2024.10.18 (Fri)
いま企業に求められる情報セキュリティ対策(第30回)
日本のセキュリティ知識は世界最下位!?どうすれば向上するのか
ある調査によると、日本のサイバーセキュリティとインターネットプライバシーに関する知識は世界で「最下位」だったといいます。その背景には、特に中小企業において、従業員に対するセキュリティ研修が行われていないことが影響しているかもしれません。大企業よりも資金力に劣る中小企業は、どのようにセキュリティ対策に取り組む必要があるのでしょうか?
日本のセキュリティ知識は世界で最下位!?
自社の機密情報をサイバー攻撃から守るために、セキュリティ対策は欠かせません。しかし、日本人のサイバーセキュリティに対する意識は、そこまで高くないようです。
サイバーセキュリティ企業「NordVPN」は2024年8月、世界の人々がセキュリティに対する意識を評価するための国際的な調査「ナショナル・プライバシー・テスト(NPT)」を実施。この調査によると、サイバーセキュリティとインターネットプライバシーの知識において、日本は最下位になったといいます。
特にスコアが低かったのは、ハッカーから身代金を要求された時の対処法・フィッシング攻撃への対処法、銀行から預金引き出しに関する通知メールが突然届いた場合の対処法、AI技術を利用した詐欺の手口に対する意識でした。さらに、AIを仕事で使う際にどのようなプライバシー問題を考慮すべきか分かっている人の数も調査対象わずか5%と、非常に低い割合となっています。
なおサイバーセキュリティとプライバシーの意識が高い国は、シンガポール、フィンランド、リトアニア、ドイツ、アメリカが挙がっています。逆に低い国は韓国で、日本と同様最下位でした。
不正アクセス対策の社内研修を行った中小企業はわずか20%
日本のサイバーセキュリティに対する意識が低い背景には、そもそも従業員に対するセキュリティ教育が行われていないことも原因のひとつとして考えられます。
東京商工リサーチが2024年8月に公開した「不正アクセスと情報セキュリティ対策に対するアンケート」という調査によると、不正アクセス対策として研修を実施した企業の割合は、大企業は62.1%と半数を超えていましたが、中小企業はわずか22.0%と、企業規模によって40.1ポイントの大差がありました。
他の調査でも、中小企業ではセキュリティ対策が進んでいないデータが存在します。IPA(独立行政法人 情報処理推進機構)が発表した「2021年度 中小企業における情報セキュリティ対策に関する実態調査」という資料では、中小企業がセキュリティ対策投資を行わなかった理由として「必要性を感じていない(40.5%)」「費用対効果が見えない(24.9%)」「コストがかかりすぎる(22.0%)」といった回答が挙がっています。
中小企業は、大企業と比べると予算に限りがあるため、コストに相応の負担が求められるセキュリティ対策に対し、積極的に投資することを諦めがちです。そのため、セキュリティ対策への意識も高まらず、サイバーテロの被害に遭う危険性が高まるという悪循環に陥っている中小企業は多いことが予想されます。
東京都が自社でセキュリティ対策を行う中小企業を支援
最近では、行政が中小企業のセキュリティ対策を支援する取り組みも進みつつあります。
たとえば東京都では、2023年7月より「中小企業サイバーセキュリティ対策継続支援事業」を実施しています。この事業は、セミナー、ワークショップ、専門家派遣などによって、中小企業が自社でセキュリティ対策を実行できるようサポートするものです。
同事業では、採用された企業の事例集も公開されています。たとえばある電子機器製造会社は、取引先が求める厳格なセキュリティ基準に対応する必要があり、セキュリティの知見を得るためにこの事業に参加。すると、自社のUTM(統合脅威管理)設定やバックアップ運用体制、バックアップからデータを復旧する方法などを見直す必要があることが判明したといいます。
対策としては、専門家による確認を踏まえてセキュリティ課題の可視化を行い、ログの改ざんや消失の防止策、監視ツールの導入など管理方法の検討など、取引先が求めるセキュリティ基準を満たすための必要な対応策の導入を検討しています。加えて、従業員に貸与しているスマートフォンについてもセキュリティ規程が未整備だったため、社内の利用ルールを明文化し、セキュリティ規程に盛り込むことにしました。
別のある人材サービス会社では、セキュリティの専門知識がなく、対策についてもベンダー任せだったといいます。そこで都の派遣支援を受け、自社のセキュリティの課題を洗いだしたところ、クラウドサービス利用時の多要素認証が未導入で、かつ情報資産管理台帳の整理ができていないことが分かりました。
