セキュリティ 対策の必要性

 2017.09.11 Secure Enterpriseポータル

ニュースや新聞といった、メディアに取り上げられる情報漏えい事件のほとんどは、大企業や行政機関で起こった大規模な事件のみです。このため、「うちのような中小企業を狙うやつはいない」と、情報セキュリティに無関心な経営者は多いでしょう。

中小企業を対象としたセキュリティ実態調査によれ、情報漏えい等の対応方法が「規定されていない」という企業は、68.7%にも上ります。セキュリティ教育を実施しているか否かの質問に対しては、「実施していない」という企業が、60.8%になり、中小企業の間で情報セキュリティが如何に浸透していないかが見て取れます。

引用:IPA 独立行政法人 情報処理推進機構「2016年度 中小企業における情報セキュリティ対策に関する実態調査(2017年3月発行)

こうした、情報セキュリティに無関心な中小企業の多くが、「自社が情報漏えい被害に遭うわけがない」、あるいは「自社の重要情報などない」と考えています。

しかし、実際のところはどうでしょうか?

「あまり報道されない」というだけで、実は中小企業による情報漏えい事件は、大企業以上に起きています。少しでも顧客情報を保管していれば、それは重要な情報に部類されます。中小企業に情報セキュリティは必要ない、という根拠はどこにもないのです。

そこで今回は、情報セキュリティの必要性を強く認識していただくために、中小企業の情報セキュリティ実態や、なぜ必要なのかを紹介していきます。

中小企業の情報漏えい事件は、大企業よりも多い?

「情報漏えい」と聞けば、大企業の内部システム侵入による事件をイメージする方が多いかと思います。これは大企業の情報漏えい事件の方が「メディアに取り上げられやすい」というのが、大きな原因です。

しかし実際は、中小企業の情報漏えい事件の方が多い、ということをご存知でしょうか?それもそのはず、日本の大企業の数が1.1万社なのに対し、中小企業はその約380倍の380.9万社も存在しています(大企業・中小企業の定義は参考資料に記載)。

参考:中小企業庁調査室「2017年版中小企業白書 概要

この企業数の違いから考えれば、中小企業の情報漏えい事件の方が多いことは当然だと言えます。

昨年に大手旅行会社で起こった約800万件の個人情報漏えい事件は、具体的にはそのグループ子会社で起きたものです。メディアでは大企業で起こった情報漏えい事件のように報道されていても、実際はセキュリティ体制が甘かった子会社で起きた、という事実はよくあります。

このように、中小企業の情報セキュリティの第一歩は、まず「中小企業でも情報漏えい事件が起きる可能性は、十分にある」という事実を、理解することです。

中小企業が狙わる理由は、やはり「セキュリティの甘さ」にあり

中小企業でも情報漏えいが起きてしまう原因は3つあります。最も大きな原因はやはり「セキュリティの甘さ」です。自社がサイバー攻撃に遭うわけがない、という思い込みから情報セキュリティへの認識が薄れ、セキュリティが甘くなり、結果としてそこを狙われてしまうのです。

もう一つの原因は「サイバー攻撃の無差別化」です。サイバー攻撃というものは日々、高度化を遂げており、現在では高いセキュリティ技術が無くとも、簡単にサイバー攻撃を実行できてしまう「攻撃キット」が存在します。そのため、より広範囲に効率良くサイバー攻撃を実行することが可能になったのです。

今年5月に世界中で猛威を振るったランサムウェア(身代金要求型ウイルス)「Wanna Cry」は、150ヵ国30万以上のコンピュータが被害に遭い、その中には中小企業や行政機関の被害も多く含まれています。このWanna Cryは、「サイバー攻撃の無差別化」の象徴、と言ってもいいでしょう。

最後の原因は、「大企業への踏み台にするため」です。サイバー攻撃者にとっては、大企業が保有する機密情報を搾取することが、最も効率良く荒稼ぎする方法です。しかし、大企業の多くはセキュリティ体制が協力なため、容易に内部システムへ侵入できません。

そこで、セキュリティ対策の甘い中小企業の内部システムに侵入し、それを踏み台として大企業の内部システムに侵入しようとするサイバー攻撃が少なくありません。

電子メールやコミュニケーションツールによる情報伝達やEDI(電子データ交換システム)が普及した現代において、大企業と中小企業のネットワークが繋がっていることは、なんら珍しくない環境です。サイバー攻撃者からすれば、そうした中小企業の内部システムから侵入を試みた方が、大企業への攻撃成功率が高くなるのです。

以上の3つの原因から、中小企業に対するサイバー攻撃は年々増加傾向にあります。

情報漏えい事件が起きると、企業にとって何が損失なのか

では、実際に情報漏えい事件が起きた場合、企業にはどういった損失があるのでしょうか?中小企業のセキュリティ意識を高めるためには、被害実態を知ることも大切です。

情報漏えい事件が起きた場合、中小企業にとって最もダメージが強いのが「信用の失墜」です。一般消費者を相手にしているか、企業を相手にしているかに関わらず、中小企業ではたった一度の信用損失が、事業継続に大きな影響を与えます。

なぜなら、「信用第一」であるビジネスにおいて、中小企業では信用を取り戻すという活動が、想像以上に負担になるためです。例えば大企業なら、情報漏えい時に補償を行ったり、事件後にコストをかけてセキュリティ対策を強化することも可能です。しかし、中小企業では補償や急な対策強化はかなりの負担になります。そのため信用回復が難しく、結果として自社のブランド価値を大きく落としてしまうことになるのです。

これに付随した、金銭的損失も大きなダメージでしょう。2015年に発生した日本年金機構の情報漏えい事件では、事件後の相談窓口設置やセキュリティ対策強化などで、総額10億円の損失が発生したと報じられています。

引用:日本経済新聞 Web刊「年金情報流出、対応に10億円超見通し 専用窓口費用など

こうした情報漏えい事件への対応費用は、中小企業にとって経営を揺るがす大ダメージになります。自社経由で取引先の大企業で情報漏えい事件が起きたとなれば、その損害賠償額は計り知れないでしょう。

まとめ

今や、情報セキュリティが必要な企業など、どこにも存在しません。「社内システムを持たない」という中小零細企業であっても、インターネット環境があればサイバー攻撃の被害に遭うリスクは大いにあります。だからこそ、何らかの情報を保有している限り、企業という形で組織を運営している限り、セキュリティ対策が欠かせないのです。

これまで情報セキュリティに無関心だった中小企業の経営者の皆さんは、これを機に、自社のセキュリティ対策について熟考してみてください。セキュリティシステム導入のコストがネックなのであれば、クラウドサービスを検討し、コスト削減しつつ堅牢なセキュリティ環境を構築していきましょう。