サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2023.9.6 セキュリティ対策

自社は本当に大丈夫?中小企業の情報セキュリティの重要性

自社は本当に大丈夫?中小企業の情報セキュリティの重要性

サイバー攻撃や自社内で起こしてしまうサイバー事故のリスクは年々深刻さを増しています
実際に機密情報が狙われるサイバー攻撃の被害や、顧客情報の漏洩事故が日々発生しており、情報セキュリティ対策は事業規模に関わらず、どんな企業においても経営課題の一つとなりつつあります。
本記事では、情報セキュリティ対策の必要性を改めて紹介いたします。

企業のセキュリティ対策の必要性

企業や組織はあらゆるIT化によって、業務の利便性向上と引き換えに、大きなITリスクを抱え持っています。
主なリスクの例として考えられるのが、サイバー攻撃によるシステム障害や情報漏えい、自社のミスや不正、故障・ヒューマンエラーによって引き起こされるサイバー事故等です。
これらは金銭的な被害のほか、企業のブランドイメージの失墜なども引き起こします。
特に個人情報漏えいは、企業のイメージだけでなく顧客からの信頼も失い、その責任を問われて損害賠償を請求されるケースもあります。
2022年には個人情報保護法が改正され、個人情報を漏えいさせた事業者は被害者への報告義務を追うことになりました。義務違反をすれば罰則も科せられるため、コンプライアンスの観点からも情報セキュリティ対策に本格的に取り組む企業が増えています。

うちの会社は大丈夫ってほんと?

「うちの会社は大丈夫だよ」
「自社は狙われるような情報資産がないから」
「うちは攻撃を受けても被害が発生しようがない」という考え方を持つ企業も少なくありません。

しかし、悪意のあるハッカーのターゲットは必ずしも機密情報や価値のあるような情報資産だけではありません

その企業の持つ情報に価値はなくても、パソコンを乗っ取ることで踏み台にし、第三者へのサイバー攻撃に悪用したり、親会社や取引先、顧客を騙し脅迫するなど手法など重い被害へ発展するケースがあります。
たとえ規模の小さい組織や情報でもサイバーリスクがある
のです。
今現在も猛威を振るっているランサムウェア(悪意のあるマルウェア)は、あえてセキュリティ対策が薄い中小企業をターゲットに狙います。
サイバー攻撃に狙われるのは大企業だけではなく中小企業となった今では、いつ自社がターゲットとなってもおかしくありません。

いまだに約3割が「IT投資」「セキュリティ投資」を行っていない

独立行政法人情報処理推進機構が発表した「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によれば、いまだに企業の30%が「IT投資・セキュリティ投資をしていない」と回答しています。
また、33.1%は過去3期の「情報セキュリティ対策投資」についても「投資をしていない」と回答しています。

つまり、3社に1社はセキュリティに対して適切な脅威評価ができていないということです。
投資をしない理由はは主に以下の3つが挙げられました。
  • 必要性を感じていない(40.5%)
  • 費用対効果が見えない(24.9%)
  • コストがかかりすぎる(22.0%)

  • セキュリティ対策はかける費用に対し効果が見えにくいため、そのため中小企業ではセキュリティ対策が後回しになるケースが多々あります。
    しかし、対策をしないままサイバー攻撃に遭ってしまったり、取引先や顧客に被害を与えてしまった場合に、莫大な費用損害を受けることになりかねません。情報セキュリティ対策をすべきだった」と後悔するかどうかは、損害リスクを適切に見積もっているかにかかっているといえるでしょう。

    情報セキュリティ対策を怠るとどうなる?

    では企業において、情報セキュリティ対策を怠るとどのような被害がでてくるのでしょうか。

    金銭の損失

    不正アクセスやマルウェアやウィルスの感染の疑いが発生した場合、被害範囲を広げないためにただちに全PCやサーバ、ネットワークを停止するため、営業・稼働ができなくなり取引先への納品が遅れ訴訟へ発展する危険性があります。

    また、自社だけではなく、取引先の機密情報や個人情報が漏えいしてしまった場合、機密内容によっては損害賠償請求を受ける可能性があります。

    ECサイトをお持ちの企業様でしたら、ECサイトに不正アクセスが発生すれば、ECサイトを一時的に閉鎖する必要があります。もちろんその間の営業活動は停止、機会損失を生むことになるでしょう。
    顧客の個人情報を流出させてしまった場合は、お詫び文等のDM発送費用・電話受付対応費用・新聞広告掲載等が必要となります。
    流出した個人情報が不正送金やクレジットカードの不正利用などの被害を引き起こした場合は、訴訟へ発展し法律相談費用・弁護士費用・損害賠償費用が必要となってきます。

    また、これらのサイバー事故を起こした場合、システムやパソコンの調査や入れ替えが必要です。です。
    JNSAの報告によると、フォレンジック調査の対象端末がPCとサーバー数台であれば300~400万円の費用程度で済みますが、ランサムウェアやマルウェアの感染が拡大してしまった場合は、調査端末増加しネットワーク内の挙動の調査も必要となるため、その費用は数千万円に及ぶ場合もあるようです。
    これは調査だけの費用ですので、システムが何かしらのダメージを負った場合はシステム復旧費用も必要ですし、サイバー事故の収束に向けて再発防止策費用も必要となります。

    なお個人情報保護法の改正により、個人情報を漏えいさせた場合、企業は関係省庁への報告義務を負います。以下の罰則規定もあるため「知らなかった」では済まされません。
    ・個人情報保護委員会の命令に違反した場合は、6カ月以下の懲役または30万円以下の罰金
    ・報告義務に違反した場合は30万円以下の罰金

