現在の企業を悩ませる問題の1つにサイバー攻撃があるのですが、現在特に狙われているのが中小企業です。
しかし、実は中小企業がサイバー攻撃の本命ではなく、中手企業を踏み台として大企業を攻撃することが本命なのです。
中小企業から大企業へと攻撃するサプライチェーン攻撃について、解説します。
セキュリティーが甘い中小企業
1980年代、インターネットの普及に伴ってサイバー攻撃が誕生しました。
当初はコンピューターウイルスやワームが中心だったのですが、コンピューターやインターネット回線の進化に伴って新たなサイバー攻撃も誕生しています。
現在は、パソコンやモバイル機器等、インターネットに接続するデバイスにはセキュリティーを導入するのが当たり前になっています。
しかし、サイバー攻撃はセキュリティーの進歩を上回るスピードで進化しているため、新たなサイバー攻撃が誕生したらセキュリティーが対応する、という形になっています。
また、サイバー攻撃は手口も巧妙になっています。
特に、中小企業に感染してから大手企業へと感染するという手口を使うことが増えています。
大企業はセキュリティーが厳重なので、直接サイバー攻撃としても防がれてしまうだけとなるため、データのやり取りをしている中小企業にサイバー攻撃をして、大企業へと感染していくという方法を選んでいるのです。
自動車のように製造業が多い日本企業では、何社もの取引先と共に製品を製造しています。
情報システムのアプリケーションも自社開発というケースは少ないため、サイバー攻撃においては付け入る隙が多いのです。
大企業でセキュリティー事故が発生したときは、取引先の中小企業のセキュリティーに問題があるケースが増えています。
中小企業では、自社で盗まれて困るデータが少ないと判断し他人事のように考えているため、無関心なことが多いのです。
取引先を攻撃するサプライチェーン攻撃は、正規サイトが配信しているソフトや公式ファイルを改ざんし、マルウェアを送り込むような攻撃も行っています。
日本を含む世界8か国では、大企業の約7割が攻撃を受けているのです。
大企業、中小企業それぞれの課題
サプライチェーン攻撃のリスクについては、以前から指摘されていました。
2015年に政府が公表したガイドラインでも、経営者は自社だけではなく、系列企業やサプライチェーンのビジネスパートナーを含めたセキュリティー対策が必須とされています。
しかし、対策が行き届いていないため、脅威は継続しています。
対策が行き届かない原因は、大企業と中小企業それぞれに異なります。
それぞれ、どのような原因があるのでしょうか?
大企業の原因は、人材不足です。
取引先を指導するためのセキュリティー人材が十分ではないため、取引先のことまで考えることができません。
また、大企業が契約の段階で、セキュリティーに関する要件や範囲などをあえて明確にしていないケースも少なくありません。
明確にしてしまうと、費用が上乗せされることとなるため、わざと曖昧にしているのです。
また、下請けいじめの一環としてセキュリティー対策に協力しないケースもあります。
一般的な商習慣と比べて過剰なセキュリティー対策を求める場合は、優越的地位を乱用したと思われてしまうこともあるのです。
中小企業は、セキュリティー対策にかかる人手や費用が不足しているせいで、十分な対策ができないというケースもあります。
また、サイバー攻撃を受けていることから目をそらしたい、と考えている経営者もいるでしょう。
課題を解決するために
大企業と中小企業では、それぞれ課題が異なります。
課題を解決するためには、まず大企業が主導してセキュリティー環境を整えるべきでしょう。
すでに米国では大企業が主導する形でセキュリティー対策を進めており、委託先での事故対応に必要な経費やサポートを委託元が負担するよう求めています。
しかし、日本では現場任せで委託先管理がいびつになっているのです。
中小企業を支援する機関や警視庁、IT企業、弁護士などは、東京中央企業サイバーセキュリティー支援ネットワーク(Tcyss)を発足し、中小企業のセキュリティー対策を支援しています。
Tcyssは都の専門相談員が相談窓口で相談を受け付けています。
相談窓口を通じて、セキュリティー対策の啓発活動、事故発生時の相互連携、情報共有などを展開しているのです。
都内の市区町村では、Tcyssを中心として地元の商工会議所や警察署と協定を結び、中小企業のセキュリティー対策に関する意識を向上させてサイバー攻撃でも被害を受けないようにすることを目的としています。
すでに約40の協定が結ばれていて、サイバー犯罪の最新の動向の発信や、セミナーの開催などを行っています。
サイバー攻撃を受けてしまった場合は、警察署が窓口になるように備えています。
また、都では資金援助も行っています。
東京都中小企業振興公社と協力し、都内の中小企業が対策に取り組む場合は、上限を1500万円として対策費用の半分を負担してくれるのです。
大坂でも対策が進められていて、2018年には中小企業を狙ったサイバー攻撃の実態を可視化させる実証実験も行いました。
全国初の試みで、セキュリティー意識の向上などを狙っていました。
国では、中小企業の事故対応支援としてサイバーセキュリティーお助け隊という制度を創設し、専用のサイバー保険に加入していれば地域のセキュリティー対策の人材が初動対応をしてくれるというものです。
ただし、現在のサイバー保険は年間数十万円の保険料がかかるため、大企業でなければ加入が難しいでしょう。
費用をできるだけ下げるため、人材の確保や対応する範囲などの調整も行っています。
まとめ
近年、企業の経営にはサイバー攻撃に備えたセキュリティー対策が必要なケースが増えています。
特に、大企業と取引がある中小企業に関しては、サプライチェーン攻撃に注意しなくてはいけません。
東京都や大阪府、もしくは国で、中小企業を対象としたセキュリティー対策の支援なども行っているため、セキュリティー対策に取り組むのが難しい場合はまず相談してみましょう。
