日本における中小企業の情報セキュリティ対策と脆弱性

f:id:Far2Kind:20171026111926j:plain

サイバー攻撃の攻撃対象は官公庁や大企業と見られがちです。確かにニュースなど報道を見るとそう感じるかもしれません。

しかし、攻撃者は直接官公庁や大企業といった攻撃対象にアクセスすることはあまりしません。これは、犯行の隠蔽のため、攻撃者とは無関係の脆弱性を持つコンピュータを踏み台にしてアクセスするためです。

 

IPA2016年度 中小企業における情報セキュリティ対策に関する実態調査

によると、日本の中小企業が運用するサーバがセキュリティ的に脆弱で、踏み台対象として狙われやすい可能性があるという結果となっていました。

 

そこで、日本の中小企業の情報セキュリティ対策の実際と、そこから見える脆弱性についてお話したいと思います。

 

■ 日本の中小企業のコンピュータ利用状況

IPA「2016年度 中小企業における情報セキュリティ対策に関する実態調査」によると、PCの利用は全中小企業の9割以上あり、ほぼ全ての中小企業でPCが利用されているといえます。一方、サーバは小規模企業でも3割、規模が大きくなるについて、6割、8割以上の企業がサーバを利用しているという結果でした。

次に、これらのコンピュータに対して、どのようなセキュリティ対策がなされているのでしょうか?またそこから見える脆弱性について考えます。

 

■ 日本の中小企業が抱える情報セキュリティ脆弱性

まず、セキュリティパッチ適用状況を見てみます。

PCについては、調査結果によると、「常に適用し、適用状況も把握している」という回答はほぼ4割、規模が大きくても5割程度の企業しかないという結果でした。

インターネットに公開されているサーバについては、規模に関係なく3割程度の企業が「ほぼ全サーバに適用している」と回答しています。その他の回答として、「アプリケーションに影響がないことを確認できたもののみを適用している」、「情報セキュリティ対策上重要なもののみを適用している」というのがあります。

この結果、PCやインターネットに公開されているサーバといった、最も脆弱性攻撃にさらされやすいコンピュータに対して、完全にはセキュリティパッチが適用されていないという状況であることがわかります。

セキュリティパッチを選定して適用する場合、抜け漏れなく適用できるためにはセキュリティパッチの選定のための詳細な情報を持っていないといけないですし、選定にも時間がかかるはずです。さらに、万一抜け漏れがあった際に攻撃を検知できる手段を持っている必要があります。

しかし、中小企業の現状としては、ここまで手が回っているとは考えられません。したがって、この場合もセキュリティパッチの適用は十分でないと考えます。

次に、セキュリティパッチ適用以外の脆弱性対策状況を見てみます。

IT対策投資は全体として100万円未満の企業が最も多く7割程度、外部業者への委託状況として、ウイルス対策、メールセキュリティを5割程の企業が利用しているという回答がありました。しかし、それ以外のサービスとなると著しく低い割合となっていました。

セキュリティに対する脅威の認識についてみると、コンピュータウイルスについては全体として6割以上が「十分と感じる」「どちらかといえば十分と感じる」と満足度が高いです。しかし、不正アクセス、情報漏えい、内部不正になる満足度が高い割合は5割程度、DoS攻撃、標的型攻撃になると4割程度と低くなっていました。

この結果、日本の中小企業では、ウイルス対策、メールセキュリティ対策に重点をおいていると考えられます。その他の対策については、まだ手が回っていないようです。

 

 ■ 日本の中小企業がこれから実施すべき対策

中小企業では、PCだけでなく、サーバの導入も進んでいます。しかし、IT投資の面で制約があり、現状は比較的安価で効果が見えやすいウイルス対策やメールセキュリティの利用度が高いです。しかし、その他の情報セキュリティに関する脅威への対策について、まだ着手できていないというのが現状です。

特にインターネットに公開するサーバを自社で運用するには、ウイルス対策だけでは不十分で、DoS攻撃、標的型攻撃などの脅威についても対策する必要があります。

このためにはWAFが最適ですが、アプライアンスやソフトウェアを準備するのは予算上適切ではないので、クラウド型WAFといった初期コストがかからず、比較的安価なサービスを利用するのが得策です。 

また、ウイルス対策は、ウイルス対策ソフト・サービスベンダーが既知のウイルスしか対応できないことを理解しなければなりません。つまり未知のウイルスには対応できないので、いわゆる「ゼロデイ」攻撃には対応できないということです。

したがって、もし情報セキュリティに関する事故が発生した場合にどうするべきか、という策についても事前に打っておく必要があります。

 

■ 対策を確実に実施するには?

これら対策を実施するにあたり、中小企業の担当者レベルだけでは、今日の情報セキュリティの脅威に対して立ち向かうことは困難な状況です。この脅威に確実に対応するためには、継続的な情報セキュリティ専門会社のサポートが欠かせません。

しかし、情報セキュリティ専門会社のサポートとしては、多くの企業では年1回ないし四半期毎といった形での脆弱性検査を利用するといった利用が多いというのが現状です。

このような断続的なサポートの場合、被害の未然防止といった観点では、場合によっては手遅れになる可能性があります。したがって、継続的なサポートが欠かせません。

弊社では、特別なエージェントをインストールしたり、特別な権限を付与したりすることなく、全自動で継続的な脆弱性検査が実現できるサービスを提供しています。

また、業種によっては、ISO 27001/27002、SOXPCI DSS、NSA、NIST、CISといった業界標準・国際標準の準拠が必要になりますが、これらの準拠検査も自動で実現できます。

これらの検査結果から、最優先で実施すべき施策を洗い出し、最適な予算で最大の効果をあげることができるようになります。

 

■ まとめ

① 日本の中小企業ではセキュリティパッチを適用しているPC・サーバは半分に満たない。

 

② 日本の中小企業のセキュリティ対策は、ウイルス対策、メールセキュリティ対策が一般的で、その他の脅威に対しては対策がとれていない。

 

③ 日本の中小企業では、インターネットに公開しているサーバに対して、ウイルス対策はしているが、それ以外の対策はできていない。

 

ゼロデイ攻撃があることを認識し、情報セキュリティに関するインシデントが発生した場合の対応方法の構築も必要。

 

⑤ セキュリティ対策に対して最適な予算で最大の効果をあげるには、セキュリティ専門会社のサポートが欠かせない。

 

PIPELINE Securityについて詳しくは、弊社のWebサイトを参照してください。

www.pipelinesecurity.jp