人もお金もない中堅企業がセキュリティ対策でまずやるべきこと

大手企業の取引先やパートナー企業へのサプライチェーン攻撃が激化する中、中堅企業も人ごとではない。人的リソースや予算が限られていても、できる対策がある。

[David Jones，Cybersecurity Dive]

　米国ソフトウェアベンダーのEgnyteが発表したレポートによると、多くの中堅企業はセキュリティ人材と対策に十分な予算をかけられず、また経営トップの危機意識が不足していることから、セキュリティ危機発生時の対応能力が低く、セキュリティプログラムの管理面で中堅企業ならではの課題に直面しているという。

　インシデント対応計画を策定している企業は回答者全体の3分の2未満にとどまったという。特にランサムウェアの場合は、侵害の追跡に多大な時間を要する。今のような状態では多くの組織が危機にさらされることになるだろう。

　こうした事情からサイバー保険料は高騰し、中堅企業にとって大きな問題となっている。調査によると、調査対象の企業のほぼ半数が過去1年間に76％以上の保険料引き上げを経験したという。

サイバー攻撃を受ける前に中堅企業がまずやるべきこと

　年商10億ドル規模の企業とは異なり、中堅企業の場合、24時間365日体制のセキュリティ運用を実施することは難しい。また、多くの中堅企業は、サイバーセキュリティ企業やランサムウェアの交渉人、法律事務所と契約する予算もない。

　問題なのは、多くの中堅企業が、インシデント対応計画の策定などサイバー攻撃への対応準備が不十分であることだ。Egnyteのニール・ジョーンズ氏（サイバーセキュリティ　エバンジェリズム担当ディレクター）は、「インシデント対応計画は、サイバー攻撃を受けた時に従業員の生産性や顧客サービス、経営陣とのコミュニケーションを維持する重要な推進力となる」とメールで伝えた。

　ジョーンズ氏や他の専門家たちは「計画を立て、卓上演習を行うことがベストプラクティスだ」と語る。Forresterのアナリストも、サイバー攻撃の被害に遭わないうちにインシデント対応パートナーとともに準備を進めるよう忠告する。

　中堅企業にとって、サイバーセキュリティの意識向上トレーニングは依然として課題だ。調査で「従業員の4分の3以上にトレーニングを施している」と回答した企業は半数以下だった。3分の2は「四半期に一度、サイバーセキュリティのトレーニングを実施している」と答えた。

　なお、このレポートは、従業員数100〜1000人規模の米国企業のCレベルエグゼクティブ（経営幹部職）400人を対象に実施したオンライン調査に基づくものだ。回答者の半数以上がCIO（最高情報責任者）やCTO（最高技術責任者）、ITセキュリティの職務に就いており、約5人に1人がデータ関連の職務に就いている。

　ガートナーの2021年12月のレポートによると、中堅企業では、セキュリティの責任は専任の最高セキュリティ責任者ではなく、CIOやその他の上級ITエグゼクティブにあると示されている。

出典：Mid-sized companies grapple with response to cyber crises（Cybersecurity Dive）