「予算」でも「人材」でもない、中小企業にとってセキュリティ対策の一番の課題とは？

中小企業に対する広範囲なサイバー攻撃の実態が明らかになった。サイバー防衛のリソースが不足している企業は何に苦しんでいるのだろうか。

[David Jones，Cybersecurity Dive]

　先進諸国の中小企業は高度なサイバーリスクに直面しており、48％の企業が過去12カ月の間にサイバーインシデントを被った。

サイバー対策　中小企業にとって最大の課題とは

　この結果は給与計算・財務ソフトウェアのプロバイダーSageが委託した調査によるものだ（注1）。では、中小企業はさまざまなサイバー対策のうち、何に苦しんでいるのだろうか。

　米国の中小企業の3分の2にとって、サイバーセキュリティは主要な懸念事項だ。そのうちの59％は、次の1年間でサイバーセキュリティへの投資を増やす予定だ。調査報告書によると、91％の中小企業が、次の1年間に既存の投資を維持するか、追加の資金をサイバーセキュリティに費やす計画だという。

　中小企業はサイバーリスクの管理を、自社で対応するのではなく、サイバーセキュリティの専門企業や信頼できる技術パートナーに依頼する。中小企業は、サイバーリスク管理に関する教育やトレーニングの支援も関連業界に求めている。

中小企業ではリソース不足が課題

　Sageの報告書によれば、中小企業はサイバーリスクに直面して苦しんでいる。中小企業では、社内にセキュリティの専門家がいなかったり、セキュリティ保護や従業員へのトレーニングに活用するリソースがなかったりすることが多い。

　「米国とカナダでは、最大で45％の中小企業が教育と意識向上を最大の課題と考えている」とSageのグスタボ・ゼイダン氏（CISO《最高情報セキュリティ責任者》）は述べた。

　「専任のサイバーセキュリティ専門家に多くのリソースを割くことができる大企業と、そうではない中小企業を比較したとき、必要なスキルへのアクセスや、リスクを軽減するためのリソースの確保の差が大きい」（ゼイダン氏）

中小企業はどのような攻撃を受けているのか

　報告書によると、中小企業が直面する主要なサイバーインシデントは幾つかある。主にDDoS攻撃やデータの損失を伴うもの、ランサムウェア攻撃、認証情報の盗難などだ。

　Sageの報告書は、Proofpointが2023年5月に発表した調査を裏付けるものだ（注2）。その調査では高度な活動を持続する攻撃者によるフィッシング攻撃は中小企業を標的としていたことを明らかにした。これらの攻撃は、中小企業にサイバーセキュリティサービスを提供するマネージドサービスプロバイダーを標的とすることも多かった。

　Sageの委託調査は米国や英国、フランス、ドイツ、ポルトガル、スペイン、南アフリカ共和国、カナダ、オーストラリアに拠点を有する従業員数500人未満の中小企業の専門家に対する2100件のオンラインインタビューに基づく。

出典：SMBs seek cyber training, support as attack risk surges（Cybersecurity Dive）
注1；Cyber security for SMBs: Navigating Complexity and Building Resilience（Sage）
注2：SMBs, regional MSPs under fire from targeted phishing attacks（Cybersecurity Dive）