Cisco Japan Blog

中小企業におけるサイバーセキュリティのリスクとビジネス チャンス

1 min read



Paul Barbosaこの記事は、シスコのコマーシャル マーケット部門のサイバーセキュリティ担当セールス ディレクターである Paul Barbosa によるブログ「SMBs Cybersecurity Risk, Their Opportunitypopup_icon(2018/9/26)の抄訳です。

 

多くの中小企業は、同業他社と同じ脅威にさらされていることを認識していると思います。ただし、認識するのが「遅すぎる」と我々が考えています。「シスコ 2018 セキュリティ機能ベンチマーク調査」で寄せられた回答によると、全サイバー攻撃の半数以上(54 %)で 50 万ドルを超える損害が発生し、収益、顧客、販売機会の逸失や費用負担などが生じています。これは、十分な備えのない中小・中堅企業(SMB)が廃業に追い込まれるほどの金額であり、それらの企業にとってはまさに悪夢だと言えます。

こうした状況を踏まえると、中小・中堅企業がサイバー攻撃から自社と顧客やパートナーを保護するために、(まだ対策を講じていない場合は)今すぐに対策を講じる必要があります。

過半数の中小・中堅企業がセキュリティ侵害を経験

シスコは本日、26 カ国、1,816 社の中小・中堅企業から寄せられた回答を基にした『SMB サイバーセキュリティ レポート』を発表しました。このレポートでは、中小組織が直面するリスクと、中小組織間におけるセキュリティ対策の差異について解説しています。また、中小・中堅企業にとって 2018 年以降に不可欠となる指針も紹介しています。

レポートによると、回答者の 53% がセキュリティ侵害を経験しています。さらにこれらのセキュリティ侵害は、収益、顧客や機会の損失、復旧費用などの財務面で影響が長続きする場合も多くあります。

レポートの他のハイライトは以下のとおりです。

  • 中堅企業の 30% は、セキュリティ侵害の損失が 10 万ドル以下であると回答。その一方で 20% は、1,000,000 ドルから 2,499,999 ドルの間であると回答
  • 中小・中堅企業が 1 日に受け取るセキュリティ アラートは 5,000 件未満
  • 中小・中堅企業が実際に調査するセキュリティ アラートは6%
  • 中小・中堅企業にとって上位 5 分野のセキュリティ課題は、フィッシング詐欺といった従業員への標的型攻撃(79%)、高度な持続的脅威(77%)、ランサムウェア(77%)、DDoS 攻撃(75%)、および BYOD の拡散(74%)

 

セキュリティを最大限に強化する

脅威は昼夜を問わず出現するため、企業は人材配置と対策技術を継続的に評価し、それらへの投資を続けています。人材が許せば、中小・中堅企業は以下の分野に投資する傾向があります。

  • エンドポイント セキュリティをより高度なマルウェア防御/ EDR にアップグレードする(最多の 19% が回答)
  • Web 攻撃に対する Web アプリケーション セキュリティを強化する(18%)
  • ネットワークへの攻撃やエクスプロイトを阻止するうえで今でも不可欠な技術と考えられている、侵入防御を導入する(17%)

中小・中堅企業における機械学習や自動化を使用したソリューションの利用率は、従業員 1,000 人以上の組織と比べてやや低くなります。それらの企業は、スタンドアロン プロジェクトではなく、既存のソリューションの検出層に機械学習と AI 技術を統合できるベンダーを探しています。シスコは機械学習アルゴリズムの先端を行く企業として、Encrypted Traffic Analytics 技術の中核として導入しています。

社内ネットワークにモバイル デバイスが流入し続ける現状や、クラウド サービスの広がりなどを受けて、中小・中堅企業は今日の職場環境を保護できるソリューションも検討しています。さらにクラウド サービスの採用率は近年増加しています。クラウド上でネットワークをホストしている中小・中堅企業が 2014 年には 55% だったのに対し、2017 年には 70% に達しています。リソースを拡張する動きや、マネージド セキュリティ サービス プロバイダのような社外のセキュリティ サービスを活用する動きが広まっているからです。

今なおサイバーセキュリティに対応できる人材は不足しており、中小・中堅企業もその影響を受けています。そのため、限られたリソースを最大限に活用する方法を模索しています。中小・中堅企業の半数以上は、助言やコンサルティング サービス、インシデント対応、セキュリティ監視の面で社外パートナーに依存しています。

中小・中堅企業に可能な、更なる対策とは

残念ながら、サイバー攻撃に対する「特効薬」は存在しません。しかし、社内全体のセキュリティ意識を高めることはできます。従業員を直接狙った攻撃で被害に遭うことを防ぐため、必要な基本知識を従業員に提供しましょう。来週には、米国では「全米サイバー セキュリティ啓発月間popup_icon」が、欧州では「欧州サイバー セキュリティ啓発月間popup_icon」が始まります。自社の業界で最も一般的な攻撃手法と、その回避方法について従業員を教育する絶好の機会です。

それ以外にも、サイバー攻撃による喪失が補償対象に含まれるか保険契約を見直し、迅速な対策や評判低下の防止策が危機対応計画に含まれていることを確認することもオススメします。

効果的なセキュリティ プログラムを確立するために、全体をゼロから作り直す必要はありません。むしろ必要なのは、計画を確認し、他社の事例から学び、コミュニティに価値をもたらす対策を練ることです。

最後になりましたが、サイバーセキュリティを強化する上で重要なのは、「少しの改善でも、何も手を打たないよりは良い」ということです。つまり、特効薬を探すあまり対策がおろそかになることは避ける必要があるのです。ぜひセキュリティを最優先課題に据えてください。

Authors

坂本 祐一

コンサルティング システムズ エンジニア

セキュリティ事業

コメントを書く