IPA（独立行政法人情報処理推進機構）セキュリティセンターは、全国の中小企業に勤務する従業員1,000名に対して実施したサイバーセキュリティに関するアンケートの結果を公開しました。

中小企業従業員からの回答から10.5%が過去3年間でサイバーセキュリティ上の事故やトラブルを経験したとしています。トラブルのトップは、「ウイルス・ランサムウェアによる被害」、次に「取引先を装った偽メールによるウイルス感染」そして「テレワーク等のニューノーマルな働き方を狙ったサイバー攻撃」 と続きます。主に脆弱性対策が行き届きにくい中小企業のエンドポイントが狙われた結果が読み取れます。

また、サイバーセキュリティ上の事故やトラブルに関して、勤務先が社外への公表・公開等（プレスリリース や、HP等への掲載等で）を行ったと答えた中小企業従業員は「複数回ある」18.1%、「1回ある」22.9%で計41.0%という結果になっています。

さらに、従業員個人として経験したサイバーセキュリティ上の事故やトラブルとして「ウイルス・ランサムウェア感染」が1位で 4.2%。しかしその事故やトラブルの半数以上は会社や上司に報告していないという結果でした。

つまり、中小企業においてはそのような事象が明らかになっていない“かくれサイバートラブル”が存在していて、実際の被害は報告されているものより相当数多い可能性があるとしています。

中小企業の多くが何らかのビジネスのサプライチェーンに関わっていることを考えると、とても恐ろしい話と言えます。中小企業従業員のPCが十分な脆弱性対策がなされずに、メールなどを使ったマルウェアに感染していた場合、その感染したPCとやり取りがあったメールアドレスにマルウェアが送られていてもおかしくない状態だからです。

サイバー攻撃の多くは、このような経緯による観戦をサプライチェーンの中で連鎖させることで大企業へ脅威を与えようとしています。このような状況となった今では、セキュリティ対策は自分たちの企業の中だけを守るものではなくサプライチェーンの末端までを含めて対策をすすめる必要があると言えます。

グループ企業内では、同一のセキュリティポリシーを徹底させるなどの施策を取られていると思います。設定したセキュリティポリシーを遵守するために各企業はそれなりのセキュリティ投資も行っていると思います。しかし、仕入先やその先の仕入先企業に対してや、販売網を担う企業に対して大企業と同様なセキュリティ対策を求めるには費用面での難しさがあります。

アンケート結果にもあるように中小企業におけるエンドポイントのPCの感染をできる限り防ぐという最低限の対策を徹底させてはどうでしょうか。中小企業であってもウイルス対策ソフトは導入していると思います。しかしその定義ファイルの更新やバージョンアップは利用者任せになっているかもしれません。また、OSやその他ソフトウェアに脆弱性への対応も利用者任せになっているかもしれません。

クラウドから無料で毎日脆弱性診断を提供する「PCドック」は、インターネットを利用するPCに対してどの規模の企業であってもご利用いただけます。そして脆弱性診断の結果から詳しい診断書を提示します。さらに見つかった脆弱性に対する処方箋として対策を紹介します。

中小企業においても対策が可能となる、低コストで行える脆弱性対策に導いていく仕組みです。まずは、無償でサプライチェーンでつながるPCの診断を無償で展開してみてはいかがでしょう。

It's only fair to share...
00