インターネットを経由したサイバー攻撃が増加の一途をたどり、脅威は中小企業にも及んでいる。だが「自分の会社は関係ない」と思う企業経営者はまだまだ多い。情報処理推進機構（ＩＰＡ）がこのほど実施した調査をもとに、中小企業が採るべき対処策を聞いた。

警察庁が４月に公表した２０２１年のサイバー空間の脅威情勢では、コンピューターのソフトウエアを使用不能とし、身代金を要求する「ランサムウエア」の被害にあった企業は１４６件。そのうち中小企業は７９件と全体の５４％を占めた。大企業への攻撃が話題となるが、実態は中小が狙われている。ただこの数値は氷山の一角で現実にはさらに多数の企業が被害を受けていると推測される。

ＩＰＡが中小企業を対象に実施したセキュリティー対策の調査では、直近過去３期の投資額が「１００万円未満」が４９・２％で最も多く、次いで「投資していない」が３３・１％、「１００万―５００万円未満」が８・２％となった。

投資を行わない理由は「必要性を感じていない」が４０・５％と最多で、次いで「費用対効果が見えない」が２４・９％、「コストがかかり過ぎる」が２２％で続く。

脅威は感じつつも、〝自社ごと〟と捉えていない企業が多いことが浮かび上がる。ただ、現実には中小企業も標的とされている。ひとたび被害が発生し、取引先や顧客の情報が流出すれば、事業継続そのものが危うい事態を招きかねない。

まず「診断サイト」活用を―ＩＰＡ呼びかけ

ＩＰＡは「経営者自身が対策の重要性を認識し、セキュリティー担当者を選任して取り組むことから始めてほしい」（江島将和ＩＰＡセキュリティセンター中小企業支援グループ研究員）と呼びかけている。ＩＰＡのウェブサイトにある「５分でできる！情報セキュリティ自社診断」は、２５個の質問に回答すると、自社のセキュリティーレベルが４段階で表示され、レベルに応じた取り組むべき対策が表示される。利用は無料だ。現状を経営者自らが把握し、次の対策に進める目安とできる。

また、中小企業のセキュリティー対策を比較的安価なパッケージで提供する「サイバーセキュリティお助け隊」というサービスも提供している。国や自治体による助成制度もあり、コストを抑えながら利用できる手段も提供されている。

サイバー攻撃の手口は巧妙化しており、中小企業にとって「どこまで備えればいいのか分からない」という悩みもある。しかし、対策を怠った場合の被害想定額が５０００万円を超える事例も紹介されている。「セキュリティー対策はコストではなく投資」という発想を経営者が持つことが求められている。