独立行政法人情報処理推進機構
セキュリティセンター企画部 中小企業支援グループ

白川 浩しらかわ ひろし 様

デジタル化を進める上では欠かせない情報セキュリティ対策。中小企業がどのように対策を進めるべきか、IPA(独立行政法人情報処理推進機構)の白川様にお話を伺いました。

インタビューに答える白川様(2022年8月インタビュー実施)

中小企業も対策が必要 サイバー攻撃する側にとって企業規模は関係ない

デジタル化やDX(デジタル・トランスフォーメーション)が進むことで、サイバー攻撃が増加することが予想されますが、国内ではどのような被害が発生していますか。
直近でニュースとなった被害ですが、2022年2月末に愛知県の自動車部品を製造する企業がサイバー攻撃を受けた結果、自動車メーカーへの部品の供給が止まり、自動車メーカーの国内全工場が稼働停止につながりました。
また、少し前になりますが、2021年10月末には、徳島県にある町立病院では、サイバー攻撃により電子カルテの閲覧ができなくなりました。診療報酬の請求もできず、収入のない状況での診療を余儀なくされ、新規患者の受け入れ停止等の業務が大幅に制限されるという事態となりました。
サイバー攻撃は、大企業が狙われるイメージがありますが、いかがでしょうか。
サイバー攻撃をする側は、大企業や中小企業の区別はないと思います。攻撃者は、いかに容易に多くの金銭を取得できるかを念頭に活動していると思われますので、サイバー攻撃による業務継続不可や情報漏えいにより影響を受ける範囲で多額の金銭が得られると想定されれば、中小企業でも攻撃対象になり得ます。この場合、金銭の請求先が攻撃対象の企業とは限りません。取引先の重要情報やサプライチェーンへの影響を人質に、取引先の大企業に金銭を要求するケースも考えられます。
また、一般的に資金と要員が豊富でしっかりとしたセキュリティ対策をしていることが多い大企業より、対策が不十分な中小企業が標的にされやすいことも事実です。
中小企業に対するサイバー攻撃の数や被害状況を教えてください。
2020年度にIPAが実施した中小企業向けサイバーセキュリティ対策支援体制構築事業において、4県(青森県、宮城県、秋田県、山形県)の中小企業40社にUTM機器※1を設置したところ、3か月間で延べ110件の不正アクセスと115件のマルウェアが検知されました。これらの件数は、外部からの攻撃に対しファイアウォール※2を通過したものに限定されたものですので、ファイアウォールを通過しないものを含む実際の攻撃件数は膨大になると思われます。
被害状況としては、昨年度に実施した「中小企業における情報セキュリティ対策に関する実態調査」によると調査対象の5.7%の企業から過去1年間で何らかの情報セキュリティ被害にあったと回答しています。全国の中小企業・小規模事業者の数を約350万者とすると、単純計算では約20万者が被害を受けたことになります。
2020年度における情報セキュリティ被害の有無
(中小企業における情報セキュリティ対策に関する実態調査)※3


※1:複数の異なるセキュリティ機能を統合し、集中的にネットワーク管理を行うための危機
※2:内部のイントラネットを外部から侵入してくる不正アクセス等を防護するための「防火壁」
※3:IPAウェブサイト(https://www.ipa.go.jp/security/fy2021/reports/sme/index.html)から引用

やるべき情報セキュリティ対策。まずは「情報セキュリティ5か条」の実行。

情報セキュリティを「自社には関係ない」と考えている事業者もいます。そもそもなぜ、情報セキュリティ対策が必要なのでしょうか。
事業者様の多くは、自社にはサイバー攻撃を受けるような情報はないとおっしゃいます。しかし、本当にそうでしょうか。顧客情報、従業員情報、取引先の情報など、漏洩したら困る情報は必ず存在します。情報の対象となった方に迷惑がかかることはもちろんですが、情報が容易に漏洩する企業と好んで取引をする方はいませんので、情報セキュリティ対策の不備が企業活動の存続にかかわることも否定できません。
また、情報セキュリティ対策はインターネットに関することだけではありません。あってはいけないことですが、従業員による情報の持ち出しによる漏洩も視野に入れた対策を行っていることを企業内で明示することで、そういった行為への牽制になります。
「何をして良いか分からない」という事業者もいますが、事業者が「まず、やるべきこと」を教えてください。
秋田県内に限った話ではなく、事業者様から、情報セキュリティ対策の重要性は認識したが、具体的に何から行って良いかわからないという声を多く聞きます。IPA中小企業支援グループでは、そういった事業者様にSECURITY ACTION制度を紹介しています。
SECURITY ACTION制度には、「一つ星」と「二つ星」がありますが、1段階目の一つ星は、情報セキュリティ5か条に取り組むことを宣言していただくことで登録ができます。基本的な5項目ですので、事業者様にとって大きな負担なく、情報セキュリティ対策を始めることができます。

