近年よく耳にするサイバー攻撃。万が一企業が被害を受けた場合、復旧に5,000万円以上かかる場合があります。
しかしながら、サイバー攻撃の対策をしていない中小企業はまだ多いのが現状です。情報処理推進機構(IPA)の調査によると、4社に1社が過去3年間にセキュリティ対策に投資していないということがわかります。
出典:情報処理推進機構 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書
サイバー攻撃が増えているのに企業が対策をしない理由はなぜでしょうか。この記事では、サイバーセキュリティ対策に関してよくある誤解を紹介します。その前に、サイバー攻撃における被害や必要な対策について解説していきます。
サイバー攻撃の被害金額は少額ではない場合も多いです。警察庁に報告されたサイバー攻撃の被害事例の中で、復旧に5,000万円がかかったり復旧期間が2ヶ月以上だったりする企業もありました。
出典:警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について
さらに、トレンドマイクロ社の調査によれば2020年においてサイバー攻撃における被害金額が、1,000万円超えた日本企業は33.5%で、年間被害額の平均はなんと約1億4800万円です。
出典:トレンドマイクロ株式会社 法人組織のセキュリティ動向調査 2020年版
実際どのような被害や損失が発生するのでしょうか。次に、企業がサイバー攻撃を受けた場合に起こりうる損失について解説します。
攻撃の原因特定や更なる被害を防ぐために、サイバー攻撃を受けたWebサイトやWebサービスを一時停止することが多いです。そのため、サービス停止による売上機会の損失につながります。
2022年6月、国内大手調査会社がSQLインジェクションというサイバー攻撃を受けたため、Webサイトを5日ほど閉鎖しました。その間、Webサイトからの問い合わせは受け付けられない状態となりました。
さらに、ECサイトが攻撃を受けた場合は、サービス停止が事業に与える影響が大きくなるため死活問題となることもあり得ます。
実は、2022年1月~6月の半年間だけで、ECサイトのクレジットカード決済システムが攻撃を受けてサービス一時停止となった事例は少なくとも4件ありました。その中で2022年8月時点で復旧の目処が立っていなかったりサービス提供を終了した企業もあります。
せっかく運営してきた事業なのにサイバー攻撃で水の泡になってしまいます。そうならないためにしっかり対策することが必要です。
Webサイトやサービスを引き続き運営する場合、サイバー攻撃から復旧しなければなりません。そのために必要な人的資源やお金は多くかかります。
2021年8月に、大手建設コンサル会社がサイバー攻撃の被害を受けた事件では、復旧や調査費用として約6.5億円の特別損失が計上されて、その年度の営業利益の20%ほどを占めていました。
復旧作業の中でも、復旧に向けた調査にまつわる費用が一般的に多くかかります。正確かつ迅速に復旧調査を行うために、外部の専門機関にデジタルフォレンジック調査を依頼することが多いです。
デジタルフォレンジックとは、情報端末の電磁的記録を調査・分析することです。サイバー攻撃の原因特定と情報漏えいの影響範囲の解析にとても有効ですが、そのため料金も安くありません。1台の情報端末につき数十万~数百万円がかかるのが一般的です。
その他復旧作業にかかる費用も含んだら膨大な金額になるでしょう。
自社にとどまることだけでなく、サイバー攻撃の被害が親会社や取引先まで影響を及ぼすこともあります。
2022年2月に、国内屈指の自動車メーカーが、サイバー攻撃の影響を受けて14工場27生産ラインの稼働を1日ほど停止したという事例がありました。その原因は、自動車の部品を供給している子会社の部品メーカーが受けたサイバー攻撃の影響によるものです。
このような攻撃はサプライチェーン攻撃と呼ばれます。サプライチェーン攻撃とは、商品や製品のサプライチェーンに含まれる中小企業や子会社をターゲットにしてサイバー攻撃の入り口を作り、最終的には大手企業を狙う攻撃手法です。
大阪商工会議所が行ったアンケート調査によれば4社に1社がサプライチェーン攻撃の被害を実際に受けたということがわかりました。
出典:大阪商工会議所 「サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査」結果について
取引先や親会社に迷惑をかけないために、中小企業もきちんとセキュリティ対策を実施すべきです。
被害を受けないために、サイバー攻撃に対して適切な対策を講じる必要があります。ここではサイバー攻撃に対して有効的な対策2つを紹介します。
