2018年中小企業におけるサイバーセキュリティ対策の展望

[更新]



新年あけましておめでとうございます。2018年となりました。公共機関や大手企業のサイバーセキュリティ対策の準備が終り、いよいよ中小企業に対するサイバーセキュリティ対策要求がやってきます。

2018年最初のコラムは、サイバーセキュリティ政策が中小企業にどのような影響を与えてくるか、その展望を述べてみたいと思います。

重要インフラ分野の体制

2017年12月22日、内閣府で「重要インフラ専門調査会」の第13回会合が行われています。

ここでは、関係省庁の現状と今後の対応が報告されました。やはり、省庁により温度差が感じられる報告ではありますが、中小企業側から見て意識しておくべきポイントが見られました。

IoT機器のセキュリティ

IoT機器のセキュリティに関しては、ようやく制御系システムの安全確保の重要性が強調されるようになりました。今までも、”IoT機器をネットワークに繋げるということは、攻撃もされやすくなることだ”という話をしてきましたが、報告者も気付いてきたようです。

総務省は最初から「IoTセキュリティ総合対策」が入っています。攻撃監視をしているNICT(情報通信研究機構)を管轄していますから、そこからの報告を聞いて驚いたのでしょう。

観測された全サイバー攻撃1,281億パケットのうち2/3がIoT機器を狙った攻撃

このような監視結果も書かれています。
※一般には1,281億という数字だけでも驚かれるかも知れませんが…

IoT機器が狙われている

今、サイバー攻撃の中心はIoT機器を狙ったものです。パソコンよりも対策が取られていない機器が多いですからね。

ルータや監視カメラなど、初期パスワードも含めデフォルト設定を変えていない機器が非常に多い。それに加えて、これから“スマート化”と称して、工場の制御システムや家電がIoT化されようとしているのです。

攻撃する側にとっては、”カモがネギをしょってやってくるようなもの”です。

中小企業こそ危ない

中小企業にとっても他人事ではありません。何しろデフォルト設定された機器への攻撃をする者は無差別に行いますから。既に大量に乗っ取られています。

もう何年も前からデフォルト設定のまま、IP公開されている監視カメラを纏めてみられるようにした「Insecam」というサイトまであります。一度は話題になったのですが、気付かずにそのまま公開状態になっているサイトは、まだたくさんあります。ご存じない方は、すぐに自社のIoT機器の設定を確認した方が良いでしょう。

サイバーセキュリティ経営ガイドラインの活用

多くの企業に最も関係のある経済産業省の報告書は、やはり「サイバーセキュリティ経営ガイドライン」です。

〈関連〉
何が変わる?サイバーセキュリティ経営ガイドラインVer2.0改定案

その中で興味深いのが、経営ガイドラインの「活用状況調査」の結果です。100人以下の企業での活用は、約6%に留まっていました。まだ認知度は低いですね。これは実感としてあるでしょう。

ところが、重要インフラ企業の主流となる5,001人以上の企業での活用は、既に約60%に上っているのです。この差が今年、一気に中小企業に向かって流れだしてくるでしょう。

サプライチェーン対策の強化が求められる

なぜなら、経済産業省の報告書の中で、最も強調されているものの一つが、「サプライチェーン対策の強化」だからです。委託先の状況把握は欧米に比べ著しく遅れており、このままでは国内大手が海外戦略で後れを取るのではないか、との危機感があるからです。

そこで、報告書に記載されたのが「委託先の組織としての活用の把握(ISMSやSECURITY ACTION)」です。

サイバーセキュリティ経営ガイドラインの指示9に書かれていることですね。委託先のサイバーセキュリティ対策状況の把握は、内閣府での報告書の中でも、最も重要視されているのです。

「SECURITY ACTION」の年

こうなると、既にサイバーセキュリティ経営ガイドラインを活用している大手は、取引先にISMSかSECURITY ACTIONの導入を要求してくるでしょう。そうしないと、自分達で指導・監査しなければならなくなりますから。

多くの中小企業にとっては、いきなりのISMS導入は、心理的ハードルと審査・コンサル費用が高い。よって、今年はサイバーセキュリティ.comでも導入している、SECURITY ACTIONへの注目度が高まることになるでしょう。

少なくとも、重要インフラ企業との取引がある中小企業は、SECURITY ACTIONの一つ星は、早々に宣言しておいた方が良いでしょう。是非、事務局さんの過去のレポートも参考にしてみてください。

〈関連〉
セキュリティアクションでセキュリティ対策自己宣言してみた!「★一つ星」を取得する方法
セキュリティアクション「★★二つ星」にステップアップ

〈参照〉
重要インフラ専門調査会/内閣サイバーセキュリティセンター(NISC)

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ
星野靖裕

金融機関にて、融資管理・情報システム開発に従事。経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。
  
>プロフィール詳細はこちら

こちらのページもご覧ください。

作者:   法令・計画等