他社の事例から見る、中小企業のセキュリティ対策の実態とは

近年、企業の規模や業種を問わず、サイバー攻撃による被害が拡大しています。中小企業においても例外ではなく、リスクは日々高まっています。限られた予算や人材の中で、どのようなセキュリティ対策が求められるのでしょうか。本記事では、情報セキュリティに関する実態調査の結果をもとに、浮き彫りとなった課題とその対策について考察します。

中小企業も油断できない！広がるサイバー攻撃の魔の手

近年、企業や組織を標的としたサイバー攻撃のリスクがかつてないほど高まっており、テレビや新聞などのマスメディアでも頻繁に取り上げられるようになっています。2024年12月に日本ネットワークセキュリティ協会（JNSA）が発表した「JNSA 2024セキュリティ十大ニュース」では、国内大手メディア企業や自治体、業務委託先企業へのランサムウェア攻撃、さらには宇宙開発関連の行政機関における情報漏えいなど、多様化する攻撃手法が報告されています。
こうした状況の中、中小企業においても被害が相次いでおり、社会的な注目度は大企業ほど高くないものの、実際には多くの企業が攻撃の対象となっています。IPAの「2024年度中小企業等実態調査結果（速報版）」によれば、2023年度にサイバーインシデントの被害を受けたと回答した企業は全体の23.3%にのぼり、そのうち43.0%が不正アクセスによる被害を経験しています。被害内容としては、自社Webサイトや業務サーバーの機能停止・低下が多く報告されており、セキュリティ対策が不十分な中小企業が攻撃者にとって格好の標的となっている実態が浮き彫りになっています。

中小企業におけるサイバーセキュリティの現状と課題

この調査を通して見えてくるのは、社内にセキュリティに精通している人材が存在しないことで組織的な対策を実施できていない中小企業の実態だ。昨今のセキュリティ人材のひっ迫状況を踏まえると、こうした実態が当面の間は解消されないことが見込まれる。セキュリティ人材の確保が難しい中で、どのようにセキュリティ対策を講じていく必要があるのかは中小企業にとって大きな課題と言えるだろう。

中小企業のセキュリティ対策は十分か？取引先との乖離が示す課題

中小企業においても、セキュリティ対策はもはや不可欠なものとなっています。近年では、サプライチェーン全体のリスクを懸念する大手企業などの取引先から、一定水準のセキュリティ対策を求められるケースが増加しています。
キヤノンMJの調査によると、取引先から求められる具体的な要件としては、「サイバー攻撃の迅速な検知・遮断」「第三者機関による定期的な監査」「従業員への定期的なセキュリティ教育」などが挙げられています。
一方で、中小企業が実施している対策は「アンチウイルスソフトの導入」「ファイアウォールの設置」「セキュリティパッチの適用」などが中心であり、取引先が求める高度な対策との間にギャップが存在しています。特に「従業員教育」や「ログ監視・分析」などの実施率は低く、取引先の期待に十分応えられていない現状が浮き彫りとなっています。

人的・予算的制約を踏まえた、中小企業向けセキュリティ対策の考察

中小企業においては、セキュリティ人材の確保が困難であるうえ、必要な投資を行う余裕も限られているのが現状です。こうしたジレンマに対する有効な解決策として注目されているのが、MDR（Managed Detection and Response）です。
MDRは、EDRやXDRといった高度なセキュリティソリューションの導入・運用を外部に委託できるマネージドサービスであり、インシデント発生時の初動対応から事後対応までを包括的に支援します。
サービス内容は提供ベンダーによって異なりますが、SOCやCSIRTの機能を代行するものもあり、社内に専門人材がいない企業でも高度なセキュリティ体制を構築することが可能です。
また、24時間365日の監視体制を備えており、インシデント発生時には迅速かつ柔軟な対応が可能です。キヤノンMJの調査では、MDRの導入を前向きに検討している企業が半数を超えており、セキュリティ対策への意識の高まりと、インシデントリスクへの真剣な姿勢がうかがえます。