※本記事は2016年8月25日に米国で掲載されたブログ記事の抄訳を基にしています。

2016年8月、内閣サイバーセキュリティセンター (NISC) は大企業だけでなく中小企業も対象にした「企業経営のためのサイバーセキュリティの考え方の策定について」という文書を発表しました。この文書の基になっているのは、企業の経営者に対し、セキュリティマインドを持つことと、サイバーセキュリティは経営における投資であるという認識を促す2015年9月に発表された「サイバーセキュリティ戦略」と、2016年5月の弊社のブログ投稿で取り上げた経済産業省および独立行政法人情報処理推進機構 (IPA) の「サイバーセキュリティ経営ガイドライン ver 1.0」です。

経済産業省とIPAによる「サイバーセキュリティ経営ガイドライン」は大手・中堅企業の経営幹部に向けの文書でしたが、今回のNISC文書はサイバーセキュリティにおいて重要な位置付けを持つ中小企業に向けたものです。日本では99.7パーセントの企業が中小企業であり、日本の労働者の69.7パーセントを雇用しています(日本では基本的に300人未満の従業員を持つ企業を中小企業として定義しています)。他国と同様に日本でも、情報技術 (IT)に頼る中小企業が増えてきました。経済産業省の中小企業白書2013年版によると、2007年に中規模企業の73パーセント、小規模事業者の40パーセントが自社のWebページを開設しており、それが2012年にはそれぞれ80パーセントと46パーセントに上昇しています。日本の中小企業はIT活用により業務の合理化、コスト削減、売上増加が見込めることを認識してはいるものの、IT人材はもちろん、サイバーセキュリティ技術者などはほとんど在籍していません。リソースが限られるため、通常は社長やその家族がITに対応しています。

しかし、中小企業も危険にさらされつつあります。大企業がセキュリティを強化するにつれて、攻撃者の標的はリソース不足で検知すらままならないことの多い中小企業にまで拡大しています。2016年3月に発表された、IPAの「中小企業における情報セキュリティ対策に関する実態調査報告書」では、2015年11月に実施した4,000社近くの中小企業担当者からのアンケート結果がまとめられています。IPAの調査では以下の結果が得られました。

  • 情報セキュリティ関連製品やサービスを導入していない中小企業:
    • 従業員数5名 (業種によっては20名) 以下の小規模企業では25パーセント
    • 従業員数100名以下の中小企業では15パーセント
    • 従業員数101~300名までの中小企業では8パーセント
  • 情報セキュリティに関する相談窓口がない中小企業:
    • 従業員数5名 (業種によっては20名) 以下の小規模企業では72パーセント
    • 従業員数100名以下の中小企業では38パーセント
    • 従業員数101~300名までの中小企業では30パーセント
  • 情報セキュリティ教育を特に実施していない中小企業:
    • 従業員数5名 (業種によっては20名) 以下の小規模企業では81パーセント
    • 従業員数100名以下の中小企業では52パーセント
    • 従業員数101~300名までの中小企業では40パーセント

これは日本の経済とサイバー攻撃への防衛の健全性だけの問題のみならず、日本の貿易相手国にとっても憂慮すべき事態です。日本の経済力も大企業は、高い技術力を持ち精密機械や金属加工向けの部品を提供する中小企業の力に頼っています。そのため、日本の中小企業のサイバーセキュリティは日本経済や国防、国際安全保障に欠かせません。

NISCによる「企業経営のためのサイバーセキュリティの考え方の策定について」は、サイバーセキュリティを事業戦略の一つとした企業経営について検討するために学界、産業界、法曹界の専門家とともに2015年12月にNISCが設置した「セキュリティマインドを持った企業経営ワーキンググループ」の作成したものです。このNISCの文書は、中小企業が効果的にサイバーセキュリティの検討を進められるよう、経済産業省とIPAのサイバーセキュリティ経営ガイドラインを補完しています。ワーキンググループは、中小企業の限られたリソースでは高度なセキュリティ製品やソリューションの採用が困難であることを認めた上で、中小企業に対し、クラウドベースのセキュリティサービスやサイバー保険の利用の検討を推奨しています。また、ワーキンググループは、中小企業が相談しやすい身近な相談窓口やセミナー等を活用するとともに、同様の課題を持つ同業他社や取引先等とサイバーセキュリティに関する事例の共有をはじめとする協力関係を築くことも提案しています。

NISC以外でも、日本政府は中小企業にサイバーセキュリティを奨励する取り組みを進めています。

日本政府は2003年に成立した個人情報保護法を2015年に改正しました。従来5,000人分以下の個人情報を事業活動に利用している中小企業は、個人情報保護や漏えい防止の安全管理措置を講じなければならないという義務の対象外でしたが、改正法ではこれが撤廃されました。同法の改正は、2016年1月に始まった「マイナンバー」(社会保障や課税情報のための新しい個人識別システム)に合わせたもので、中小企業 (およびすべての企業) は日本居住者に関する個人情報をこれまで以上に多く保持することとなりました。

日本の観光庁も関与しています。国内最大規模の旅行代理店が2016年6月のスピアフィッシング攻撃により793万件の顧客個人情報流出の可能性が明らかになった直後、観光庁は「旅行業界情報流出事案検討会」を設置しました。その2016年7月の中間とりまとめでは、中小企業向けの具体的な提言を含め、旅行業者が取るべき対策措置を複数奨励しています。その中には、クラウドベースのセキュリティサービスの使用やサイバー保険への加入も含まれています。さらに、中堅・小規模旅行業者は事業者団体単位での相談窓口やCSIRT機能の設置も推奨されています。

もちろん、予算上の制約は、中小企業のサイバーセキュリティへの投資において最大の障壁となり続けることでしょう。政府が中小企業のサイバーセキュリティ対策を推奨しているとは言え、、政府が中小企業向けにどの程度の財政支援を行うかは不明です。比較的大手の中小企業は、予算に恵まれているため、おそらくクラウドベースの自動化されたサイバーセキュリティサービスによりコストを削減し、効率性を高めることができるでしょう。それでも、NISCの文書と本ブログで紹介したその他の活動では、国家経済に欠かせない中小企業のセキュリティ向上を日本が支援するにあたって重要な取り組みを複数紹介しています。世界中の多くの政府も、同じ目標を共有しています。たとえば、米国の中小企業庁は特に中小企業を対象としたサイバーセキュリティツールとリソースを持っています。こうした日本のさまざまな活動は注目と検討に値するでしょう。

 

松原実穗子とダニエル・クリズの共著第四弾となる本ブログ・シリーズは、日本のサイバーセキュリティへの取り組みとその意義を政府機関、世界の産業界、オピニオン・リーダーなどの世界中の読者に紹介することを目的としています。次回以降に取り上げる予定のトピックは、経済産業省/IPAのサイバーセキュリティガイドラインに関する追加的考察、世界規模のサイバーセキュリティ能力開発における日本の役割、2020年東京オリンピック大会を計画するにあたり発生するサイバーセキュリティの派生的問題などです。