特集
今すぐ必要なサイバー攻撃への備え

大阪商工会議所経営情報センター 次長
(所内情報化担当 兼 経営情報担当)

古川 佳和

大阪商工会議所
「商工会議所法」という法律に基づいて設立された地域総合経済団体(主に「市」ごとに設置)で、大阪商工会議所の設立は1878年(明治11年)。初代会頭は、NHKの連続テレビ小説「あさが来た」や大河ドラマ「青天を衝け」でも話題になった五代友厚。

2019年2月に公表された、調査対象すべての中小企業でサイバー攻撃が観測されたという報道を覚えていらっしゃるでしょうか(本誌Vol.69でも取り上げました)。その後、中小企業へのサイバー攻撃がさらに深刻化している現状に比べ、対策のスピードが加速しているとは言い難い状況が続いています。
今号では、日ごろから中小企業の皆さまと身近に接し、先の調査を実施された大阪商工会議所経営情報センターの古川佳和氏に、中小企業のセキュリティ対策についてお話を伺いました。

アンケートと実証実験からわかった
中小企業に対するサイバー攻撃の実態とその衝撃

商工会議所は、地域商工業の振興と発展のために活動している地域総合経済団体ですが、大阪商工会議所が中小企業のセキュリティ対策に注力されているのはなぜですか?

大阪商工会議所では1971年に経営情報センターを設置して以降、中小企業の情報化を推進してきました。当時はまだコンピューターが普及していない時代に、大型コンピューターを導入し、中小企業の給与計算等に活用されていましたが、90年代以降インターネットが普及すると、ホームページの作成から活用までを支援するサービスの提供をスタート。現在は会員企業の商取引を支援するWebサイト「ザ・ビジネスモール」で、インターネットを活用した商取引の場をご提供するサービスも展開しています。

その後、時代の流れとともにセキュリティ対策の必要性がクローズアップされるようになると、古くから中小企業のITに関わる活動を支援してきた私どもがやるべきことは、中小企業のセキュリティ対策を支援することではないかと考えるようになりました。

そこから実際にはどのような行動に移されたのでしょうか。

今から5~6年前、まずは神戸大学大学院の森井昌克教授に会員企業向けのセキュリティ対策についてご講演をお願いしました。セキュリティの専門家のお話を伺うと、自分たちが考えていた以上に中小企業にとってセキュリティ対策が重要であると実感。経営情報センターの45周年記念事業として本気で取り組むことを決意します。まず取り組んだのはセミナーの企画です。しかし、過去の経験から中小企業の皆さまは「守り」に対しては関心が薄く、セキュリティ対策を前面に出したセミナーでは人が集まらないことが予想できました。そこで、IT投資によって販路を開拓して売上を上げるなど、企業にとって関心の高いテーマである「攻め」のITとセットで実施。ITを活用して経営課題を解決する「攻めと守りのIT戦略」と題したセミナーは、ご好評いただくことができました。

セミナー以外にも、アンケートから得られた結果の公表や実態調査など、中小企業のセキュリティ対策を押し上げるためのさまざまな活動をされていらっしゃいますね。

実態調査は、私どもの取り組みに興味を持たれた報道機関からの取材を受けたことがきっかけで、中小企業のセキュリティ対策の実態を調べてみようという話になりました。そこで、近隣の商工会議所にも協力をお願いし、2017年3月に会員企業にアンケートを実施したところ、セキュリティにかけられる予算がなく対策が進んでいないという実態が明らかになります。予算の問題は予想していましたが、有効回答を得られた315社のうち、1/4がサイバー攻撃の被害を受けたことがあるという被害実態には驚きました。これは被害に“気づくことができた”数であって、残りの3/4の企業が被害に遭っていないわけではありません。そこで、さらに詳しい実態を調査するため、神戸大学、東京海上日動火災保険株式会社とともに2018年9月から2019年1月まで実証実験を行い、大阪市の中小企業30社のご協力を得てデータを収集しました。

2018年度に行われた、サイバー攻撃の実態調査の概要(大阪市の中小企業30社の協力を得て実施)

それが2019年2月に「30社中30社で攻撃を観測」と報じられた実証実験ですね。
調査した中小企業すべてに攻撃が行われていた報道は、インパクトがありました。

深刻な被害が確認できた企業に対しては、すぐに報告を行い対処してもらいましたが、どの企業にも最低限ウイルス対策ソフトウェアは導入されていたと記憶しています。まったく何の対策もしていない企業はなかったはずですから、まさか全社が被害に遭っているとは思わず、私どもも驚きました。

