中堅・中小企業の3社に1社がサイバー攻撃の被害に 被害額は?
Microsoft Securityの調査によれば、中堅・中小企業のうち、3社に1社がサイバー攻撃を受けている。被害額はどの程度なのだろうか。
Microsoft Securityが2024年10月31日に発表した調査報告によると(注1)、過去1年間に中堅・中小企業の3社に1社がサイバー攻撃を受けたという。ここでいう中堅・中小企業とは従業員数25〜299人の企業だ。
被害額はどの程度なのか
Microsoft Securityの脅威保護部門に所属するスコット・ウッドゲート氏(ゼネラルマネジャー)は、調査結果とともに公開された報告書で次のように記した(注2)。
「こうした状況があるにもかかわらず、中堅・中小企業の多くはリスクと脆弱(ぜいじゃく)性の増大につながるような誤解を今も抱いている。攻撃者が狙うには自社の規模は小さ過ぎると考えている企業や、コンプライアンスとセキュリティが同じ意味を持っていると思い込んでいる企業が存在する」
中堅・中小企業に対するサイバー攻撃の頻度とコストは、過小評価されがちだということだ。これは、攻撃者があらゆる種類や規模の企業を標的としており、今後も標的にし続けるという現実とは異なる。
回答者の94%がサイバーセキュリティを自社の成功に不可欠だと考えている一方、現状認識は甘い。そのような企業のセキュリティリーダーの考え方は、自社をさらに不利な立場に追いやるだろう。44%の回答者は「すでに攻撃を受けたことがあるから、2度目はないだろう」と答えた。また、26%の回答者は「自社は規模が小さ過ぎるか、攻撃を受けたことがないから今後も安全だろう」と回答した。
中堅・中小企業に対するサイバー攻撃による総被害額は約25万4445ドルだが、中には約700万ドルに達したインシデントもあったという。コスト分析では「調査と復旧」「罰金」「企業への風評被害」「機会損失」「その他」の5つを評価した。平均コストが最も高かったのは、調査と復旧(7万7957ドル)、企業への風評被害(7万3393ドル)だった。
中堅・中小企業には不足しがちなものがある。攻撃を検知、阻止、軽減できるような高度なセキュリティ対策を実施したり、管理したりするためのリソースや専門知識だ。これが企業の悩みの種になっている。「社内でセキュリティを管理している」と回答したのは30%以下だった。残りの回答者はツールの選択についてコンサルタントやマネージドサービスプロバイダー、サイバー保険を提供する企業が推奨するものに頼っているという。
セキュリティ予算について、回答者の約80%が増やす意向を持っている。投資目的の上位には、データ保護(65%)やファイアウォール(54%)、フィッシング(53%)やランサムウェアからの保護(52%)、アクセス制御とアイデンティティー管理(46%)が挙がった。
中堅・中小企業はどのような対策に頼っているのか
脅威からの保護のうち、有効だと考えているという回答が20%以上あったものが報告書には列挙されている。
・ファイアウォール、暗号化、その他の対策による社内ネットワークの保護
・可能な限り多要素認証(MFA)を利用すること
・従業員に強固で固有のパスワードを使用させること
個人所有のモバイルデバイスにある業務データを保護するための、安全なパスワードやPINについての管理ポリシーの導入
・オフサイトストレージによる堅牢(けんろう)なデータバックアップの導入と定期的なテスト
・従業員によるシステムやデータへのアクセスを「必要に応じて」制限するためのアクセス制御の導入
・ソフトウェアの自動更新を可能にし、全てのシステムにパッチが適用され、最新の状態に保たれるようにすること
・サイバーセキュリティインシデント対応計画の維持と更新
・定期的なセキュリティ監査の実施
・定期的な従業員向けサイバーセキュリティ研修の実施
本報告書は2024年9月にMicrosoftと提携先のBredinによって実施された調査に基づく。英国と米国のITセキュリティ製品の意思決定者とインフルエンサー2000人が対象だ。
出典:Cyberattacks hit 1 in 3 SMBs last year(Cybersecurity Dive)
注1:New research: Small and medium business(SMB) cyberattacks are frequent and costly(Microsoft Security)
注2:7 cybersecurity trends and tips for small and medium businesses to stay protected(Microsoft)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
中小企業が「ゲーミフィケーション」でコストをかけずにセキュリティを強化するには
コストをあまりかけずにサイバーセキュリティを高める方法は幾つかある。多要素認証をオンにするといったすぐに可能なものもある。だが、本当に重要なのはそこではない。
中小企業が頼りにすべきセキュリティシステムは?
中小企業がセキュリティ向上のためにツールを導入する際、何を選ぶべきだろうか。2種類のツールをよく調査すべきだろう。
中小企業もセキュリティ対策に本腰か? 企業規模別の対策状況から分かること
標的型攻撃に備えるための製品導入が進む中、担当者は不足していた。このような状況がここ1年で大きく変わったようだ。