JCICコラム
------------------------------------------------------------------------
[コラム]
中小企業のサイバーセキュリティ対策 ~切れ目ないサポート制度が必要~
------------------------------------------------------------------------
2022年9月20日
JCIC代表理事兼上席研究員 梶浦敏範
はじめに
ロシアのウクライナ侵攻や台湾を巡る米中対立の激化など、国際情勢は緊張の度合いを増しているが、加えて組織化された犯罪集団の跳梁も激しくなっている。戦場がリアル空間だけでなくサイバー空間でも戦われるようになったのと同様、犯罪者もデジタル手法を駆使して目的を果たそうとする。サイバー空間の危険性は、社会のデジタル化の進展を上回る速度で増していると思われる。日本にとってももはや対岸の火事でないことは、ご理解いただけるだろう。
日本の産業界も「Global & Digital」の潮流に乗るべく努力を重ねているし、そのためには「DX with Security」が必要であることは、大手企業の経営者は理解している。ただ、企業は単独で成り立つものではなく、サプライチェーンの中で生きている。有力なサプライヤーが業務停止をしたことで、自らの事業継続が困難になるケースも散見される。
企業の事業継続としては、かつては自然災害のようなリスクを中心に考えていたが、昨今はサイバー攻撃のような悪意のある何かにも備えなくてはならない。大手企業は自社内のサイバーリスクに対処すると同時に、サプライチェーン全体のサイバーリスクにも目を向ける必要がある。しかしサプライチェーンの構成員たる中小企業には、十分な資金投資をしてデジタルやセキュリティの専門組織と設備を整えることは難しい。
そこで行政や業界団体が「中小企業のサイバーセキュリティ」を支援する活動をしているが、日本に350万社以上ある中小企業がサイバーリスクを意識して行動できる状況にはない。本稿では、中小企業のサイバーセキュリティ対策を進めるための方策を議論する。
1.サプライチェーンリスクと中小企業
サプライヤーからの供給が止まって、自社の事業に支障をきたしたという例は多い。特に多層化された複雑かつ精緻なサプライチェーンを持つ代表的な産業である自動車業界には、報道された事例があまたある。
・中越沖地震で、点火プラグメーカー「リケン」が被災し製造が停止
・東日本大震災で、半導体メーカー「ルネサス」が被災し製造が停止
・ランサムウェア攻撃により、内装品メーカー「小島プレス」の受発注が停止
これらはいずれも年商1,000億~1兆円ほどの大企業の被害ばかりだが、自動車産業のサプライチェーンに加わる企業のほとんどは中小企業である。一般に大企業の購買部門は、ひとつのサプライヤーから買えなくなっても、他から購入できるように分散発注をする。しかしこの企業からしか買えないという部品がゼロにはならず、その企業が業務停止をすると部品供給が止まる。そんな産業上の特殊性を持った中小企業も、現実に存在する。
さらに悪意のあるサイバー攻撃のリスクを考えると、部品供給停止以外にも、いくつものリスクが見えてくる。
・納入された電子部品やソフトウェアに、マルウェアが仕込まれていた。
・サプライヤーになりすましたメールに、ウイルスを忍ばせたファイルが付いていた。
・より脆弱な中小企業のシステムが踏み台となって、大企業のシステムに侵入された。
大企業のセキュリティ対策が強固だと判断した攻撃側は、比較的弱い中小のサプライヤーをまず攻略し、そこを経由して目的を達しようとする。したがって、購買側からは供給側に適切なサイバーセキュリティ対策を採るよう求めるが、ここにいくつかの課題が存在する。
・優越的地位の濫用ととられることを怖れ、お願いする程度
・「適切な」の内容が定まらない、もしくは共有されない
・購買部とサプライヤーの営業部門の話で終わり、経営層まで届かない