セキュリティ対策で大事なのは複数の相談先の確保。
販売会社やベンダーに加え、保険会社や取引先にも相談を。

中小企業の方々と身近に接していらっしゃるなかで、中小企業のセキュリティご担当者やベンダーに対して伝えたいことはありますか。

私どもが中小企業の皆さまにお伝えしたいのは、「今のままのセキュリティ意識では自分たちを守れない」「今のうちに、いざというときの相談先を確保する」という2点です。そのための手段として、地元の商工会議所や公的機関が主催するセミナー・イベントへの参加をお勧めしています。相談先はいくつか確保しておくべきで、保険会社や取引先もその1つです。また、自社にとって適切なアドバイスを受けるためには、日ごろからSkyさんなどのベンダーとの信頼関係を構築しておくことも重要だと思います。実際に被害を受けた場合には、警察も相談に乗ってくれます。

ベンダーの方々にお願いしたいのは、お客様に対しての説明と信頼関係の構築です。セキュリティ対策の提案に理解を得た上で納品し、売ったらそれで終わりにはしないでほしいと思います。私どももベンダーさん同様に中小企業へサービスを提供する立場でもありますので、ベンダーさんの気持ちもよくわかりますし、無償でサポートすることはビジネスですから難しい。しかし、セキュリティに限らず何でもそうですが、納得してもらえればお金は出せると思っています。以前、大阪商工会議所ではホームページの改ざんを検知するための巡回サービスを月額500円で提供していました。格安のサービスにもかかわらず、実際に利用されていたのは20社くらいです。一方、飲みに行ったら5,000円でも皆さん平気で支払われますよね。それは、5,000円の価値に納得しているからで、たとえ格安の500円であっても、お金を出そうとしないのは、サービスを利用する必要な理由が理解できないサイバー攻撃対策支援の価値には納得していただけなかったということだと思います。

近年発生しているサイバー攻撃による被害でよく見受けられるのが、適切なセキュリティ対策やサポート費用を出さなかった結果、かえってトラブルを招いてしまっている状況です。経営者は、納得できる提案が出てくればお金を出してくれるはずですから、ベンダーや販売会社の皆さんにはお客様に親身になりわかりやすく価値に納得してもらうための提案をぜひともお願いします。

セキュリティ対策がうまくいっていると感じられる中小企業の特徴についてお聞かせください。

成功しているかは別として、一般的に必要だといわれている対策を実施している企業では、経営者がサイバー攻撃による経営リスクを理解しています。セキュリティ対策のために導入するシステムにお金を出すかどうか、最終的に判断するのは経営者ですから、対策の価値を理解していなければ、正しい判断はできません。

また、お金の面だけではなく、経営者自ら社員にセキュリティ対策を指示できることも重要です。社員は「最終退出者が必ず施錠する」というルールを守っていると思いますが、セキュリティ対策も「ルールを守っているか」「守らなければならないと意識できているか」などのチェックを実施して把握することも必要だと思います。

経営者がセキュリティにあまり理解がない企業の場合、セキュリティご担当者から提案して理解を得ることはなかなか難しいと感じます。

そのような経営者に対しては、私どものような外部の人間による啓発活動が大事だと考えています。0に何をかけても0ですが、0.1にすることができれば、そこから対策に取り組むことで1に近づきます。そのため、私たちが最初に取り組むのは0の状態のセキュリティ対策を0.1にすることです。興味を持って1回でもセキュリティについて調べると、それ以降ブラウザ上にセキュリティ関係の広告が表示されるようになりますし、少しでも興味を持ってもらえれば、これまで気にも留めなかったサイバー攻撃やセキュリティのニュースが自然と入ってくるようになります。セキュリティに対する経営者の意識を変えることは内部からの働きかけでは非常に難しく、外部の力を使うことが有効です。そのため、地元の販売会社やサイバーセキュリティお助け隊のサービス事業者に相談してみてはいかがでしょうか。

中小企業のセキュリティ対策は
価格だけに注目せず「簡便」「安心・安全」も念頭に選定

2022年は、大手自動車メーカーのサプライチェーン傘下の企業がランサムウェア被害に遭い、丸1日工場が操業停止に追い込まれました。サプライチェーンの力を利用して、中小企業のセキュリティ対策を前進させることは難しいのでしょうか。

これまで大手企業では、セキュリティ対策の強要が下請振興法に抵触する可能性を気にされて強く要請できない状況にありました。そこで、私どもでは国に意見書を提出。企業がサプライチェーンを守るために中小企業に対し、中小企業を守るためのセキュリティ強化を求める際、同法に抵触しない範囲を明確化するように求めました。その結果、下請振興法の振興基準が改定され、親事業者(大手企業)による下請事業者(中小企業)へのセキュリティ対策の助言、支援を推奨するとの記載が追加されています。

