中小企業
サイバー攻撃の標的は大企業から中小企業へ
~サプライチェーン全体の
セキュリティ対策が重要に~
製造現場のDX・デジタル化が進む一方で、中小製造業を含めたサプライチェーン全体のサイバーセキュリティ対策の重要性が増しています。
製造業のデジタル化が進み、これまでインターネットに接続されていなかった生産設備やコンピュータなどが接続されるようになりました。企業間のデータ共有・データ連携はますます活発になり、製造現場では各種スマートデバイスが投入されています。Google WorkspaceやMicrosoft 365など、サーバー上のソフトウエアをサブスクリプションサービスとして利用するSaaS(Software as a Service)の普及も進んでいます。
こうした“情報端末”と“通信経路”の多様化により、サイバー攻撃を受けるリスク、サイバー攻撃が事業に悪影響をおよぼすリスクは、ますます高まっています。また、サプライチェーンを構成する中小企業は、発注元企業への「標的型攻撃」(後述)の足がかりにされる懸念もあり、早急な対策が求められています。
対策の遅れが目立つ中小企業
― 意識改革が課題
しかしながら、セキュリティ対策に対する中小企業の意識改革はなかなか進んでいないのが実情です。
独立行政法人 情報処理推進機構※(以下 IPA)が2021年度に実施した「中小企業における情報セキュリティ対策に関する実態調査」では、情報セキュリティ関連の被害を防止するために講じている組織面・運用面の対策として、「セキュリティ対策を特に実施していない」とする回答が30.0%にのぼりました。過去3期の「情報セキュリティ対策投資」についても、「投資を行っていない」と回答した企業が33.1%を占めています。
※経済産業省が所管となり、日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人。略称IPA
出典:(独)情報処理推進機構「中小企業における
情報セキュリティ対策に関する実態調査」
情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」(40.5%)が最も多く、「費用対効果が見えない」(24.9%)、「コストがかかりすぎる」(22.0%)と続いています。
(企業規模別)
出典:(独)情報処理推進機構「中小企業における
情報セキュリティ対策に関する実態調査」
取引先からの情報セキュリティに関する条項・取引上の要請の有無については、63.2%の企業が「義務・要請はない」と回答しました。その一方、「義務・要請がある」企業は26.1%で、発注元企業からの要請としては「秘密保持」が93.8%と最も高く、「契約終了後の情報資産の扱い(返却、消去、廃棄など)」(36.3%)、「情報セキュリティに関する契約内容に違反した場合の措置」(32.4%)が続きました。
経済産業省が大企業・中小企業を対象に策定した「サイバーセキュリティ経営ガイドライン」では、委託先(サプライヤー)の対策状況まで考慮する「サプライチェーンセキュリティ対策」の実践が推奨されており、今後は発注元メーカーからサプライヤーへの“要請”が強化されていくことが予想されます。
サイバー攻撃の被害は計り知れない
2022年3月には、トヨタ自動車の1次サプライヤーがサイバー攻撃を受けた影響で、トヨタ自動車の国内全14工場28ラインが稼働を一時ストップしました。奇しくも日本自動車部品工業会などの業界団体が会員企業に対して「ランサムウエア」(後述)への対策を呼びかけていたタイミングで、自動車業界のみならず多くの製造業にとって衝撃的な事件となりました。
標的となったのは1次サプライヤーの子会社で、特定外部企業との専用通信に利用していたリモート接続機器に脆弱性があり、そこから侵入を許しました。攻撃者はリモート接続機器から子会社内のネットワークへ、さらに1次サプライヤーのネットワークへと侵入して、サーバーやパソコン端末へと攻撃を展開。また、ランサムウエアによって、サーバーやパソコン端末の一部ではデータが暗号化されました。
この事例からもわかるとおり、中小企業といえども、いったん被害に遭えばその影響は計り知れません。もし、セキュリティ対策の不備から情報漏洩が発生すれば機密保持契約(NDA)などに抵触します。
顧客の大企業を攻撃するための“踏み台”にされれば意図せずして加害者となってしまいます。貴重な資産(データなど)の消失、業務の停滞、被害者への損害賠償、取引停止や顧客の喪失などにもつながる可能性があります。
