急増するサイバー攻撃、3割弱が直近1カ月に経験 - 中小企業の投資不足鮮明に
目次を閉じる
高まるセキュリティ対策の優先度
サイバー攻撃被害の報道が相次ぎ、機密データの流出やITシステムの機能停止といった事態が、頻繁に発生しています。2022年に入ってからも、取引先に対するランサムウェア攻撃の影響でトヨタ自動車が工場の操業を一時停止するなど、大きく報道された被害がいくつもありました。
デロイト トーマツ グループが国内上場企業を対象として2021年10月に実施した調査(※1)で、優先的に対処すべきと考えているリスクを答えてもらったところ、「異常気象、大規模な自然災害」(27.3%)、「人材流失、人材獲得の困難による人材不足」(26.5%)に続き、3番目に多い項目として「サイバー攻撃・ウイルス感染等による情報漏えい」(23.1%)が挙げられました。
さらに、前年調査で10番目だった「サイバー攻撃・ウイルス感染等による大規模システムダウン」は、今回14.1%で6番目になり、重視する企業が増えています。サイバー攻撃に関する昨今の報道や被害報告が影響したのかもしれません。
※1 デロイト トーマツ グループ『デロイト トーマツ調査、国内で優先的に対処すべきリスクは1位「異常気象・自然災害」、2位「人材不足」、3位「サイバー攻撃」』,https://www2.deloitte.com/jp/ja/pages/about-deloitte/articles/news-releases/nr20220413.html
国内外のサイバー攻撃状況
サイバー攻撃は、どの程度の頻度で発生しているのでしょうか。国内外の調査レポートをみてみましょう。
直近の攻撃が急増
帝国データバンク(TDB)が企業に対するサイバー攻撃の状況を2022年3月に調査したところ、以下の結果が得られました。
| サイバー攻撃の有無 | 回答割合 |
|---|---|
| 1カ月以内に受けた | 28.4% |
| 1年から3カ月以内に受けた | 7.7% |
| 過去に受けたが 1年以内に受けていない |
10.0% |
| 全く受けたことがない | 41.6% |
| 分からない | 12.4% |
この1年間で36.1%の企業がサイバー攻撃を受けていて、28.4%というその約8割が直近1カ月に攻撃されていました。2022年に入ってから、サイバー攻撃が激しさを増した、という印象は間違っていないようです。
出典:帝国データバンク / サイバー攻撃が多くなっています 1カ月以内に攻撃を受けた企業、約3割に!
(※2)
※2 帝国データバンク『サイバー攻撃が多くなっています 1カ月以内に攻撃を受けた企業、約3割に!』,https://www.tdb.co.jp/report/watching/press/pdf/p220306.pdf
世界では6割以上がランサムウェア攻撃を経験
英国のセキュリティ企業、ソフォスは、ランサムウェアに特化した調査(※3)を世界各地で実施しました。
それによると、2021年にランサムウェア攻撃を受けた企業などの組織は全体の66%だったそうです。2020年の攻撃された割合は37%でした。こちらの調査でも、サイバー攻撃の激化が確かめられました。
※3 ソフォス『Ransomware Hit 66% of Organizations Surveyed for Sophos' Annual "State of Ransomware 2022"』,https://www.sophos.com/en-us/press-office/press-releases/2022/04/ransomware-hit-66-percent-of-organizations-surveyed-for-sophos-annual-state-of-ransomware-2022
被害額は平均1億円超
ランサムウェアの深刻さは、攻撃頻度だけでなく、身代金が奪われる被害の大きさも問題です。ソフォスの調査では、2021年の平均被害額が81万2,360ドル(約1億550万円)で、前年比で5倍弱に膨れ上がっていました。
しかも、100万ドル(約1億2,980万円)以上もの身代金を支払った組織の割合は、11%あります。2020年は4%にとどまっていて、ランサムウェアの悪質化が確実に進んでいます。
対策不備も鮮明に
ランサムウェア攻撃を受けた場合、身代金と引き換えにデータの暗号化が解除され、データを取り戻せる、ということになっています。そして、攻撃者の言葉を信じて身代金を支払った組織は、46%にのぼりました。
データを適切にバックアップしていれば、攻撃を受けて暗号化されたとしても、身代金を奪われずデータ復元できるはずです。ところが、バックアップからのデータ復元が可能だった組織のうち、26%は身代金を支払っていました。
ランサムウェアへの対応策を事前に決めておけば、この被害は生じなかったかもしれません。
中小企業の対策状況は?
