東京都事業から見えた中小企業セキュリティ対策の実態と求められる事

本記事では東京都の中小企業サイバーセキュリティ対策事業を通じて見えた、中小企業のセキュリティ対策の実態と求められる事をご紹介いたします。

●標的型攻撃メールは効率的？

昨今は中小企業であってもサイバー攻撃の被害を受けると言われていますが、東京都事業ではそれが身近にわかるデータとして

「標的型攻撃メールは５割以上の中小企業が開封する」

事を確認しています。

令和６年度中小企業サイバーセキュリティ啓発事業において762名、52社に対し標的型攻撃メール訓練を行いました。結果は以下です。

１社最大20名が参加し、当該企業で1名でも開封した場合は、企業が開封したとカウントしています。

個人の結果は20%でしたが、企業は56%と半数以上の企業が標的型攻撃メールを開封しています。攻撃者目線で見ると、標的型攻撃メールを複数企業にばら撒くことで、半数以上の企業でウイルス感染などを引き起こす事が期待できます。昨今のパソコンの性能や、AIの進化も考えると、攻撃者にとって標的型攻撃メールは効率的な手法だと推察されます。

●“兼任体制”が当たり前の中小企業

そのような危機にさらされている中小企業側の体制はどうかと言うと、多くのリソースをかけられない実態があります。
東京都中小企業サイバーセキュリティ対策事業の専門家派遣を通じて得た所感ですが、情報セキュリティ担当を担う方は以下のケースが多いです。

＜情報セキュリティ対策を担う方＞

従業員20名以下の企業：社長や役員が兼務

従業員20名から100名：総務部が兼務

従業員100名以上：専任者（情報システム部署内メンバーであることが多い）

中小企業庁の集計によると中小企業は約336万社、そのうち285万社は従業員20名以下です。

https://www.chusho.meti.go.jp/koukai/chousa/chu_kigyocnt/index.html

多くの企業では「誰かがついでにやっている」状態にあります。セキュリティに関して“漠然とした不安”を抱えながらも、専任と比して知識・経験が得難く、具体的な対策に踏み切れない状況にあると推察されます。

※なお、本件に関する統計的なデータもご紹介します。IPAが実施した調査では専門部署のある中小企業は9.3%との事です（以下、P.69参照）。

https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf

●やっていないのではなく、できる範囲で最適化

誤解してはいけないのは、中小企業は「何もしていない」わけではないということです。具体的な事例をいくつかご紹介いたします。

• 取引先から求められるセキュリティチェック項目に対し、必須事項だけ対応して乗り切っている。
  
• パソコンはMACもWindowsも混在している状況であり、ウイルス対策等の集中管理が困難なため、会社情報はクラウド上にしか保存しないよう指導している。
  
• 外部からの不正アクセスの可能性を減らすため、会社の外から中への通信となるリモートアクセスは行っていない。

いずれの事例も、支援させていただいている中小企業ご担当者様が自ら調べて取り組まれた事項です。事業実態に即し限られたリソースでできる事に取り組まれています。

●求められるのは「正しい評価」と「次の一歩」

残念ながら、冒頭の標的型攻撃メールのように、サイバー攻撃はどの企業に対しても行われています。これを完璧に防ぐには高水準のセキュリティ対策が必要です。しかし、中小企業のリソースが限られる状況です。
中小企業に求められているのは、完璧な対策ではなく「今できることを正しく評価し、次の一歩を見定める」ことだと考えています。

東京都事業の専門家派遣支援には、単に足りない部分を指摘するのではなく、現状の取り組みが妥当かを見極めたうえで、優先度を明確に示す伴走型の支援が求められています。
セキュリティは“やれば終わり”ではなく、日々の業務とともに育てていくもの。中小企業が自らのペースで無理なく続けられる対策こそが、現場に根付く“リアルなセキュリティ”の姿だと考えています。今後も東京都中小企業サイバーセキュリティ対策事業にご注目ください。

皆様からのご意見・ご感想は本ウェブサイトの下部に記載のあるお問い合わせ先へ是非お寄せください。