こんにちは、吉政創成 菱沼です。
諸々の事情によって増えつつあるサイバー攻撃。特に昨今はテレワークが浸透したことで従来のセキュリティ対策では不十分とされ、各企業はゼロトラストを前提とした対策を行われていると思います。
とはいえ、セキュリティ対策にはコストはもちろん労力もかかりますので、資金もセキュリティ人材も得やすい大手企業はともかく、中小企業はどちらも確保が難しい状況だと思います。実際のところ、どの程度まで対応しているのでしょうか。
そこで先日、IPAが公開した「2021年度中小企業における情報セキュリティ対策の実態調査報告書」をもとに中小企業のセキュリティ対策の実態について考えてみたいと思います。
中小企業を狙ったサプライチェーン攻撃の脅威がより強まっている
データを見る前に、中小企業を取り巻くサイバー攻撃関連の環境について振り返ってみます。
昨今増えているサイバー攻撃の手法としては、中小企業のセキュリティの穴を狙い、大手企業への侵入の踏み台にするサプライチェーン攻撃があります。
多くの大手企業はセキュリティ対策が万全で、且つ、情報システム部門やセキュリティ専任の担当者がいるなど、サイバー攻撃へ対処できるだけの体制が整っていることが多く、攻撃者が直接サイバー攻撃を仕掛けるにはなかなかガードが固く難しい状況です。
そんな中、大手企業と取引のある中小企業のセキュリティ対策が甘ければ、そこから情報を抜き取ることもできますし、それを踏み台にして大手企業にサイバー攻撃を仕掛けることも容易になりますので、セキュリティ対策の甘い中小企業がサイバー攻撃者に狙われる要因となりました。
このサプライチェーン攻撃は、IPAが毎年出している「情報セキュリティ10大脅威」で2019年に4位で登場し、以降順位を変えずにいましたが、今年公開された「情報セキュリティ10大脅威 2022」では3位になっています。以前よりリスクが上がっている以上、警戒した方がよさそうです。
サイバー攻撃被害に遭ったことを認識できていない可能性が高いとIPA
そんな狙われる中小企業ですが、実際のところどの程度の対策を行っているのでしょうか。あらためて「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を見てみたいと思います。
まず過去3期において情報セキュリティ対策対して約33%の企業が投資をしていないと回答してます。
投資を行わなかった理由としては「必要性を感じていない(40.5%)」、「費用対効果が見えない(24.9%)」、「コストがかかりすぎる(22.0%)」、「どこから始めたらいいかわからない(20.7%)」、「導入後の手間がかかる(6.5%)」でした。
とはいえ、5年前の前回調査から比べると被害防止のための組織面・運用面の対策の実施状況は改善しているらしく、中小企業であっても徐々にセキュリティ対策の重要性が上がってきているようではあります。
次に、具体的にどんな製品を導入しているかですが、ウイルス対策ソフト(82.3%)が最も多く、続いてファイアウォール(34.6%)、ワンタイムパスワード・生体認証等の個人認証(16.1%)、メールフィルタリング(誤送信防止、スパムメール対策含む/12%)、VPN(11.9%)、Web閲覧フィルタリング(11.6%)といったものになっています。
また、何らかの被害に遭ったと認識しているのは5.7%で、その経路の多くが電子メール、インターネット接続、ダウンロードファイルだったと回答しています。
ちなみに約84%が被害に遭っていないと回答していますが、IPAは令和2年にサイバーセキュリティお助け隊事業において、中小企業1117社に設置した機器が外部からの不審なアクセスを181,536件検知しているとのことで、IPAとしてはサイバー攻撃に遭ったことを認識できていない可能性が否定できないと考えているようです。
サイバー攻撃リスクに対処するには気づくための運用が必要、まずはUTMで
直近のサイバー攻撃リスクの高まりを鑑みた政府は今年の2月にサイバーセキュリティ対策強化を促しています。
多くの攻撃者はその時だけネットワーク内を監視するのではなく、長期にわたって監視し、情報を得たうえで攻撃が仕掛けられたら困るタイミングを狙うこともあると聞きますので、なるべく早い段階でセキュリティ対策強化を進めた方がよさそうな状況です。
ちなみに政府の注意喚起を受け、SC3はサプライチェーン攻撃の取り組み事例を公開していますので、こちらも是非ご参考にご一読ください。
サイバー攻撃に遭っているかを認識するには、日々の運用で得られるログデータとその分析(と、分析できる人)が必要です。
それにはUTMなどの特化したソリューションでなくてはできません。
それに対して、先に挙げたセキュリティ関連製品・サービスの導入状況の中で、セキュリティ情報管理システム(ログ情報の統合・分析など)は5.8%と、ほかの製品に比べ低めになっています。
その理由はおそらく、UTMなどのセキュリティソリューションが高額であることや、セキュリティ人材不足による効果的な運用が難しいなどの理由があったのではないかと考えられます。
とはいえ、日々の運用データが蓄積されて初めて異常に気づくことができます。
UTM製品はあらゆる攻撃手法への対応だけでなく、レポート機能も保有しており、セキュリティ状況の可視化が可能です。
まず何から始めればいいのかわからない、必要な機器をすべて入れるには予算が厳しいといった場合には検討してみるのもいいのではないでしょうか。それと同時にセキュリティ人材の育成についても専門家のアドバイスを得ながら進めていかれるのが良いのではないかと思います。
さて、ランシステムがおすすめしているUTM製品は2つあります。
ネットワーク機器で高評価を得ているヤマハ社による中小企業向けのUTM製品UTXシリーズと、WatchGuard社のWatchGuard Firebox UTMです。
UTXシリーズについてはランシステム黒澤さまによる解説・実験記事が公開されていますのでそちらをご覧ください。
WatchGuard Firebox UTMの詳細は以下よりご覧ください。
ご興味がある方はぜひお問い合わせ頂ければと思います。