コラムCOLUMN

【連載コラム第2回】「零細企業だから情報セキュリティなど不要?」の大誤解

コラム

 

 筆者のお客様は中小企業さんがメインです。個人事業を開業される方から、外国人向けのロッジ、英会話教室、社員数名の小売店の店主さん、社歴は長いが社員は20名程度の製造業、数百名規模の中堅企業など、規模も業種もバラバラです。その様な企業がIT化を必要とする際、それに適切な機能を持ち、会社の身の丈に合った投資規模のシステム化方針や計画の策定、IT業者やパッケージの選定といった手続きをこなすためのノウハウ提供や伴走支援をしています。

 そんな経験の中で、ほぼ毎回「この会社さんもそうなんだな…」と思わせることがあります。それが本コラムのお題です。「鈴木先生、うちのように小さい規模の会社がサイバー犯罪のターゲットになるなんてあり得ませんよ。価値のある情報なんて当社にはありませんから…」と今まで何回言われたことか。

 確かに一昔前までは、サイバー犯罪者に狙われるのは大企業や官公庁がメインであり、中小企業が狙われるケースは少なかったと思います。中小企業に何かを仕掛けたとしても、その為の手間や検挙されるリスクに比べて得られるものが少ない為、投資対効果がバランスしなかったからでしょう。しかし、犯罪の手口が高度になるにつれ、犯罪用のツールも闇市場で安価に流通するなど、犯罪者側の「中小企業への攻撃投資」は急激に小さくなってきているのです。

 たいした投資もかけずに、中小企業にピンポイントで攻撃をしかけて何らかの対価を得る、いわゆる「収益ビジネス」です。いつのまにかそんな状況に世の中が変化しているにも関わらず「当社の様な零細企業は狙われるわけが無い・・・」などと悠長なことを言っている社長が多いこと多いこと。

 ここまで辛辣に書き並べると、「いやいや、鈴木先生、だって当社にはろくにシステムも無いんですよ。犯罪者に狙われるものなんてそもそも持っていないんです」と反論が飛んで来そうです。ところがそんな反論をする社長に「自社ホームページは持っていないのですか?コロナ禍でECサイトを立てたりしていませんか?」と尋ねると、大体の場合1つや二つ持っているのです。それも付き合いのあるWEBクリエーターに依頼して作成したものを長年放置運用していたり。

 昨今の人材不足問題や、販路開拓の問題の対策を考えようとすると、どうしてもインターネットの活用施策が候補に挙がってきます。時代の流れですね。これらを立ち上げるところまでのお金は、社長は比較的ポンと出すのですが、それを正しく運用するためのコストが必要であることをほとんど理解していません。これが多くの社長が大きく誤解している問題なのです。システムの「運用費用」は一般的に

  • 環境保守費用:IT企業に対してソフトウェアや環境の年間保守を委託する場合の固定費
  • セキュリティ対策費用:定期的なセキュリティチェック、セキュリティ対策用品の維持費、保険費用

などとなりますが、これらを社長が経費計画に組み込んでいることはほとんどありません。

 更にセキュリティ対策費用ついては、その必要性を説明してもピンとこない。例えば先の例です。社長に「自社ホームページが動作しているWEBサーバーのセキュリティ対策は大丈夫ですか?」と聞いてもきょとんとしてしまいます。WEBサーバーなど会社の重要業務は何も関係しないから、セキュリティ上全く問題無いとでも判断されているかの様です。

 よく考えて頂きたいのですが、WEBサーバーの様にインターネットからアクセスできるサーバー類は常にセキュリティリスクに晒されています。このリスクだらけの中、全く手入れされていない、言わば無防備なサーバーを犯罪者が発見した場合、何が発生しうるのか?たとえ会社の重要情報を保管しているサーバーではないとしても、犯罪者が悪用する方法はいくつもあるのです。おそらくくだんの社長はこのリスクを想像しきれていないのでしょう。

 このような、半ば放置されているサーバーやクラウドサービスのことを、私は「ゾンビ化している」と申し上げています。人知れず犯罪者の手によって悪い仕掛けを仕込まれている可能性もあるわけで、まさに「自分が死んでいることを意識できないゾンビ」と良く似ています。ゾンビを放置しておくと、ある日突然他社のサーバーにかみつくかもしれません。自社のサーバーがいわゆる「踏み台攻撃」の踏み台にされてしまうリスクです。

 さらに、そのサーバーが自社とネットワークで接続されていた場合、もしその接続が充分に強固で無い場合には、社内に自分の複製を作る為にゾンビ菌をばらまき始めるかもしれません。もしくは外部にばらまいてしまうかもしれません。中小企業にとって大切な大手取引先から預かったデータを外部漏洩するかもしれませんし、その大手取引先自体に攻撃を仕掛けるかもしれません。ことここに至っては、「うちには犯罪者に狙われるものなど無い」などと言っていられないことに気がつく社長が多いものです。

 さて、ではこれらWEBサーバーや業務システムサーバーを持つ企業にとって最低限やらなければならないことは何でしょうか?それは、以下の二種類です。

  • サーバーそのものに侵入されないようにする手段
  • サーバーの安全性をチェックする手段と活動

 サイバー攻撃の手口が多岐に渡ると同じ様に、これらの手段についても企業体力や、守るべきIT資産の内容によって実に様々な種類の製品・サービスが提供されています。一昔前までは、これらは大企業の為のもの、という存在でしたが、今は中小企業でも導入可能な規模のものも存在します。

 昨今の企業活動にはインターネットは欠かせない機能になっているはずです。それを「守らなければならない資産なのだ」という認識が多くの社長に欠落している・大誤解をしている状態です。本コラムをご覧になった後でも、「うちには守るべきものは無い」と言い切れますか?世の全ての社長に、冷静に身の回りを点検されることをお勧めしたいと思います。

鈴木 純二
ベルケンシステムズ株式会社
代表取締役/成長直轄型IT導入コンサルタント


 顧客接点改革でカスタマーサクセスを推進する手法により、成長に直結するIT 化方針立案のコンサルティングを提供している。
 大手OA 機器メーカーで生産現場を経験後、情報システム・通販直販サイト・情報化経営戦略責任者を歴任。インターネット黎明期に、WEB サイトでの売上げの飛躍的な拡大に成功。同時に、基幹側プロセスを次々にIT 化し、全プロセスでお客様の利便性・作業効率・対応迅速性を改革。
 独立後、主に製造業、卸売業、各種サービス業のIT 導入を支援する事業を展開中。中小企業を中心に100 社を超える支援実績があり、特に生産管理、販売管理システムや全社業務体系の整備で成果を上げている。
・2019年業務可視化支援ソフトウェアツール「簡単プロセスビルダー」を開発。組織の規模を問わず「現場の担当者が手軽に業務プロセスを可視化でき、IT化やRPA導入の現実的な計画を立案できる」との評価を得る。
・米国プロジェクトマネジメント協会認定PMP®
(プロジェクト・マネジメント・プロフェッショナル)

セキュリティアご紹介するWebセキュリティ

カテゴリー

最新記事