「サプライチェーン攻撃」
「ランサムウエア」などに要警戒
サイバー攻撃には、攻撃対象や攻撃手法によってさまざまな種類があります。中でも中小製造業が警戒すべきなのは、特定の企業を標的とした「標的型攻撃」と「サプライチェーン攻撃」、攻撃手法としては「ランサムウエア」をはじめとした「不正プログラム(コンピュータウイルス)」と「不正アクセス」でしょう。
「標的型攻撃」は、特定の個人や組織を狙った攻撃で、業務関連のメールを装ったマルウエア(不正プログラム)付きメールを組織の担当者へ送付する手口が知られています。攻撃者は、感染に成功したマルウエアを踏み台にして組織内のネットワークに侵入し、パソコンやサーバーなどから機密情報を盗み出すなどの不正行為を行います。
「サプライチェーン攻撃」は、標的となる大企業を直接攻撃するのではなく、セキュリティ対策への意識が甘く、脆弱性が目立つ中小サプライヤーを踏み台にして、間接的に大企業を攻撃します。近年は「サプライチェーン攻撃」が急速に増加しており、標的が大企業から中小企業へとシフトしているとみられています。
不正プログラムの一種である「ランサムウエア」は、感染したパソコンやサーバーなどのデータを暗号化して使えなくさせ、復号(元に戻す)の見返りとして金銭(身代金=ランサム)を要求するというもので、世界中で感染が拡大しています。要求どおりに金銭を支払っても復旧する保証はありません。以前は「無差別攻撃」でしたが、人手により明確に標的を定める新たな手口が生まれ、脅威の度合いが増しています。2021年以降は中小企業のランサムウエア被害が急速に増加しており、警察庁によると、2021年の被害報告146件のうち、中小企業が79件と過半数を占めています。
現在、猛威を振るっているのが「Emotet」(エモテット)と呼ばれる不正プログラムです。「Emotet」は、取引先との正当なやりとりを装うなど不正なメールによる攻撃を行います。メールの添付ファイル(Excelファイルなど)を開いたり、リンクをクリックしたりすることで感染し、情報を窃取したり、「標的型攻撃」や「ランサムウエア」を含むほかのサイバー攻撃の起点となったりします。
セキュリティ対策①
― できることから始める
これらの脅威に対して、中小製造業はどのようなステップでセキュリティ対策を実践すれば良いのでしょうか。
セキュリティ対策に取り組む際、「中小企業の情報セキュリティ対策ガイドライン」(IPA)は必携資料といえるでしょう。経営者が認識し実施すべき指針をまとめた「経営者編」と、社内において対策を実践する際の手順や手法をまとめた「実践編」で構成され、現在は第3版が公開されています。これを一読のうえ、段階を踏んで「できることから取り組んでいく」のが、最も堅実な対応と思われます。
「ガイドライン」で推奨されている最初のステップは、「情報セキュリティ5カ条」(IPA)への対応です。この「5カ条」は基本中の基本であり、「企業の規模にかかわらず、(経営者のトップダウンで)必ず実行すべき重要な対策」(IPA)とされています。
【情報セキュリティ5カ条】
- ①OSやソフトウエアは常に最新の状態にしよう!
- OSやソフトウエアを古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染 してしまう危険性があります。お使いのOSやソフトウエアには、修正プログラムを適用する、もしくは最新版を利用するようにしましょう。
- ②ウイルス対策ソフトを導入しよう!
- ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。 ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。
- ③パスワードを強化しよう!
- パスワードが推測や解析されたり、Webサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。 パスワードは「長く」、「複雑に」、「使い回さない」ようにして強化しましょう。
- ④共有設定を見直そう!
- データ保管などのWebサービスやネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を覗き 見られるトラブルが増えています。 無関係な人が、Webサービスや機器を使うことができるような設定になっていないことを確認しましょう。
- ⑤脅威や攻撃の手口を知ろう!