セキュリティ対策はコストではなく投資です。しかし、中小企業の経営者からはセキュリティ対策をすればどれだけもうかるのかと聞かれることも少なくありません。必要性の理解には、直接の取引先から伝えていただくのが一番効果的です。下請振興法の振興基準の改定により安心して他社へのお願いができるようになったのではないかと思います。

中小企業のサイバーセキュリティ対策強化に関する要望の実施

サプライチェーンの委託元企業からの要請以外に、中小企業のセキュリティ対策向上に有効な方法はないでしょうか。

セキュリティ対策は、上から言われるよりも横から言われる方が納得感を得やすく、気持ちよく取り入れられると感じています。例えば、各種工業組合の会合等で「うちはこんなセキュリティ対策をしている」と話しているのを聞けば「うちもやらなければ」と思うはずです。これは日本人の特徴でもあります。海上で溺れている人を見つけたときの行動に国民性が出るといわれるたとえ話をご存じですか。ある国の人は「助けるとヒーローになれる」、またある国の人は「ここで助けたらモテる」と考えるそうですが、日本人は「誰々さんも助けに行っているから自分も行く」という思考になるのだとか。それぞれの国民性を皮肉ったジョークなのであまりいい話ではありませんが、日本人は横を見て同じようにするのが好きな国民性であることに納得する方は多いため、セキュリティ対策にもそれを生かしていくべきだと思います。

現在は新型コロナウイルス感染症対策で中断していますが、大阪商工会議所でも企業が気軽に参加できる交流会を実施してきました。商工会議所の会員になる一番の目的は、販路と人脈の開拓なので、私どもが提供するのはそのための場所です。ほかの商工会議所でも交流の場を提供されていると思いますので、そういった場を活用して他社のセキュリティ対策について課題に出してみるのもいいかもしれません。

セキュリティ対策にはどうしてもお金がかかりますが、大阪商工会議所が提供されている中小企業に特化したサービスはかなり安価ですね。

遠隔による見守りやアラート通知、オペレーターによる電話・メールでのサポート、簡易サイバー保険などがサービスに含まれたサービスを、会員企業には月額6,600円でご提供しています。この価格でご提供できるのは、専用のUTM(Unified Threat Management)を開発いただいたNEC(日本電気株式会社)様と簡便なサイバーセキュリティに対応する保険を開発いただいた東京海上日動様のご協力が得られたからです。一般的なUTMは専任のセキュリティ担当者がいらっしゃる企業でなければ運用が難しいと思いますが、大阪商工会議所が提供しているのは、中小企業向けに特化した非常に簡便な装置です。やらなければいけない対策と何か起こったときにお助けするサービスをワンパッケージ化しているので、専任のセキュリティご担当者がいらっしゃらない企業でも安心して導入いただけると思います。興味のある方は、ぜひ大阪商工会議所のWebサイトをご覧ください。

サイバーセキュリティお助け隊事業で、大阪商工会議所が提供するUTMの機能

※中小企業でも導入可能な価格・環境・操作性を実現するという政策的観点から、サンドボックス、SSLインスペクションなどの機能などは実装されていない。

大阪商工会議所Webサイト 商工会議所 サイバーセキュリティお助け隊サービス

https://www.osaka.cci.or.jp/cybersecurity/utm/

SKYSEA Client Viewにもクラウド上にあるサーバーのメンテナンスや、エージェントプログラムのアップデートはすべて弊社が行うM1 Cloud Editionがあります。中小企業のセキュリティ対策を軌道に乗せるためには、手軽に運用できることが重要ですね。

大企業への攻撃の足がかりとして狙われているのが、対策が十分ではない中小企業です。被害が出れば信用とともに大切な取引先までも失う可能性があり、中小企業にとってのセキュリティ対策は事業を継続する上でとても重要になります。中小企業の皆さまがサービスや機器を選定される際は「価格」だけに注目するのではなく、無理なく継続して運用していけるよう「簡便」「安心・安全」であることも念頭に選定してください。

仕事を失わないために、
取引先のセキュリティ対策にも関心を

読者の皆さまへメッセージをお願いします。

セキュリティ対策は、自社だけでなく取引先を含めて全員で取り組んでいかなければ危険な穴をふさぐことができません。セキュリティ対策に不安な取引先があれば、自社を守るためにもアドバイスや相談先の紹介をお願いします。サイバー攻撃で仕事を失わないために、取引先とは商売とセキュリティ対策の両輪でつながってください。中小企業のセキュリティ対策にサプライチェーンの委託元企業からの要請が重要なのはもちろん、取引先などの横のつながりが大事であることを忘れないでください。

(「SKYSEA Client View NEWS vol.88」 2023年1月掲載 / 2022年10月取材)

情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら