デジタル第一主義の世界で、私たちのデータは、公私を問わずオンライン上に保存されており、データ保護は見過ごせない重要な観点です。サイバー保険は、データ保護をより堅牢にする要素として展開が広がっているにもかかわらず、中小企業では積極的に活用されていないケースがほとんどです。
本連載の最終となる今回は、前回に続き、Veeam Softwareで製品戦略担当シニアディレクターを務めるRick Vanoverと共に、中小企業でのセキュリティ対策の現状と、ランサムウェアから身を守るために中小企業が取るべき施策について解説します。
中小企業では、コロナ禍でのハイブリッドな勤務形態の増加に加え、社内にIT専任者が少ないこともあり、サイバー攻撃への対応が弱くなりがちです。2022年7月には、「BazarCall」と呼ばれる中小企業を標的とした新しいタイプのランサムウェア攻撃が、英CFC UnderwritingのManaging General Agentから報告されました。この種の攻撃は、同社のポートフォリオにおける3カ月間のマルウェア発生件数の10%を占めました。
Veeamの「2023 データプロテクションレポート」では、2020年、2021年、2022年において組織に大きな影響を与えた障害は、いずれもサイバー攻撃であり、世界の85%(日本の84%)の組織が過去12カ月間に少なくとも1回の攻撃を受けていたことが明らかになりました。先進するデジタル化、対策強化にもかかわらず、ランサムウェアが依然として優勢であることが読み取れます。
中小企業のセキュリティ対策の穴はなにか?
事業規模にかかわらず、企業はサイバー攻撃に対して脆弱です。しかし、多くの中小企業は、適切ではないデータセキュリティ対策が原因で、より不安定な立場に置かれています。多くの場合、中小企業はサイバー攻撃対策に講じられる予算が限られています。インドのCyberPeace Foundationの調査によると、高機能なウイルス検知システムを搭載していない中小企業では、ハッカーの行動が検知されず、実質的にサイバー犯罪を自身のシステムに誘引していることが分かりました。また、重要なデータをバックアップしていない、サイバーセキュリティポリシーが不十分であるなどのセキュリティギャップが、サイバー攻撃の標的につながる可能性があることにも言及しています。
中小企業は規模が大きくないため、業界大手に対抗するべく事業戦略に重きを置いています。中小企業は、大企業ほどサイバー攻撃のリスクが高いと考え、データのバックアップや保険といった適切なサイバーセキュリティ対策にコストをかけない選択をしているのかもしれません。結果として、中小企業ではサイバーセキュリティ計画が後回しにされることが多いのです。
多くの中小企業がサイバー保険に投資をしない主な理由として、ほかに必要不可欠なセキュリティ対策を統合する有識者が少ないこと、サイバー保険の保険料の高騰が挙げられます。インドでは、中小企業の約29%が予算削減のためにサイバー保険を解約していたという報告もあります。
Vanoverは、「テクノロジーに頼るほどサイバー攻撃の影響範囲が広くなるため、サイバーセキュリティにかける予算を重視することが推奨されています。しかし、予算の関係でサイバー保険に加入することができない場合、サイバーセキュリティ策の導入やデータのバックアップといった、ほかの予防策を講じることが有効な手立てになります」と解説します。