セキュリティの専門要員や管理者もいない企業では、やりたくても対策は難しいし、面倒がる現場やロスコストに目を光らせる財務部門もいて、中小企業での実効は上がらないのが実態である。それ以前に、中小企業の経営者に大企業側の危機感が伝わっていない問題も大きく、彼らに「やる気」を持ってもらうことが求められる。
2.経済産業省や業界団体の支援活動
中小企業としては、サイバーセキュリティの重要性は分かったけれど、専門家も設備も資金もない、経験した人もおらずやり方も分からないということが多い。「やる気にはなったが、どうすればいいか」という場合には、経済産業省や独立行政法人情報処理推進機構(IPA)が支援メニューを用意している(*1)。
まず基本的なこととして、情報セキュリティを社内でどう進めるか、サンプル付きの基本方針案、情報セキュリティハンドブックのひな型、自社の対策状況はどうか、など実践的なガイドラインはIPAが公開している。セキュリティ対策に取り組む企業に、自らセキュリティ対策宣言をしてもらい、これを認定する制度「SECURITY ACTION」もある(*2)。サイバー被害を受ける前に対策をほどこすため、見守り・駆け付け・保険などをセットにし安価で提供する「サイバーセキュリティお助け隊サービス」という支援制度もある(*3)。
またIPAが事務局を務める「サプライチェーン・サイバーセキュリティ・コンソーシアム(略称SC3)」という業界団体があり、企業規模の垣根を越えて産業界が一体となって社会全体のセキュリティ対策を向上させようとする活動をしている(*4)。
しかしこれらの取組みは、まだ一部の企業経営者にしか認識されていないのが現状である。経営者がセキュリティ対策の必要性を認識した場合には、上記のようなガイドライン、ツール、サービスや支援活動があるが、多くの中小企業経営者にとって、まだサイバーリスクそのものが充分認知されていない。例えば「お助け隊サービス」の普及推進に熱心な商工会議所の関係者によると、
・サイバー攻撃?ウチの会社に狙われる情報なんかないよ
・サイバーセキュリティなんていって、そんなことが分かる従業員はいないし
と、相手にもしてもらえない。それでも無駄足覚悟で2度3度足を運び、4度目になると「商工会さんも熱心だね、仕方ないから聞くだけ聞いてあげるよ」と、ようやく説明ができるという。それほどの努力を払っても、このサービスの普及は当初の目標にはほど遠い。
これも主な原因は、中小企業経営者の危機感が不十分で、サイバーセキュリティ対策をしなくてはとの「やる気」が足りないからだ。「やる気」になってからの施策と共に、政府には中小企業経営者の危機感醸成のための施策を望む。
3.企業規模から見たセキュリティ投資の可能性
JCICでは、「DXに熱心な企業においては、戦略策定段階で適正なセキュリティ投資を織り込むべし、その目安は売り上げの0.5%が必要」とのレポートを公開している(*5)。中小企業にその基準をそのままあてはめるべきかについては異論もあるが、一つの目安と考えて企業規模によるセキュリティ投資のあるべき姿を考えてみよう。
まず中小企業の定義だが、中小企業庁によると「製造業などでは、資本金3億円以下、従業員300人以下」などとなっていて、売上規模は条件になっていない(*6)。しかしデジタル化の投資については、資本金や従業員数ではなく、やはり売上規模がある程度ないと難しい。資本金は、コロナ禍で超大手の旅行会社が減資をして1億円まで資本を減らしているケースもあり、尺度にならないと考えられる。従業員数も、業種によって労働集約型か否かで基準が異なり、従業員数≒PC等の端末数とは限らない。
DXの進展度合いや業種業態によって差はあるとはいえ、やはり事業規模(年間売上規模)は、あるべき企業のセキュリティ投資額と相関関係にあると考えられる。上記「0.5%ルール」を当てはめた時、
・100億円企業 セキュリティ予算5,000万円、専門家を雇い設備を整え、外部委託も可能
・20億円企業 同予算1,000万円、単独では十分な対応は難しい
・5億円企業 同予算250万円、できることは限られる
・1億円企業 同予算50万円、何ができるというのか
と考えられる。