- 取引先や関係者と偽ってウイルス付きのメールを送ってきたり、正規のWebサイトに似せた偽サイトを立ち上げて ID・パスワードを盗もうとする巧妙な手口が増えています。 脅威や攻撃の手口を知って対策をとりましょう。
※出典:独立行政法人 情報処理推進機構(IPA)
セキュリティ対策②
― 組織的に取り組む
次のステップは「組織的な取り組み」の第一歩です。ここからは経営者だけでなく、現在実施しているセキュリティ対策の状況を具体的に把握している管理者・担当者も関与する必要があります。
まず、「情報セキュリティ基本方針(サンプル)」(IPA)を参考に「情報セキュリティ基本方針」を作成し、従業員や顧客に周知します。
次に「5分でできる!情報セキュリティ自社診断」(IPA)で自社の状況を把握し、できていない対策、実施すべき対策を検討します。実施する対策が決まったら、「情報セキュリティハンドブック(ひな形)」(IPA)をもとに「情報セキュリティハンドブック」を作成し、従業員に配布して周知します。
※ 上記リンク掲載ページはこちら>
IPA 中小企業の情報セキュリティ対策ガイドライン
「5分でできる!
情報セキュリティ自社診断」
「情報セキュリティ
ハンドブック(ひな形)」
※出典: (独)情報処理推進機構(IPA)
セキュリティ対策自己宣言
「SECURITY ACTION」
ここまでの内容は、中小企業みずからがセキュリティ対策の取り組むことを自己宣言する制度「SECURITY ACTION」と対応しています。
「セキュリティ対策① ― できることから始める」で紹介した取り組み(5カ条)は「SECURITY ACTION」の「一つ星」に、「セキュリティ対策② ― 組織的に取り組む」で紹介した取り組み(基本方針・自社診断・ハンドブック)は「二つ星」に、それぞれ対応しているかたちです。
中小企業は、「SECURITY ACTION」の制度に従って自己宣言することで、「一つ星」または「二つ星」のロゴマークを名刺・封筒・会社案内・Webサイトなどに表示し、セキュリティ対策に取り組んでいることを対外的にアピールできます。また、「IT導入補助金」を申請する際は「SECURITY ACTION」の宣言が必須条件となっています。
「SECURITY ACTION」のロゴマーク
ワンパッケージ・低コストの
セキュリティ対策サービス
セキュリティ対策をより強固にするための方法としては、「サイバーセキュリティお助け隊サービス」の利用が考えられます。
これは、中小企業のセキュリティ対策に欠かせない「システムの異常監視」「緊急時の対応支援」「簡易サイバー保険」「相談窓口」をワンパッケージで提供する民間のサービスで、IPAが「サイバーセキュリティお助け隊サービス」として登録・公表しています。
登録されているサービスは、2022年3月31日時点で12サービス。中小企業でも導入・維持できる価格設定も要件に含まれており、ネットワーク一括監視型の場合は月額1万円(税別)以下、端末監視型の場合は端末1台あたり月額2000円(税別)以下(端末1台から契約可能)となっています。
(独)情報処理推進機構(IPA)の
「サイバーセキュリティお助け隊サービス」のWebサイト
「サイバーセキュリティお助け隊サービス」は「IT導入補助金」の対象にもなっています。「通常枠」「デジタル化基盤導入枠」ではメインのITツールと組み合わせて申請することで審査の加点対象となります。「セキュリティ対策推進枠」では、「サイバーセキュリティお助け隊サービス」単品で申請することもでき、最大2年分のサービス利用料が補助の対象となります。
「守り」の施策を「攻め」に生かす
DX・デジタル化にともなって、企業経営においてもIT活用による「攻め」の施策だけでなく、セキュリティ対策による「守り」の施策がますます重要になっていきます。DXとサイバーセキュリティは表裏一体ともいえ、大企業の場合は専門の部署が両者をバランス良く進めていくことに力を注いでいます。
しかし、資金面・人材面で制約が大きい中小企業にとっては違いいます。セキュリティ対策の成果は一言で言えば「何も起きないこと」です。例え経営者がセキュリティ対策の重要性を理解していたとしても、成果が目に見えず、売上も利益も生み出さない施策と認識している限りは、どうしても優先順位が低くなってしまいます。
このジレンマを解消するためには、発想の転換が必要です。補助金など国や自治体の支援制度を活用してコストを抑えつつ、「SECURITY ACTION」などの制度を利用して、企業価値の向上や顧客の信頼醸成といった新しい付加価値に結びつけていくこと ― セキュリティ対策を「コスト」でなく「投資」と位置づけ、「守り」だけでなく「攻め」にも生かしていくポジティブな姿勢が求められています。
記事:マシニスト出版