリモートワークを想定したセキュリティ対策の情報も追加されています。
「テレワークの情報セキュリティ」では、①テレワークの方針検討、②テレワークのセキュリティ対策、③テレワークの運用に分け、それぞれのポイントについてわかりやすく解説されています。また「セキュリティインシデント対応」では、①検知・初動対応、②報告・公表、③復旧・再発防止のそれぞれのポイントに置ける検討事項などが開設されています。
3. まとめ
これまでセキュリティ対策は大企業を中心に対策が行われてきました。しかしこれからは、サプライチェーンで繋がる中小企業であっても、セキュリティ対策は必須になっています。取引先からも強固なセキュリティ対策が求められるようになり、大企業と同様のセキュリティ対策を構築しなければいけなくなるでしょう。DXやリモートワークが推進されているなか、それらを安心して進めるためのセキュリティ対策も重要になっているのです。
しかし、中小企業にとって日々進化し続けているサイバー攻撃への対応の負荷は大きい上、多重投資になっているセキュリティ対策があったり、そもそも対策ができていない範囲の整理などができていなかったりするケースも少なくありません。さらに、情報システム部門だけではどこまでセキュリティ対策に投資すべきか判断が難しいというケースもあるでしょう。セキュリティ対策の重要性は理解しつつも、何から手を付けていいのか分からないという企業は多いのです。
JBCCは、企業ごとに適切なセキュリティ対策を行うために脅威を可視化する「見える化サービス」を提供しています。こういったサービスを活用しながら、ガイドラインに現実的に対応できるセキュリティ対策を実施していくといいでしょう。
お客様ごとに適切なセキュリティ対策を行うために脅威を可視化「見える化サービス」
https://www.jbcc.co.jp/products/solution/sec/visual/
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援するITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,411社、超高速開発による基幹システム構築 480社、セキュリティ 1,110社の実績があります。 |