Half of Small Businesses Hit by Cyber-Attack Over the Past Year
2023/10/12 InfoSecurity — サイバー・セキュリティが中小企業 (SME:small and medium enterprises) にとって最大の関心事となっているのは、この1年の間に SME の 48% が、少なくとも1件のサイバー・インシデントを経験しているからだという。この分析の結果は、会計/給与計算ソフトウェア・プロバイダーである、Sage の最新調査によるものである。Sage の顧客である Roche Healthcare は、そのようなインシデントを、最近に経験した SME のひとつである。Roche の広報担当者である Cindy Cleasby は、ロンドンで開催された Sage のイベントで、「そのため、請求書を含む多くの作業を手作業で行う必要性が生じた」と、自身の経験を語った。
Sage の調査では、さらに不運な企業も明らかになっている。この1年の間に回答者の 25% が、何度もサイバー攻撃を受けていると答えているのだ。
サイバー・セキュリティは中小企業の優先課題
Sage の調査レポート Cyber security for SMBs: Navigating Complexity and Building Resilience によると、大半の中小企業はサイバー・セキュリティ態勢を構築している。たとえば、81% の回答者が、が基本的なセキュリティ管理以上のものを導入しているという。また、58% がデータのバックアップを行っていると回答するなど、かなりの比率で中小企業は、サイバー・レジリエンスを構築している。
このレポートでは、サイバー・セキュリティが。中小企業の優先事項の1つであることも示されている。回答者の 60% 以上が、サイバー・セキュリティを企業文化の一部と見なしているほか、40% が、サイバー・セキュリティについて定期的に話し合っていると答えている。
中小企業にとってのサイバー・セキュリティの課題とは?
デジタルトランスフォーメーションの複雑さにより、中小企業がセキュリティを維持するには困難がつきまとう。
英国の回答者の 81% が、リモートワーカーのサイバー・セキュリティ・リスクを管理するためのプロセスを導入していると述べているが、綿密に監視していると回答したのは 53% に過ぎない。英国でリモートワークのセキュリティ・プロセスを導入している企業の 25% は、そのプロセスに従わないスタッフの存在も認めている。
同様に、クラウド移行は、中小企業に多くの課題をもたらす。Sage の調査では、回答者の 52% が、セキュリティ上の理由があるため、クラウド・サービス利用に対して十分な自信がないと答えている。
リーズの聖ジョージ教会の財務管理者である Kathryn Heath は、教会のような組織にとって、このような複雑な IT 環境の管理は、”かなり混沌としていると感じる” と述べている。
彼女は、「懸念すべきことはは、十分に分かってきたと感じ始めている。たとえば、私たちのシステムのセキュリティの責任者と話す以前には、クラウド/データストレージ/ドライブ/特注ソフトウェアなどシステムの複雑さについて、十分な情報が得られていないと感じていた。最近のことだが、予約管理システムのために新しい業者と契約した。その機能と価格に加えて、顧客側の使いやすさや、ビジネス上の利点などの、数多くのことを調べた。しかし、セキュリティについて議論に加わった記憶がない。評判の良いプロバイダーを選べば、セキュリティ対策は万全だろうと考えている」と、ロンドンのイベントで語っている。
その一方で、サイバー脅威の状況も急速に進化しており、フィッシングは標的型に移行し、ランサムウェアは巧妙になっている。それは、中小企業にとって、最も大きな懸念事項のひとつである。回答者の 51% が、新たなサイバー脅威に対応し続けることが、最大の課題だと考えている。
中小企業のサイバー態勢を改善するためのサポートは?
中小企業は、今日のテクノロジーやサイバー脅威への対応に追われているが、セキュリティ態勢の改善に積極的であることも、Sage の調査では示されている。たとえば、回答者の 68% は、優れたセキュリ ティを証明するのであれば、より高価なサプライヤを利用すると回答している。
中小企業が単独で、サイバー・セキュリティを向上させることは不可能だ。この調査の回答者の 52% が、特にサイバー・セキュリティに対する意識の向上や。セキュリティ・トレーニングの展開において、政府からの支援を望んでいると回答している。
政府による規制が、サイバー・セキュリティの推進に役立った一例として、General Data Protection Regulation (GDPR) が挙げられている。Kathryn Heath は、「確かに GDPR は、我々に多くの頭痛の種を与えたが、実施すべき対策や、満たすべき条件が明確に示されたことで、安心感も得られた」と語っている。
それには Cindy Cleasby も同意し、Roche Healthcare における主たるサイバー・セキュリティ対策は、GDPR で導入された役割である、Data Protection Officer (DPO) により推進されたと、付け加えている。
英国政府が中小企業に提供するサイバー・リソースとは?
英国政府はサイバーセキュリティに関して、GDPR のような法律を導入する予定はないとしている。しかし、Department for Science, Innovation and Technology (DSIT) のサイバー・レジリエンス担当副局長である Emma Green は、同国の中小企業のサイバー・セキュリティ投資が減少している理由を調査していると、Sage のイベントで述べている。
彼女は、「中小企業のサイバー・セキュリティへの投資が減少したのは、初めてのことであり、また、長年にわたって緩やかに増加してきた後のことだ。サイバー・セキュリティへの投資が年々増加する傾向にある大企業との間で、このような乖離が見られるのも初めてのことだ。この問題について、今月に London School of Economics (LSE) の人々と議論する予定である」と付け加えている。
中小企業の大半において、最近のセキュリティ予算が減少しているが、その主な理由は経済の不確実性と生活費の上昇にある。
その一方で Green は、「英国政府はサイバー・セキュリティに対するリスク・ベースのアプローチを推進し続け、中小企業を含む組織におけるサイバー・セキュリティ態勢を改善できるよう、さまざまなリソースを提供している」と述べている。
英国政府が提供するリソースには、以下のようなものがある:
Small Business Guide:英国の National Cyber Security Centre (NCSC) が提供する無料のリソースであり、最も一般的なサイバー攻撃から、中小企業が身を守るのに役立つように設計されている。このガイドには、優れたパスワード・マネージャーの選び方やフィッシング・メールの見分け方などの、実践的なヒントやアドバイスが多数含まれている。
Cyber Essentials:政府が支援し、業界が支援するスキームであり、一般的なオンラインの脅威から組織を守るために有効なものだ。これは、最も一般的なサイバー脅威を防御するために、また、サイバー・セキュリティへのコミットメントを示すために、すべての組織が導入すべき、5つの基本的な技術的コントロールのセットで構成される。具体的には、境界ファイアウォールとインターネット・ゲートウェイ/安全なコンフィグレーション/アクセス制御/マルウェア保護/パッチ管理である。
Early Warning:NCSC が提供する無料サービスであり、組織のネットワークに対するサイバー攻撃の可能性を、可能な限り早急に知らせるものだ。
Cyber Advisor:中小企業に対して、信頼性が高く費用対効果の高い、サイバー・セキュリティに関するアドバイスと実践的なサポートを提供するスキーム。この制度により、NCSC は独立的に保証された組織を、消費者に推薦できる。
よろしければ、How Can SMEs Improve Their Cybersecurity Resilience? も参照してほしい。
先日に友人から、あるスタートアップがランサムウェア攻撃に遭い、困っているという相談を受けました。高額の身代金を要求できる大手企業だけではなく、中小の企業までもが、ランサムウェアの標的にされている状況は、日本でも同じなのですね。大手とは異なり、対策を講じようにもリソースが限られ、また、必要な情報を得るにも困っているのは、世界の共通の問題なのでしょう。英国の事例を紹介してくれる、とても参考になる記事です。
IoT OT Security News 
You must be logged in to post a comment.