ランサムウェアに限らず、サイバー攻撃の多くは対策を講じることで防げます。しかし、情報処理推進機構(IPA)の調査レポート(※4)によると、国内の中小企業はセキュリティ対策が不十分のようです。
※4 情報処理推進機構『「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について』,https://www.ipa.go.jp/files/000097061.pdf
3割はセキュリティ対策に投資せず
IPAは国内の中小企業を対象として、過去3期に実施したITセキュリティ対策などを調査しました。
一般的な「IT投資」の実施状況については、「投資していない」が30.0%でした。前回2016年度調査の47.7%から改善しています。コロナ対策のリモートワーク推進やDXなどの影響もあり、中小企業でもIT化が進んだようです。
一方、「情報セキュリティ対策投資」は、「投資していない」が33.1%で、「IT投資」と似たような状況です。ただし、「IT投資」だと投資額「100万円未満」が37.8%、「100万円~500万円未満」が17.5%なのに対し、「情報セキュリティ対策投資」は「100万円未満」が49.2%、「100万円~500万円未満」が8.2%と、セキュリティ対策への注力度が見劣りしています。
出典:情報処理推進機構 / 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
情報セキュリティ対策に投資しなかった理由を尋ねたところ、「必要性を感じていない」(40.5%)、「費用対効果が見えない」(24.9%)、「コストがかかりすぎる」(22.0%)、「どこからどう始めたらよいかわからない」(20.7%)という回答が多くなりました。
また、従業員数101人以上の中小企業では、「その他」の割合が37.0%と目立って高くなりました。これについては、「親会社が投資しているため自社負担がない」といった事情が多かったそうです。
出典:情報処理推進機構 / 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
取引先から対策を求められることも
サイバー攻撃を受けた場合、影響は直接攻撃された組織以外にも及びます。たとえば、先ほど紹介したTDBの調査では、「(攻撃された)自社を名乗るなりすましメールが10数件客先へ行ってしまった」「不正メール受信によるウイルス感染し顧客情報が流出」といった事例が報告されました。
そのため、企業によっては取引先にセキュリティ対策を施すよう要請することがあります。IPAの調査によると、販売先または仕入れ先から情報セキュリティに関する対応を求められた割合は、26.1%でした。
出典:情報処理推進機構 / 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
要請された場合の費用負担は、「全額自社で負担している」の割合がもっとも多い45.0%で、やはりセキュリティ対策は各企業の責任で実施する、という流れのようです。
出典:情報処理推進機構 / 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
教育はまだ不十分
セキュリティ強化策は、対策用のソフトウェアやハードウェアを導入したり、ゼロトラストセキュリティのような仕組みを採用したり、目的に応じて多種多様です。もっとも、どんなに強固なセキュリティ対策を施したとしても、ユーザーに対するセキュリティ教育が不十分だと役に立ちません。尼崎市のUSBメモリ紛失事故も記憶に新しいところです。
それにもかかわらず、IPAによると、従業員に対するセキュリティ教育を「特に実施していない」と回答した組織が55.1%もありました。前回調査の61.8%に比べると少なくなっていますが、改善にはほど遠い状況です。
出典:情報処理推進機構 / 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
ただ、情報セキュリティ対策の向上に必要と思うことを質問したところ、「従業員の情報セキュリティ意識向上」(46.8%)、「経営者の情報セキュリティ意識向上」(46.2%)、「従業員への情報セキュリティ対策実践教育」(26.3%)、「経営者への情報セキュリティ対策方法の教育」(22.5%)という項目が多く挙げられました。実践する段階に至っていないものの、セキュリティ教育の重要性は認識されています。
出典:情報処理推進機構 / 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
セキュリティ対策は転ばぬ先の杖
IPAは、中小企業のセキュリティ対策状況について、「わずかに改善しているものの、依然として……課題は多く」、対策の必要性を訴求したり、対策の実践を支援したりする必要があるとしました。
セキュリティ対策にコストをかけても、企業の売上げが増えわけではありません。しかし、攻撃を受けると甚大な被害が発生するどころか、取引先にも迷惑をかける可能性があります。サイバー攻撃が増えているので、転ばぬ先の杖としてセキュリティ対策は必要不可欠です。
