-
概要を動画でご覧になりたい方はこちら(著者が10分程度で紹介します)
全文をご覧になりたい方はこちら(PDF)
-
中小サービス業のサイバーセキュリティ対策
-
- 近年、サイバー攻撃の脅威は増大しており、大企業だけでなく中小企業もその標的となっている。経営資源が限られる中小企業は、大規模なセキュリティ投資が難しい場合が多く、その結果、攻撃者にとって「狙いやすいターゲット」となることがある。デジタル化が進む時代のリスクとそれに対応する方法を理解していくことは、企業の継続性を守る上で非常に重要である。
- サイバー攻撃は、データの盗難、業務妨害、顧客信用の損失といった深刻な影響を及ぼす。例えば、従業員や顧客の個人情報が漏洩した場合、法的責任や賠償費用が発生するだけでなく、信用を回復するのに長い時間がかかることもある。また、ランサムウェア攻撃によって企業の業務が停止するケースも増加している。
- 中小企業には、製造業における部品調達のような関係(以下、サプライチェーン)の中で、大企業等取引先の指示・要請によってサイバーセキュリティ対策を実施している企業がある。一方で、大企業の指導が届きにくい、地域に根差した小規模な個人事業者が多い業界、多様な顧客層に対応する必要がある業界、分散型の事業構造を持つ業界、例えば理美容業、旅館業、飲食業、小売業など(以下、中小サービス業という)は、対策が遅れている。
- これらの企業は、取引先等からの指示・要請がないことに加え、社内に特許や技術的な内容などの重要な情報が無いという考えや、他社のプラットホーム(決済やデータ管理など)を利用しているため、自社が責任を負うものではないと考えている、という結果が複数のアンケート調査から見てとれる。本稿では、中小サービス業がサイバーセキュリティ対策を推進するにはどのような支援が有効か、事例企業や中小企業支援機関へのインタビューから明らかにしたい。
- 中小サービス業のサイバーセキュリティ対策推進には、「サイバーセキュリティ対策を進めざるを得ない環境にすること」、「リソースの不足やコスト面での負担を軽減すること」が必要である。具体的には、各業界の特長を踏まえた業界ごとのサイバーセキュリティガイドラインを経済産業省やIPAなどの政府関係機関等が策定することで、最低限の基準が提示される。これにより、企業は対策を進めざるを得ない環境になると思われる。また、対策を進めるための負担軽減策として、基準を満たしていないと判断した企業には、地域の中小企業支援機関である商工会議所や中小企業団体中央会などが、各企業の業種に基づき、企業の状況に応じて支援する。支援内容は、IT企業の紹介やサイバーリスク保険加入などのアドバイスを行うなどで、社内にIT人材を配置することが難しい中小サービス業の負担を補うことができる。中小サービス業には、このような、既にある体制を活用しながらハンズオンで支援することが、サイバーセキュリティ対策を浸透させるための一つの取りうる手段となるのではないだろうか。