基本的な対策をしている企業が、情報セキュリティ対策を更に進める際は、どのように取り組めばよろしいでしょうか。
IPAが発行している「中小企業の情報セキュリティ対策のガイドライン」では、Step2「現状を知り改善しましょう」として「5分でできる!情報セキュリティ自社診断」にて自社の状況を把握し、現時点で出来ていない対策の実行をおすすめしています。情報セキュリティ対策の重要なポイントに、「現状を知る」ことがあります。これは何ができていて何ができていないかを理解していなければ、有効な対策が取れないからです。SECURITY ACTION制度では、この「5分でできる!情報セキュリティ自社診断」を実施し、自社の「情報セキュリティ基本方針」を公開することが2段階目の二つ星の要件となっています。

SECURITY ACTION制度

「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。
URL https://www.ipa.go.jp/security/security-action/index.html

情報資産を把握し、必要な対策を決める

「どこまで対策すべきか」という声も聞かれます。何か良いアドバイスはありますか。
情報セキュリティ上のリスクは、時間とともに変化するため、残念ながら情報セキュリティ対策に「万全」というものはありません。
「中小企業の情報セキュリティ対策のガイドライン」では、①どのような情報資産があるか洗い出して重要度を判断する、②優先的・重点的に対策が必要な情報資産を把握する、③リスクの大きな情報資産に対して必要とされる対策を決める、を取組のステップとしています。つまり、万が一発生した際の損害額が100万円と見積もった情報資産のために、1,000万円をかけて対策を実施するかということです。守るべき情報資産を把握し、どこまでなら時間をかけて対応・復旧できるのか、金銭面の準備(保険)をどこまでしておくかなどを、あらかじめ考えておくことが大切と考えます。

中小企業の情報セキュリティ対策のガイドライン

「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、(2)社内において対策を実践する際の手順や手法をまとめたものです。
URL https://www.ipa.go.jp/security/keihatsu/sme/guideline/

情報漏洩は、外部からの不正アクセスよりも社員などの人為的ミスによるものが多いという調査結果もありますが、人為的ミスを少なくするための対策を教えてください。
組織が情報セキュリティ対策に取り組んでいることを所属員に継続して周知しておくことが重要だと思います。これにより所属員が日頃から情報セキュリティ対策を意識した業務遂行に効果があると考えます。また、悪意による事故・インシデントの牽制にもつながります。
また、IPAが作成している情報セキュリティ対策の映像コンテンツを視聴いただく方法もあります。10分程度の映像ですので、朝礼や昼休みの食堂での放映や、定期的な社内研修に組み込んでいただくことなどはいかがでしょうか。工場などで安全衛生教育のビデオを放映している事業所もあるかと思いますので、同じように使っていただきたいと思います。

映像で知る情報セキュリティ

「映像で知る情報セキュリティ」はIPAセキュリティセンターが作成した情報セキュリティに関する様々な脅威と対策をドラマや図表を用いて分かりやすく解説した映像コンテンツです。
URL https://www.ipa.go.jp/security/keihatsu/videos/

自社の人材だけではセキュリティ対策を進めることが難しいという事業者もいますが、対策を行う際に専門家のアドバイスを受けることはできますか。
中小企業様が自社だけでセキュリティ対策の実施や要員の育成が難しいという声は他の自治体でもよくお聞きします。各県には、IT化、DXに詳しい専門家がいらっしゃると思いますので、まずは、地元に密着した商工会議所、商工会、産業振興センター、自治体等に相談窓口があれば相談いただき、専門家をご紹介いただくという方法がよいかと思いますので、事前にお調べいただくのがよいかと思います。ここで重要なのは、情報セキュリティ対策は、信頼できる先に相談することです。どんなセキュリティ対策を行っているかが外部に知れてしまうことは、対策の半分は意味がなくなります。
IPAでは、中小企業等に対して情報セキュリティの普及啓発を行う人材を「セキュリティプレゼンター」として登録する制度があり、全国の中小企業等における情報セキュリティ対策水準の向上を目的に、セキュリティプレゼンターによる普及啓発活動を推進しています。セキュリティプレゼンターはIPAのホームページから検索が可能となっておりますので、ぜひご利用ください。


【情報セキュリティ対策支援情報まとめページ】
次のページで、情報セキュリティ対策を進めるための各種コンテンツや相談窓口に関する情報を掲載しています。
https://digital.pref.akita.lg.jp/news/p20220511154306