10年ほど前になるが、中堅システムインテグレーター(SIer)の社長とDXに関する議論をしたことがある。年商300億円ほどの企業なら、自前のIT部門を持ち、EDRなどのパッケージソフトウェアを導入する機運が高かったという。SIerとしての課題は、100億円企業をどう攻略するかだと彼は言った。クラウドコンピューティング等の普及があり、多少年商の「壁」が下がったとはいえ、やはり100億円以下の企業のDXやセキュリティ投資は難しいのが実態と思われる。
では中小企業のサイバーセキュリティ対策普及というテーマを考えた時、上記「お助け隊サービス」や、地域の商工会の活動はどれくらいの売上規模の企業に適用されるのだろうか。サービス提供側の企業やこれを管掌している機関に聞くと、ほとんどは1億円企業あるいはそれ以下だという。
4.切れ目のない支援制度:5~100億円企業へのサポート
経済産業省は、「IT導入助成金」と「お助け隊サービス」をセットにして普及を図ろうとしている。この考え方は「DX with Security」の視点から正しいのだが、実績として1億円企業が中心というなら、5~100億円企業には民間のSIerのソリューションも、政府の支援も届いていないことになる。
「お助け隊サービス」や類似のソリューションを提供しているベンダーに聞くと、「安価にするために機能を絞った。ユーザーニーズとして、もう少し機能を充実したソリューションを期待されている」との声もあった。
「中小企業の『DX with Security』は難しい、なんとかしよう」ということで、経済産業省とIPAが基本的なセキュリティ対策のガイドラインを公開した上で「お助け隊サービス」などの施策を打ち出したことは評価できる。しかし、政府にはもう一歩踏み込んだ対策を採れる制度設計を期待する。まず、日本産業界全体のセキュリティ耐性を向上させるためには、本当に必要とされている企業に施策が届いているかの調査が必要である。それと並行して、5~100億円規模の企業に対応するソリューションの企画を進めるべきである。
・すでにSIerやセキュリティベンダーが提供しているソリューションの普及支援
・「お助け隊サービス」認定基準の見直しや機能強化、価格改定
・特定業種、業務向けのソリューションの開拓と普及支援
最後の点については、例えば最近脅威が増している医療事業者への対策については個別の動きがあり、これへの後押しの検討が急務である。中小企業とひとくくりにせず、業種と規模のマップの中でどこに空白が残るかを調査して、その空白部分をなくすシームレスな制度設計を行うべきである。
5.多方面からの中小企業経営者への働きかけ
制度設計に従い、どのような業種・規模の企業でも活用できるソリューションが整っても、中小企業の経営者が「やる気」にならなければ、普及は期待できないし産業界全体の耐性向上につながらない。中小企業の経営者の意識に働きかけるには、多方面からのアプローチを組み合わせる必要がある。
まず期待するのは、業界団体の業界全体を巻きこんだ活動。例えば日本自動車工業会は、業界としてのサイバーセキュリティ対策を議論していて、サプライヤーに対しても働きかけを始めている(*7)。2022年4月に日本自動車部品工業会と共同で、サイバーセキュリティガイドラインVer2.0を公表、後に英語版も公表している。これにはチェックシートも付属していて、サプライヤー各社が自社の状況を認識できるようになっている。
業界全体の活動でサイバーセキュリティの重要性を認識し、自社の状況も把握できた経営者が、対策を施そうとしても自社だけでは実行できない場合がある。その際には、全国商工連合会(商工会)など地域の支援活動が意味を持ってくる。「お助け隊サービス」やこれに準ずるソリューションを導入することも出来るし、地域企業が合同してDXを進めることで見かけの企業規模を増してSIerやセキュリティベンダーのソリューションを導入することもできる。またどのような事業者でも当然やるべき基本的なセキュリティ対策を薦めることを、今年サイバー局が設置された警察庁経由で各県警にも期待する。「サイバーハイジーン」と呼ばれる活動で、「カギを掛けましょうね、不審な電話に気を付けましょうね」と声かけするのと同じように、「パスワード・ID管理をしましょうね、OSのアップデートやソフトウェアのパッチあてしましょうね」と注意喚起をしてもらいたい。
