昨今では、大企業だけでなく中小企業にも厳重な情報セキュリティ対策が求められています。サイバー攻撃によって中小企業が被る被害は非常に大きく、安定した企業経営をする上で情報セキュリティ対策は欠かせません。しかし、多くの中小企業はさまざまな理由から十分な取り組みができていないと聞きます。

そこで本記事では、中小企業における情報セキュリティ対策の現状と課題について考えていきます。

中小企業の情報セキュリティ対策の現状は？

警察庁が公表している「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和3年のサイバー犯罪の検挙件数は12,209件と過去最多であり、特にランサムウェアによる被害や不正アクセスによる情報流出の脅威が増しています。また、ランサムウェアの被害のうち54%は中小企業となっており、企業規模を問わずにサイバー攻撃の被害が発生している状況です。

また、ランサムウェアの被害を受けた企業を業種別で見ると、製造業（38%）、卸売・小売業（14%）、サービス業（14%）、建設業（7%）となっており、製造業の被害が特に多いことも分かります。製造業の中小企業がサイバー攻撃を受けて情報流出してしまうと、サプライチェーン全体の危機になりかねません。実際に、情報セキュリティ対策が弱い中小企業を踏み台にして大企業を攻撃する事例が増加しているため、自社だけの課題ではないことを再認識すべきといえるでしょう。

最近では、中小企業でもクラウドやIoTといったデジタル技術の活用が進んでいます。また、新型コロナウイルスの影響でテレワークなどの新しい働き方を導入する企業も増えました。そういった変化に伴って情報セキュリティリスクも増加していますが、今までのやり方を変えておらず、十分な情報セキュリティ対策を行えていない中小企業は多いです。そのままにしておくとサイバー攻撃の被害を受けてしまい、安定した企業経営の妨げになる恐れがあります。

中小企業が情報セキュリティ対策に取り組む上での課題は？

中小企業が情報セキュリティ対策に取り組めていない理由は、次の三つに集約されます。

• 予算を確保できない
• 人材が足りず、手が回らない
• ノウハウがなく、何をすべきかが分からない

情報セキュリティ対策は直接価値を生む取り組みではないため、ほかのことを優先してしまいがちです。結果的に十分な対策を取らないまま放置することになり、サイバー攻撃の被害が拡大してしまいます。

また、中小企業では経営者の意向が大きく影響する傾向にありますが、経営者自身が情報セキュリティ対策に積極的でなかったり、実際に被害を受けないと動かなかったりするケースも多いです。自社の持つ情報の価値を正しく見極めて、サイバー攻撃の脅威を正しく認識する必要があるといえるでしょう。

中小企業はまず何に取り組むべきか？

ここまでで、中小企業における情報セキュリティ対策の現状と課題をご紹介しました。では、中小企業は限られたリソースの中でどのような取り組みを進めるべきなのでしょうか。

IPA（独立行政法人情報処理推進機構）は、「何をすべきか分からない」と悩む中小企業が最初に取り組むべき内容として、「情報セキュリティ5か条」を掲げています。

1. OSやソフトウェアは常に最新の状態にしよう！
2. ウイルス対策ソフトを導入しよう！
3. パスワードを強化しよう！
4. 共有設定を見直そう！
5. 脅威や攻撃の手口を知ろう！

これらはすぐに取り組める簡単な内容であり、多額のコストがかかるわけでもありません。最低限の対策として、企業規模に関わらず、中小企業から大企業まで必ず実施すべきといえるでしょう。

「情報セキュリティ5か条」を実施した後は、自社のネットワーク環境や使用しているソフトウェア、扱っているデータに応じた対策を行わなければなりません。また、従業員に対して十分な教育をしていなければ、従業員の不注意やミスによって機密情報が漏洩したり、サイバー攻撃を受けやすくなったりする可能性があります。

IPAは「中小企業の情報セキュリティ対策ガイドライン」を公開しており、中小企業自らが情報セキュリティ対策を推進できるような情報を発信しています。このガイドラインに沿って取り組んでいけば、サイバー攻撃の脅威を低減できるでしょう。

自社だけでは手が回らない、ノウハウがないと悩んでいる企業にとっては、外部のサポートを受けるのも効果的です。例えば、同じくIPAが制度化している「サイバーセキュリティお助け隊サービス」であれば、中小企業の情報セキュリティを比較的安価に高めることができます。

中小企業にとっても情報セキュリティ対策は重要

昨今では、中小企業を踏み台にして大企業を狙うサイバー攻撃が増加しており、情報セキュリティ対策は自社だけの課題ではなくなっています。企業規模にかかわらず、情報セキュリティ対策は重要な取り組みと認識しておきましょう。

サイバー攻撃の脅威から自社の持つ貴重なデータを守りつつ、デジタル技術を積極的に活用していただきたいです。