6 分 2019年12月3日
ノートパソコンとスマートフォンを扱うコンピューターハッカー

ミドルマーケットのサイバー攻撃者に打ち勝つ方法

執筆者

Ryan Burke

Global EY Private Leader

Global leader helping companies grow and profit in this transformative age. Passionate about eradicating child illiteracy and raising neurodiversity awareness. Father of two.

Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

6 分 2019年12月3日

ミドルマーケット企業は、自社がサイバー犯罪の標的になるとは考えないかもしれませんが、実際には最大の攻撃対象です。

Local Perspective IconEY Japanの視点

日本でもサイバーセキュリティに対してリアクティブな組織が多く、攻撃されてから真剣に向き合う傾向にあるようです。攻撃者は企業の保有する情報や無防備なIoTなどを悪用して別組織の攻撃に使ったり、企業の重要な情報を暗号化し脅迫したりと、企業活動に大きな影響を与えかねないさまざまな攻撃をしてくる可能性があります。企業は攻撃が発生する前にこの可能性について強く認識し、自分事として向き合う必要があります。

完全に防ぐことが難しいサイバー攻撃の性質を考慮し、対応リソースが限られてくるケースの多い中でミドルマーケット企業においては、被害最小化を目的としたサイバーレスポンス計画の策定や、設計段階からのセキュリティ構築や企業買収時のセキュリティ評価などにより注力することで、サイバーセキュリティを組織の文化として組込んでいくことがより重要であり、また、大企業に対しての競争優位性の源泉ともなり得ると考えます。

 

担当窓口

杉山 一郎
EY Japan Forensic Integrity Services Technology Team Leader

2019年10月発行のEY グローバルキャピタルコンフィデンス調査 によれば、ミドルマーケット企業がサイバーセキュリティについて抱いている最大の懸念は社会的信用の低下です。2番目に挙げられたのは通常業務への悪影響です。

こうした回答は、サイバー攻撃が世界中の多くの大手ブランドにもたらした損害を考えると当然と言えるでしょう。大手企業と同様に、収益が5,000万米ドル~30億米ドルのミドルマーケット企業もまた、攻撃が引き起こす可能性のある社会的信用の低下を懸念する必要があるのです。

また、潜在的な財務的影響の大きさを考えると、通常業務への悪影響を心配するのは無理もないことでしょう。ミドルマーケット企業は大規模な組織と比べて脆弱性が高く、十分な防御策を備えていないことも多いため、サイバー攻撃が及ぼすさまざまな影響について強く懸念しておく必要があります。サイバー犯罪は高度に洗練され、絶えず手法を変えて攻撃してくることから、リソースの制約があるミドルマーケット企業が後れを取ることなくサイバー脅威に対応することはほぼ不可能でしょう。

多くの攻撃者の目的は、大企業に対する攻撃のためのトロイの木馬としてミドルマーケット企業を利用することです。専任のサイバーセキュリティチームやシステムを置くことが多い大企業を標的とするのは困難ですが、サプライヤーを介した攻撃なら簡単に行えます。たとえば、サプライヤーのアプリケーションに悪意のあるコードを仕込むことができたら、そのコードはサプライヤーの取引関係を介してより規模の大きい企業へと侵入してゆくでしょう。

この手の問題は、大企業の対外的な評判を傷つけます。さらに中規模企業にとっては、取引先が契約を破棄し、ブラックリストに載せるなど、信用上、財務上の損害につながる可能性もあります。非上場企業であったとしても、財務的な損害は免れないでしょう。最悪の場合、廃業に追い込まれる恐れすらあります。

もう1つの問題は、サイバー防御が不十分であることが原因で競争上の優位性を失う企業もあるということです。EYグローバルキャピタルコンフィデンス調査は、ミドルマーケット企業に対し、競争上の優位性としてデータを使用する際の最大の障壁について質問しました。その結果、27%が「サイバー脅威への曝露」であると回答し、「規制の強化」(28%)に次いで2番目でした。自社のセキュリティに自信がもてないということは、顧客プロファイリングやターゲット広告などのチャネルを通じて取得したデータがセキュリティ上の懸念により収益化できていない、ということを意味します。

大きな脆弱性

EYが調査した中規模企業はすべて、サイバーセキュリティが重大な問題であることを理解しています。しかし、脅威の規模、そして防御に必要な時間とリソースこそが、彼らにとっての大きな課題なのです。多くの場合、常に変化するテクノロジーに対処するための資金や人的資本を持ち合わせていません。

業界全体でサイバーセキュリティの人材が不足していることを受け、状況は悪化しており、ミドルマーケット企業は必要なセキュリティや管理についても十分な情報を得られていません。サイバーセキュリティの人材は、システムの実装、開発、保守といった分野に比べると非常に希少です。

その結果、良心的な価格で各社に適したアドバイスを提供できる、適正なスキルを備えた人材はもちろん、問題に対応するスキルを持つ人材さえ不足しています。また、中規模企業が適切な管理レベルを確立するためのデータは不十分です。

ミドルマーケット企業は、ビジネスを設計し、イノベーションを続けながら、組織全体にサイバーセキュリティ要件を統合する必要があります。
Kris Lovejoy
EY Global Advisory Cybersecurity Leader

地域的な問題

EYグローバルキャピタルコンフィデンス調査では、ある程度の地域差があることが判明しました。たとえば、中国のミドルマーケット企業は諸外国と比べてサイバーセキュリティに関連する規制上の罰則の脅威を懸念しています。2017年に厳格な中国サイバーセキュリティ法が施行されたことを考えると、これは当然のことです。

ほかにも、サイバーセキュリティの予算と人材のほとんどが米国に存在するという地域的な問題が表面化しています。中南米、中東、アフリカ、アジア太平洋などの市場では、セキュリティ分野のリソースははるかに限られています。世界の人口の大半がこうした地域に居住していることを考慮すると、この事実は大きなミスマッチを生み出しています。

さらに、米国や欧州のミドルマーケット企業の多くが新興市場に拠点を置くアウトソーシングテクノロジーやサポートを利用していますが、サイバーセキュリティの人材や能力は限定的です。実際に、市場においてリーズナブルに入手できる技術革新の多くは、今やそうした新興国からもたらされています。

したがって、攻撃者がこうした小規模な新興市場の企業に身を潜め、仕掛けたサービスをミドルマーケット企業が取得するのを待つことは比較的容易です。このようにして、ミドルマーケット企業は突然、自社がトロイの木馬攻撃の標的であったことに気付くのです。

先述のとおり、私たちが協働しているミドルマーケット企業はこうした現実を見て、問題を認識しています。しかしながら、一般的に対応の仕方がわからず、ビジネスに合ったセキュリティ計画も持ち合わせていません。ほとんどの場合、堅牢なサイバー計画が開発され実装されるのは、すでに侵害されてしまった後です。

ミドルマーケット企業が買収する中小企業の場合、優れたサイバーセキュリティを備えている可能性はさらに低くなります。そのため、ソフトウェアやサービスの購入や、中小企業の買収前の確認を怠ってはなりません。

中規模企業は多くの場合革新的であり、契約しているリソースに依存する傾向がありますが、統合するコードの品質を常にチェックするとは限りません。また、ネットワーク接続やITサービス、クラウドアプリケーションを購入すれば、サイバーセキュリティも万全と考える人もいますが、必ずしもそうではありません。ITサービスベンダーはそうしたサービスを提供可能ですが、中規模企業はシステムやデータの統合を行う前に必ず、事前に確認する必要があります。実際、コアテクノロジーのサプライヤーであるかどうかにかかわらず、自身のパートナーが適切なレベルのセキュリティを備えていると想定してはなりません。

こうした脆弱性のため、標的であるミドルマーケット企業が攻撃者にとってどれだけ大きな利益となっているかは明らかです。例えばスマートメーターでハードウェアを更新するなどのサービスを大企業に提供している企業の場合、自社がサイバー犯罪者にとっての主要な標的だとは思わないかもしれません。しかし実際には最大の攻撃対象なのです。規模や業界の観点からではなく、「私は他の人にどのようなリスクを与えているのか」を問いかけなければなりません。

大企業にサービスを提供している企業の場合、自社がサイバー犯罪者にとっての主要な標的だとは思わないかもしれません。しかし実際には最大の攻撃対象です。
Ryan P. Burke
Global EY Private Leader

セキュリティ・バイ・デザイン

現存する脅威、さらに潜在的な脅威の大きさを考えると、ミドルマーケット企業がセキュリティ分野への投資を拡大する必要があることは明らかです。ただし、投資額の大きさだけの問題ではありません。つまり、投資額を増やせばセキュリティ対策が成功するとは必ずしもいえないのです。万端の準備が整っている企業は、自社のあらゆる活動にセキュリティを組み込んでいます。言い換えれば、セキュリティ専用の予算を確保するという考え方ではなく、競争力のある差別化要因として、すべての新製品、調達、ビジネスサービスに、設計段階からセキュリティを構築するのです。これははるかに効率的なセキュリティ対策となり、結果的に支出の削減につながります。

実践するには、適切なアドバイスが必要です。ミドルマーケット企業の多くでは、サイバーセキュリティ対策のためのリソースが大企業ほど潤沢ではありません。したがって、自社がサイバーセキュリティの専門家になるのではなく、優れたサイバーセキュリティがどのようなものであるかを示し、制御を実装し、定期的に評価できるようなパートナーとの関係を構築することをお薦めします。ほとんどの場合、こうしたサービスの多くは今すぐにでもアウトソース(外部委託)、あるいはコソース(共同実施)できます。

躊躇する必要はない

サイバーセキュリティに関する最も重要なアドバイスは、これらの問題を過小評価も過大評価もしない、ということです。知見を深め、問いかけることを躊躇しないでください。それは、被害に遭ったり、規制の強化を受けたりして初めて、具体的な行動を指示されるよりもはるかに良いと言えるでしょう。ソフトウェア開発やアプリケーションセキュリティテストに投資しましょう。システムで追加の侵入テストを実施し、貴社のセキュリティギャップを特定します。ビジネスを保護するスキルと能力を備えた信頼できるプロバイダーに、コアセキュリティサービスをアウトソース(またはコソース)してください。

経験から言えば、ミドルマーケット企業は多くの場合、プロアクティブではなくリアクティブです。攻撃されるまでサイバーセキュリティについて真剣に向き合えません。しかし、こうした問題をより早期解決できれば、長期的に見ればはるかに少ない費用で済むのです。

サマリー

ミドルマーケット企業がサイバー攻撃について抱いている最大の懸念は社会的信用の低下と通常業務への悪影響です。サイバー攻撃が数々の企業にもたらした社会的信用の失墜、業務における損害の大きさを考えると、ミドルマーケット企業が懸念を抱くのは無理もありません。

規模の大きな同業他社と比べ、こうした攻撃に対してより脆弱であるばかりか、一般的にははるかに準備不足です。

脅威を無視するのではなく、適切な制御を設定・統合するための支援となる、信頼できるパートナーを見つける必要があります。絶えず変化する危険性についての知見を深め、問いかけを続けることを決して躊躇してはなりません。

この記事について

執筆者

Ryan Burke

Global EY Private Leader

Global leader helping companies grow and profit in this transformative age. Passionate about eradicating child illiteracy and raising neurodiversity awareness. Father of two.

Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.