    顧客の喪失

    セキュリティインシデント(サイバー事故)を起こした企業は、理由が何であれ企業や組織のブランドイメージが失墜します。結果、顧客が競合他社に流出してしまったり、優良取引先から受注を打ち切られる危険性もあります。
    顧客が離れてから企業イメージを回復させるには一定の時間がかかるため、悪化した業績を立て直すことができず、サイバー攻撃への対応経費ばかりが膨らんで廃業に追い込まれてしまうケースもあります。

    業務の停滞

    業務にデジタル技術が多く組み込まれている企業ほど、サイバー攻撃を受けた際に業務システムやメールなどが使えなくなり、事業継続が困難になります。とくに基幹システムが攻撃されてしまえば、自社だけに限らず関連企業への影響も無視できません。復旧に時間がかかればかかるほど、業務は停滞し、納期遅れや機会損失が継続します。

    従業員への影響

    割れ窓理論をご存知でしょうか?
    「1枚の窓が割れた窓を放置していると、誰も注意を払っていないという象徴になり、やがて他の窓も割られてしまい荒廃が進む」という理論です。
    セキュリティ対策を適切に行っていないと従業員のモラルが低下しかねません。
    セキュリティのルールをを整備していても、「これくらいよいか」とルールを軽視したり、気が緩みはじめ重大なサイバー事故へ発展していってしまいます。
    また、セキュリティ対策のルールの責任の所在をはっきりさせず、従業員にしわ寄せが行くような体制のままでは、危ない会社だと判断され従業員の転職率も高くなるでしょう。
    「個別の損害より、職場環境が暗くなったことが1番困った」と語った経営者もいるほどです。

    情報セキュリティ対策で知っておきたい「ゼロトラスト」

    近年の情報セキュリティ対策のトレンドとして知っておきたいのが「ゼロトラスト」です。
    ゼロトラストとは、言葉のとおり「組織の情報資産へのアクセスは、そのすべてを監視・検証する=なにも信用しない」というセキュリティ概念の1つです。

    従来のセキュリティ(境界型セキュリティ)対策では、自社内のと外部とのあいだに境界線があると考え、「脅威はすべて外部から来るもの」として脅威を企業の外部と内部に分けて考えること主流でした。
    そのため、アクセス認証ができれば、誰でも内部の情報にアクセスが可能な仕組みです。

    しかし、近年サイバー攻撃の高度化・複雑化により、ハッカーが企業内部へ侵入できてしまえば、いくらでも危害を加えることができるようになってしまったため、外部からの脅威を防ぐだけでは不十分なケースが出てきました。

    そこで生まれた「ゼロトラスト」は、誰であろうと監視・検証し、外部も内部も区別なく疑ってかかるという新しい考え方です。
    情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ぐという新たなセキュリティ概念です。

    ゼロトラストの基本原則は以下のとおりです。

    <ゼロトラストセキュリティの考え方、3つのポイント>
    1. ネットワークの内部と外部を区別せず、データや機器等の最小単位でセキュリティを考える
    2. 強固な利用者認証と厳密なアクセス管理
    3. セキュリティ対策に関して環境(場所・端末等)の制約を設けない

    しかしゼロトラストがカバーする領域は幅広いため、いざ対策を実装しようとしても、どこから着手してよいか悩んでしまう企業が多いのが現状です。
    また、社内外を問わず全てを信用しない考え方「ゼロトラスト」のアプローチに、多額のコストをかけたとしても、全てのリスクをゼロすることはできません。
    このような状況においてサイバー事故が発生した際に、経営への損害インパクトを必要最小限に抑えるための対策として、「リスク移転」をするサイバー保険の活用もおすすめ
    いたします。

    いざという時に、企業を守る「サイバー保険」

    サイバー保険とは、サイバー事故で生ずる損害をカバーする目的で設けられている損害保険です。
    サイバー攻撃は年々増え続けており、そのリスクが日々変化し手法が巧妙化すると共に、被害も複雑化しています。
    またテレワークやウェブ会議の定着が進み、新しい環境で仕事をする機会が増えたことで対策はますます困難な状況となったと言えます。

    大企業であれば、サイバーセキュリティを所管するITの専門部署が存在しており体制構築も整備され、セキュリティ意識も非常に高く保たれています。

    しかしに特に専門部署を設けていない中小企業は突然やってくるサイバー事故への初動対応体制や手順を整備されていないのではないでしょうか。

    まずはしっかりとセキュリティ対策を行い、万一の際の備えとして「被害を最小限に留めてくれるサイバー保険」の加入もご検討ください。

    ▼サイバー保険に関しては、以下の記事もご覧ください。
    サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説

    サイバー保険を取り扱う保険会社について

    サイバー保険コラムの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
    サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。

    【取り扱いのある保険会社】
    東京海上日動火災保険株式会社
    三井住友海上火災保険株式会社
    損害保険ジャパン株式会社
    あいおいニッセイ同和損害保険株式会社
    AIG損害保険株式会社

    ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。

    サイバー保険 一括見積りサイト

    まとめ

    企業にとって情報セキュリティ対策は、会社全体で取り組むべき最重要の経営課題のひとつです。
    対策を疎かにしておくと思いもよらない訴訟や損害賠償へ発展する可能性があり、企業の信頼を大きく損なう可能性もあります。
    会社規模や業種に関わらず、正しいセキュリティ対策を意識し、サイバー保険も視野にいれて自社のセキュリティ対策に取り組んでみてください。

    関連タグ

    関連記事
    ACCSS RANKING アクセスランキング
    CATEGORY カテゴリ

    運営会社について

    ファーストプレイスは、
    サイバー保険を扱うプロフェッショナルです

    当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
    貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

    運営会社について

    pagetopへ