加えて、我が国の産業維持において真に重要な役割を担っている企業には、国からもう一歩踏み込んだサイバーセキュリティ対策の要求をする必要もある。業界団体としての活動は無論有益だが、購買側がこれを強引に要求すれば「優越的地位の濫用」と疑われかねず、独占禁止法に抵触する恐れも出てくる。そのため、要求はお願いレベルとなってしまう公算が高い。真に重要な業種、業務、企業に対しては、サプライヤーへの一定程度の法的拘束力を持った要求も必要だろう。
例えば総務省の電気通信事業者に対してのガバナンスには、電気通信事業法という根拠法があり、安全措置を指示し監督ができる。これを事業者だけではなく、重要なサプライヤーに広げることは、ある程度の範囲内で必要だと考える。経済安全保障推進法の成立を受け、細部の詰めが行われている経済安全保障政策にも同じことが言えるはずだ。同法の4本柱のひとつに「特定社会基盤役務の安定的な提供の確保」つまり基幹インフラの安全性・信頼性の確保があり、14分野の基幹インフラ事業者について国として基本方針を定めることとなる。この基本方針に、事業者だけではなく、重要なサプライヤーも含めることを期待する。
日本の中小企業約350万社に対して、業界団体が業界全体に対してサイバーセキュリティ対策の重要性を説く「業界としての活動」。基本的なセキュリティ対策を薦め、必要なソリューション等を商工会や警察署などが紹介する「地域としての活動」。そして基幹インフラなどの重要な構成要素を担っている企業に対して法規制を背景にした強めのサイバーセキュリティ対策を要求する「国としての活動」。これらを総合的に実施することによって、日本の産業界、日本社会の安全・安心を高めることができると考える。
(*1) 独立行政法人情報処理推進機構(2021)『中小企業の情報セキュリティ対策ガイドライン(第三版)』。
(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)、2022年9月12日閲覧。
(*2) 「Security Action」についての詳細は、独立行政法人情報処理推進機構の「SECURITY ACTION セキュリティ対策自己宣言」特設サイトを参照されたい。
(https://www.ipa.go.jp/security/security-action/)、2022年9月12日閲覧。
(*3) 「サイバーセキュリティお助け隊サービス」についての詳細は、独立行政法人情報処理推進機構の特設サイトを参照されたい。
(https://www.ipa.go.jp/security/otasuketai-pr/)、2022年9月12日閲覧。
(*4) サプライチェーン・サイバーセキュリティ・コンソーシアムについての詳細は、独立行政法人情報処理推進機構の当該サイトを参照されたい。
(https://www.ipa.go.jp/security/sc3/)、2022年9月12日閲覧。
(*5) 上杉謙二(2022)「社内のセキュリティリソースは0.5%以上を確保せよ」、日本サイバーセキュリティ・イノベーション委員会。
(https://www.j-cic.com/pdf/report/Security-Resources-Report.pdf
(*6) 中小企業庁による「中小企業・小規模企業者の定義」。
(https://www.chusho.meti.go.jp/soshiki/teigi.html)、2022年9月12日閲覧。
(*7) たとえば一般社団法人日本自動車工業会総合政策委員会ICT部会サイバーセキュリティ分科会・一般社団法人日本自動車部品工業会IT対応委員会サイバーセキュリティ部会共編(2022年4月改訂)「自動車産業サイバーセキュリティガイドライン 2.0版」。
(https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_00.pdf)、2022年9月12日閲覧。
