中小企業におけるセキュリティ投資と現状
経済産業省による「2024年度中小企業における情報セキュリティ対策の実態調査報告書(IPA調査)」によると、中小企業全体においてセキュリティに関する投資を過去3年で行っていない企業は約6割となっており、実施済みのセキュリティ対策はウイルス対策ソフト・サービスやファイアウォール、閲覧WEBサイトのフィルタリングなどが主で、セキュリティ対策を全く講じていない企業は少ないものの、対策が十分ではない企業が多い状態です。
特に問題なのは、約7割で組織的なセキュリティ対策が整備されていないという点と、過去3年でサイバー攻撃被害にあった企業の約7割で取引先に影響が及んだという点です。
それにもかかわらず、セキュリティに対する投資を行わなかった理由として、約4割が必要性を感じていないと回答しており、さらに必要性を感じていない理由として、重要情報を保有していない、他社とのネットワーク接続がない、事業の継続に影響がない、サイバーセキュリティ被害にあうと思わないなどが挙げられており、セキュリティリスクを過小評価している傾向が伺えます。
中小製造業における傾向と被害状況
ここから対象を中小製造企業とした場合、公的な調査結果はありませんが、基本的にセキュリティ対策の意識はあるものの、セキュリティ対策はPCのFW、ウイルス対策ソフトが中心で、他にはインターネットやVPNを含めた包括的なサービスとして管理を外部に委託しているUTM、セキュリティルーターなどが導入されているケースが見られます。しかし、中小企業全体の傾向同様、組織的なセキュリティ対策が整備されていない傾向にあります。
警察庁の広報資料「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、近年サイバー攻撃の主流であるランサムウェア攻撃の被害は製造業が全体の約3割となっています。これについて専門家の分析としては、狙いやすい、つまりセキュリティ対策が弱い業界が狙われている結果であるとしており、また取引先への踏み台となるリスクが指摘されています。
中小製造業での典型的なリスク要因
特にリスクの起点となりやすい問題としては、私用PCやスマートフォンが業務に使用されているケースや、支給ノートPCやスマートフォンを特に管理していないケースがあります。その他のよくある問題としては、一般家庭向けまたは数世代前の無線ルーター、スイッチを使用している、社外ネットワークに接続した端末を検疫せずに社内ネットワークに接続している、ムーバブルメディアを管理していない、たこ足、バイパス接続している、OT機器を有する生産設備のインシデント対応はメーカー、ベンダー任せとなっている、IT・OT含め接続機器、ソフトウェアを網羅、把握できていないといったものがあります。
セキュリティ担当者の不足と課題
中小企業においてセキュリティ担当者が設けられているケースは「1割強」と非常に低いですが、その場合は上記に対し問題意識は持っているものの、人員や端末の入れ替わりに対応し、端末管理したいがリソース不足で難しい、インシデント発生時に対応が後手に回っている、独学で必要知識を取得、対応しているが特殊な状況には対応しきれないなどの悩みを抱えています。
公的支援とガイドライン
これら中小企業のセキュリティに関する問題、悩みに対し、経済産業省とIPAは、地域の団体・企業等と連携した中小企業のサイバーセキュリティ対策支援を行っており、月額数千円~数万円で相談可能となっています。また経済産業省とIPAは中小企業の情報セキュリティ対策ガイドラインを策定しており、情報セキュリティに関する基本事項や必要な対策、考え方を体系的に把握し、実践することを支援しています。
まとめ:まずは“型”を活用した体制づくりを
このようにまずは相談窓口などを利用する、ガイドラインを参考にするなどして、0からセキュリティ対策を考えるのでなく、出来上がっている“型”を利用しながらITセキュリティの体制を整えることを目指し、さらに専門知識が必要となるOTセキュリティやCRAなどの法令対応については専門家に相談することをお勧めします。
まずは無料相談から始めませんか?
工場のセキュリティやDXのことでお悩みなら、まずは60分の無料オンライン相談をご活用ください。
現状の整理から、導入の方向性まで丁寧にご案内いたします。