事業の専門家より「リスクの大きい課題から実務的に解決すべき」と指摘された同社は、すぐに着手できる課題から改善を目指すことを決定。ベンダーから提供されている脆弱性情報を自社で収集するようにし、サーバー入れ替え時にアクセスログの取得も実施。クラウドサービス利用時における多要素認証の導入も検討しました。本格的な着手は翌年度よりスタートする予定で、将来的には、全従業員を巻き込む形で運用していくことを目指しているといいます。
中小企業のセキュリティ対策導入をサポートする補助金も
行政による補助金事業はほかにも、中小企業基盤整備機構が実施している「IT導入補助金2024」のセキュリティ対策推進枠があります。これは中小企業・小規模事業者がセキュリティ対策を導入した際、その費用を補助するというものです。
補助対象となるサービスは、情報処理推進機構(IPA)が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているものに限られます。補助率は費用の1/2以内で、補助額は5万円以上~100万円以下に設定されています。
大企業と比べると、中小企業は資金的に苦しく、セキュリティ対策まで手が回らないというのが実情です。しかし、こうした精度を活用すれば、中小企業でもセキュリティ対策を進めることは可能です。自社だけでは対策が難しいのであれば、支援事業や補助金の力を借りるというのも、中小企業の賢い選択肢といえるでしょう。
連載記事一覧
- 第1回 クラウド時代のサイバー犯罪「なりすまし」をどう防ぐ?2023.11.10 (Fri)
- 第2回 社外で使用するPCやスマホをどうやって管理する? MDMのススメ2023.11.10 (Fri)
- 第3回 "サイバー攻撃は防げない"が前提のセキュリティ対策「EDR」とは2023.11.10 (Fri)
- 第4回 クラウドに潜む情報漏えいの危険は「CASB」で守る2023.11.10 (Fri)
- 第5回 ゼロトラストとは何か?導入のメリットを解説2023.11.17 (Fri)
- 第6回 新たな詐欺「スミッシング」を防ぐ方法とは2023.12.21 (Thu)
- 第7回 便利だけど危険!?「フリーWi-Fi」を安全に使う方法2024.01.17 (Wed)
- 第8回 ウイルス感染の警告は嘘?「サポート詐欺」が増加中2024.02.09 (Fri)
- 第9回 「スマート工場」に求められるセキュリティとは?2024.03.29 (Fri)
- 第10回 すべての通信を信用しない「ゼロトラスト」とは何なのか2024.03.29 (Fri)
- 第11回 未解決の脆弱性を狙った「ゼロデイ攻撃」を防ぐ方法とは2024.03.29 (Fri)
- 第12回 「IoTボットネット」にご注意。総務省の資料を読み解く2024.03.29 (Fri)
- 第13回 フィッシング詐欺はどうやって防げば良いのか?2024.03.29 (Fri)
- 第14回 「遠隔操作ソフト」が詐欺に使われている!その手口とは2024.03.29 (Fri)
- 第15回 過去15年で最悪の被害件数「特殊詐欺」の防ぎ方2024.03.29 (Fri)
- 第17回 Gmailにメールが届かなくなる?ガイドラインが変更2024.03.29 (Fri)
- 第16回 パスワードが無くても認証はできる!「パスキー」とは2024.03.29 (Fri)
- 第18回 IPAが選出、2024年の「情報セキュリティ10大脅威」とは2024.03.29 (Fri)
- 第19回 返金されない?オンラインゲームの無断課金にご注意2024.05.22 (Wed)
- 第20回 その動画、本物?偽物?ディープフェイクの脅威2024.07.11 (Thu)
- 第21回 攻撃を察知し先手を取る。「能動的サイバー防御」とは2024.07.12 (Fri)
- 第22回 悪質な通販サイトを見分けるポイントとは2024.07.12 (Fri)
- 第23回 知らぬ間にスマホが乗っ取られる「SIMスワップ」の恐怖2024.07.12 (Fri)
- 第24回 詐欺トレンド、ライブ配信を狙ったフィッシング詐欺にご注意2024.08.08 (Thu)
- 第25回 自分の個人情報が「ダークウェブ」に流出!?チェックする方法とは2024.08.08 (Thu)
- 第26回 パスワードの定期的な変更は不要!今年5月に刷新された総務省の指針を読み解く2024.08.08 (Thu)
- 第27回 あなたは見破れるか?ビジネスメールに扮した「BEC詐欺」の手口2024.09.24 (Tue)
- 第28回 頼れる存在「ホワイトハッカー」を社内で育成する方法2024.09.24 (Tue)
- 第29回 その情報、拡散しても大丈夫?災害時のニセ情報の見分け方2024.10.08 (Tue)
- 第30回 日本のセキュリティ知識は世界最下位!?どうすれば向上するのか2024.10.18 (Fri)