サイバー攻撃の被害を受けないためには従業員一人ひとりのセキュリティ意識の向上が必要です。
不審メールや添付ファイルは開かないほか、Webサービスやアプリのパスワードを推測されにくいものにすることも大事です。
また、脆弱性を狙ったサイバー攻撃が近年多くなっているため、業務で利用するパソコンやスマホなどの情報端末を常に最新バージョンを保つことが重要です。
従業員のセキュリティ意識はもちろん大事ですが、それだけでは足りません。適切なセキュリティツールの導入も必要です。それは家の防犯と同じです。防犯意識だけを高めて防犯カメラやオートロックなど一切入れないことはおそらくないでしょう。
サイバー攻撃に有効なセキュリティツールはたくさんあります。優先的に導入されるのは下記の4つです。
それぞれのツールの特長が異なるため、会社のリスクレベルをしっかり評価し、それにふさわしいツールを導入することが重要となります。
例えば、Webサービスを提供している企業ですと、WebサイトやWebサービスを構築しているWebサーバに攻撃を受けるとサービス停止や企業の信頼失墜につながる可能性が大きいため、WAFのようなWebサイトやWebサービスを含めたWebアプリケーションを守るツールを優先的に導入することをおすすめします。
サイバー攻撃が増えている中で対策をしていない企業はまだ多いのが現状です。情報処理推進機構(IPA)の調査によると過去3年間においてセキュリティ対策に予算を費やしていない中小企業がなんと全体の3割となっています。
出典:情報処理推進機構 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書
サイバー攻撃が増加し企業の脅威が迫っている中、セキュリティ対策をしない理由はなぜでしょうか。ここではサイバーセキュリティ対策についてよくある3つの誤解を紹介します。
先ほど紹介したIPAの調査によると、セキュリティ対策を行っていない企業の中では、必要性を感じていないと勘違いしている企業が40.5%を占め、最も多いです。
実際、「サイバー攻撃関連の通信数が多いけどまだ被害を受けていないから大丈夫」と思う経営者もいるでしょう。
しかし、この考え方は間違っています。家の地震対策を考えてみてください。地震の被害を受けていないから耐震対策をしないのでしょうか。家具をしっかり壁に固定することや非常時の食べ物やグッズを用意しておくなど、万が一に備えて準備している人がほとんどでしょう。
これはサイバー攻撃も同じ。万が一に攻撃を受けてしまうと会社の死活問題になり得るので被害を受けてからでは遅いです。事前にしっかり対策をしておいて、被害を最小限に抑えることが正しい考え方です。
セキュリティ対策としてツールの導入が推奨されていますが、セキュリティツールの種類がさまざまですべてを導入することはリソース的に不可能でしょう。
とはいえ、無防備のままではいけません。予算が限られる中で、自社のリスク状況をしっかり評価して、リスクの高いものから優先的に対策することがおすすめです。
また、セキュリティツールがとても高額というイメージを持っている人も多いですが、実はこの状況が近年変わりつつあります。
WAFの場合、昔はアプライアンス型が主流で導入するのに100万円単位の予算がかかりましたが、最近ではクラウド型のWAFがリリースされて、毎月数千円か数万円程度で導入できるようになりました。
費用対効果を算出できずセキュリティツールの導入を躊躇している企業も少なくありません。特に効果の部分、リスク解消とはいえ具体的に数字で表すことは簡単ではありません。
セキュリティツールの費用対効果を正しく算出するためには、自社が抱えているセキュリティリスクを把握することが大事です。リスク把握のため、IPAが提供している無料ツールをおすすめします。
情報処理推進機構(IPA):サイバーセキュリティ経営可視化ツール
自社のリスクレベルを正確に把握するうえ、適切なセキュリティツールを選定しましょう!
サイバー攻撃を受けてしまった場合、サービス停止による売上損失や復旧にかかる費用など、さまざまな被害があります。さらに、取引先から損害賠償が求められるケースもあります。場合によっては億単位の被害金額となることもあります。
攻撃から会社を守るためには、従業員のセキュリティ意識の向上はもちろん大事ですが、セキュリティツールの導入も欠かせません。
ただし、予算が限られている中、すべてのセキュリティツールは現実的に難しいです。そのときに大事なのは自社のリスクレベルを正確に評価してから適切なツールの導入を優先的に検討することです。
また、セキュリティ対策についての考え方の資料を用意しておりますので、ぜひダウンロードしてください。
