自社HPに弱点､中小企業｢サイバー事案｣のリアル ｢IT技術の問題｣だけでなく｢人的要因｣も大きい

大阪商工会議所でもこんなことがあった。大阪府の建材メーカーC社（社員約40人）で、UTM（多機能防御装置）が悪性通信を観測し、社長が支援を求めてきたときのこと。現場に駆けつけ、被疑端末をIPアドレス（インターネット上の住所）とMACアドレス（各端末の固有番号）を基に探したが、その日は結局見つからなかった。

数日後、社長の連絡により、原因は社長の親族が社屋内の小部屋で開業していた別会社のパソコンにあることが判明。そのパソコンからはウイルスが数百個見つかり即座に駆除した。これはいわゆる「シャドーIT」であり、物理的な資産管理の問題だ。この部分については、ITに疎い経営者も主体的に関与できる余地がある。

サイバー攻撃を完全に防ぐことはできないが、リスクの低減は可能だ。経営者は、対策のお金を「金食い虫の費用」でなく「無駄な費用を防ぐための投資」と捉えるべきだろう。

では、どれくらいお金をかければよいのか。これは各社の経営戦略や情報資産の量・質により異なるので模範解答はないが、日本サイバーセキュリティ・イノベーション委員会は投資の目安を連結売上高の0.5％としており、メリーランド大学の研究では、適正投資額の上限は想定被害額の37％とされている。

何をどこまでやったらいいかわからない中小企業は、IPAの「サイバーセキュリティお助け隊サービス」を利用するといいだろう。国の実証実験を経て実用化されたもので、対策に必要なサービスがパッケージ化されており、安価かつ簡便に利用できる。

現在、40事業者の55サービスが登録されており、大阪商工会議所も「商工会議所サイバーセキュリティお助け隊サービス」というUTMレンタルサービスを全国で提供している。利用企業からは「Emotet（ウイルス）を防いでくれた」などの声が届いている。

大企業の経営者に求められることは？

一方、サプライチェーンの頂点に立つ大企業も認識すべきことがあるだろう。例えば、中小企業がサイバーセキュリティ対策のコストを売価転嫁するのは容易ではない。内的かつ不明瞭な事情であると捉えられがちだからだ。

しかし今や、サイバー攻撃は主に外的要因によるものであり、対策の必要性も明瞭だ。また、発注先の中小企業が受けたサイバー攻撃被害によって、発注元の大企業が2次被害に遭った割合は25％もある（大阪商工会議所の2019年調査）。　

こうしたことを大企業、とくに調達部門はもっと理解すべきだ。2022年に経済産業省と公正取引委員会が公表した文書「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」では、受注側のセキュリティ対策費発生に伴うコスト上昇を取引価格に反映させることについて、発注側が協議・容認しない場合は独禁法違反になると明記されている。

大企業は取引先の中小企業の個別事情に寄り添い、優越的地位の濫用に抵触しない範囲内で、セキュリティ対策やその候補ツールについて助言するとともに、セキュリティコストの売価転嫁にも真摯に応じるべきだろう。

野田 幹稀：大阪商工会議所 経営情報センター 課長