メディアやニュースで取り上げられることは多くないが、中小企業でもサイバー攻撃の被害が多く発生している。その中心は、情報処理推進機構(IPA)の「情報セキュリティ10大脅威」で9年連続第1位となった「ランサムウェア」だ。
ランサムウェアとは、データを暗号化して利用不可能な状態にし、元に戻すのと引き換えに金銭を要求するマルウェア(悪意のあるプログラム)のことだ。警察庁に報告された2024年上半期の被害状況を見ると、114件のうち73件、実に64%を中小企業が占めている。中小企業は大企業に比べて資産が少ないのに、なぜ狙われるのだろうか。
ソフトバンク
法人プロダクト&事業戦略本部 セキュリティ事業第2統括部
セキュリティ事業戦略部 SMBサービス推進課 課長
千葉 憲一 氏
「大きな理由は2つあります」と語るのは、ソフトバンクの千葉氏だ。「1つ目は、セキュリティ対策が十分でない企業が多く、手間をかけずに金銭を獲得できるからです。現在のサイバー攻撃は高度に自動化されているため、多数の潜在的ターゲットから侵入ポイントを見つけ出して攻撃でき、1社ごとの金額が少なくても、大きな利益につながります。2つ目の理由は、セキュリティが十分でない中小企業のシステムに侵入し、そこからグループ会社やサプライチェーンの通信網を介して大企業を狙うからです」セキュリティレベルの高い大企業に直接侵入するより容易な場合が多いため、弱点として狙われやすいという。
「マルウェアによる被害は、皆さんが考えているより甚大です」(千葉氏)。業務サーバーがランサムウェア攻撃によりデータが暗号化されて、利用できなくなってしまう。個人データが漏えいしたり、勝手に公開されてしまう場合もある。
自社が損害を受けるだけでなく、顧客や取引先、グループ会社に影響が及ぶケースも少なくない。専用の連絡スタッフと窓口を設けて個別に謝罪し、対応しなければならない。個人情報保護委員会へ報告したり、警察に被害申告して捜査に協力する必要も出てくる。メディアへの対応が求められるかもしれない。個人情報やIT犯罪に対する世間の関心は、日々高まっているからだ。
しかし、多数のIT人材を確保できる大企業と違い、中小企業は人も資金も限られている。社内システムを1人で管理している「1人情シス」や、ITに明るくない総務部門が兼務で担当している場合も多い。情報セキュリティの重要性は重々わかっているが、自社のセキュリティ環境を自力で考え、必要な仕組みを構築することなどできない企業が多いのではないだろうか。
そこで注目を集めているのが、月額で外部のセキュリティサービスを利用する手法だ。大企業と同等の高度なセキュリティを中小企業向けにアレンジし、コンパクトかつ安価で提供するサービスが登場している。
その1つの例が、ソフトバンクが2024年10月からサービスを開始した「いつでもセキュリティ」だ。
最大の特徴は、サービス選択の柔軟性にある。ほとんどのサービスを1 IDから購入でき、価格も月額500円以下と手ごろだ。「ユーザー・端末管理」「デバイスセキュリティ」「ネットワークセキュリティ」の3つのカテゴリーがあり、その中でセキュリティの目的ごとにメニューが用意されている。自社の業務やネットワークの環境に合わせて必要なサービスを必要な分だけ購入し、柔軟に組み合わせることで、堅固なセキュリティ体制を構築できる。
例えば、オフィス業務が中心で、素早く安価に整備したい企業は、ネットワークを一括防御するUTM(統合脅威管理)という選択肢がある。リモートワークやモバイルワークなど「働き方改革」を推進しているような企業であれば、中小企業向けのSASE(Secure Access Service Edge)やMTD(モバイル脅威対策)がおすすめだ。このように、メニューの中から必要なサービスを組み合わせていけば、自社に必要なセキュリティ環境を作れる。話がシンプルで、わかりやすい。
ソフトバンク
法人プロダクト&事業戦略本部 セキュリティ事業第2統括部
セキュリティ事業戦略部 部長
米田 章宏 氏
「各サービスは、大手企業向けに提供しているものと同じ製品で構成しています。セキュリティ対策のトレンドであるEDR(エンドポイント検知・対応)やSASEなどの先端的サービスも、中小企業向けにアレンジしてご提供しています」と語るのは、ソフトバンクの米田氏だ。
同社はこれまで、大手企業向けのセキュリティサービスを長く提供してきた。その経験から、製品の最適な組み合わせや運用方法を理解している。それを中小企業が使いやすいようにアレンジし、メニュー化したのが「いつでもセキュリティ」だ。現場で実証してきた経験と実績に裏打ちされている。
もう1つの特徴は、製品構成がシンプルなことだ。「ゼロトラストベースのサービスは多くありますが、カテゴリーや製品構成が複雑で、どこから検討したらよいのか、中小企業向けなのかどうかもわかりづらいといった声が聞こえています」(千葉氏)。
「いつでもセキュリティ」では、機能ごとにサービスを分けている。システム構成図を見ながら、どこに何の機能が必要になるかを把握し、必要なものだけを購入して組み合わせればよい。弱点をピンポイントで補強することもできるし、予算に合わせて重要度の高いものから段階的に導入することもできる。
「中小企業のお客さまからは、『何をすればよいかわからない』『一から教えてほしい』といった相談を多くいただきます。そうした場合でも、現状と全体図を照らし合わせて、『こちらとこちらをユーザーの数だけ入れてはいかがでしょうか』と、わかりやすく提案できます。『必要なセキュリティの全体図が見え、そこから選べるのがいい』といった好評の声をいただいています」と千葉氏は話す。
ソフトバンクは携帯電話のキャリアなので、モバイルのセキュリティに強いことも大きな特長だ。DXにより、多数のモバイル端末が業務に使われるようになっている。PCと同様に、重要な業務データや個人情報を扱うことも多く、MDMなどでの端末やユーザーの管理も重要だ。「PCやサーバー中心の考え方ではなく、最初からスマートフォンを考慮して設計しています。モバイル端末のセキュリティをしっかりと組むことができます」(米田氏)。
同サービスは、今後も進化を続ける。セキュリティのトレンドを捉え、最新の機能を加えていく計画だ。「例えば、最近はAI(人工知能)によってフィッシングメールの文面も巧妙になっています。そういった脅威にAIで対抗しようとするメーカーの動きもあり、トレンドをしっかりとフォローしていきたいと考えています」(米田氏)。
目的ごとにサービスがまとまっていてわかりやすく、必要なものを必要な分だけ購入できる。中小企業や小さな組織が使いやすいセキュリティサービスとして、有効な選択肢になるだろう。
