中小企業がセキュリティ上の欠点を補う方法

#KingstonCognate が Sally Eaves 教授を招待

Sally Eaves 教授は、Cyber Trust の主事を務め、サイバー調査と研究の国際機構（Global Foundation of Cyber Studies and Research）のシニアポリシーアドバイザーです。「倫理重視テクノロジーの先駆者」として知られ、国連の先端技術と社会的インパクトアワード（Frontier Technology and Social Impact Award）の第一回受賞者です。最高技術責任者（CTO）としての豊富な経験を活かし、現在は先進技術分野の教授と、新興技術分野のグローバル戦略アドバイザーを務めています。教授は、デジタル変革（AI、5G、クラウド、ブロックチェーン、サイバーセキュリティ、統制、IoT、データサイエンス）の他に文化、スキル、DEI、持続可能性、社会的インパクトなどに関して著作、司会、基調講演、ソートリーダーシップなどの活動を行い、受賞しています。

教授は次世代の才能ある技術者を積極的に支援するため、教育やメンター活動などを行っており、インクルージョン、ダイバーシティ、教育と技術の公平性などを促進するために Aspirational Futures 社を設立しました。「Tech For Good」（倫理的なテクノロジー）に関する最新の著作をまもなく発行予定です。教授は技術分野で世界的に影響力がある人物として、Onalytica などの一流の団体によって常に高く評価されており、AI や 5G から持続可能性まで、多くの分野で世界的権威のトップ 10 に名を連ねています。

中小企業にとっての脅威の状況の悪化

新たに実施された調査によって、大企業と比較した際の中小企業の脅威の大きさが明らかになりました。2019～2020 年には、全企業でサイバー攻撃が 46% 繰り返されており、中小企業ではなんと 65% となっています。（Towergate 社の調査）。侵入された中小企業は、期間中に平均６回攻撃されています。２か月に１回という驚くべき数字です（NatWest 社の調査）。

では、中小企業が直面している主な脅威の戦術はどのようなものでしょうか？

サプライチェーンのエコシステムでは、外部からの主な攻撃方法として、フィッシングとソーシャルエンジニアリングが真っ先に思い浮かびます。これと併せて、攻撃対象となる社内の脆弱性には、リスク評価の不足や、アクセス管理、データ保護、デバイス保護およびパスワード保護の不徹底や、投資不足、研修や啓蒙の不足、正しいセキュリティ習慣やスキルの不徹底などがあり、攻撃対象領域を大きく拡大する恐れがあります。

フィッシングとソーシャルエンジニアリング
サイバー攻撃の 85% はフィッシング行為によるもので、多くの場合、メールのやり取りを通じてユーザーを騙し、マルウェアのダウンロードなどの「間違った行動」に誘います。フィッシングはますます巧妙化しています。最近のテストでは、人工知能（AI）のほうが、より説得力のあるフィッシングメールを記述できることが発見されました。ソーシャルエンジニアリングは、よくフィッシングと関連付けられ、なりすまし、説得、脅迫などによって人々を操り、特定の行動や機密情報の開示をさせる手段のことを指します。コロナ禍を例に挙げると、サイバー犯罪者は社会全体の脆弱性を悪用し、件名にコロナを入れたフィッシングメール、テキスト、WhatsApp メッセージなどを使用したり、世界保健機関（WHO）からと称するファイルを添付したりして、アカウントに侵入しようとします。1988 年に「モリスワーム」と呼ばれるサイバー攻撃が初めて記録されたときのことを考えると、このタイプのサイバー脅威は非常に大きく変化しています。6,000 台のコンピュータに悪影響がありました。これは当時のインターネット全体の約 10% に相当します。時代は変化しました。

サプライチェーン
ほとんどの侵入はハードウェアソースではなくソフトウェアからで、サイバー犯罪にとって好都合な攻撃の手口になっています。たとえば、定期ソフトウェアアップデートにマルウェアが潜んでいる場合などです。中小企業を狙った攻撃は、中小企業自体のサプライチェーンを経由します。さらに、中小企業に侵入してから大企業に到達することもよくあります。オープンソースソフトウェアのライブラリは、サプライチェーンが抱えるもう一つの脆弱性です。今後、2025 年までに IoT 接続が2倍以上の 750 億台のデバイスへ普及し、それによって新しいサイバーリスクが生まれます。低価格のハードウェアがネットワークに接続され、そこに内蔵されているデバイスの多くが攻撃に対して脆弱です。先進的な IT/OT コンバージェンスとサプライチェーンエコシステムの観点からこれを考えると、脅威の範囲拡大が中心課題になります。

中小企業のサイバーリスクのバリア

ここで、中小企業がサイバーリスクに積極的に対応するために、最新の防衛策を採用しない主な原因は何かという根本的な疑問が生じます。まず、リスクの認識と実際の対策には明らかに差があります。たとえば最近の調査によると、中小企業の 93% はサイバーセキュリティが事業継続のために不可欠と考えていますが、実際にサイバーセキュリティソリューションを使用しているのはわずか 64% です。さらに、ヨーロッパで実施された調査でも認識と現実の差が見られました。たとえば多くの中小企業は、購入した IT 製品がサイバーセキュリティ対策機能を内蔵しているので、コンプライアンス要件や規制で義務付けられていない限り、追加のセキュリティ対策は不要だと誤解していました（enisa 社の2021年調査）。

もうひとつ、資金能力の課題もあります。Statista 社の調査（2020年）では、サイバーセキュリティへの投資は平均 £5,100 に達しており、中小企業が十分な出費を行っていると安心できそうな結果となりました。しかし、零細および小企業のみの値では、平均は £3,490 にまで縮小します。これと比較して大企業では、当然対応が進んでいるか、少なくとも多くのリソースを持っているため、平均投資額は £277,000 と高く、大きな差があります。この差は、犯罪者が悪用する上で好都合です。

対策が進まない原因には他に、「サイバー文化」の発展不足や、複雑すぎるという意識、クラウドセキュリティへの懸念と誤解、中小企業が実際に利用できる技術とサポートに関する全体的な認識不足などがあります。驚くべきことに最近のアンケート調査で回答者の 54% が、自分の会社ではデータセキュリティやサイバーセキュリティ脅威に関する研修を実施していないと回答しました（Vodafone Business 社の2021年調査）。