地域的な問題
EYグローバルキャピタルコンフィデンス調査では、ある程度の地域差があることが判明しました。たとえば、中国のミドルマーケット企業は諸外国と比べてサイバーセキュリティに関連する規制上の罰則の脅威を懸念しています。2017年に厳格な中国サイバーセキュリティ法が施行されたことを考えると、これは当然のことです。
ほかにも、サイバーセキュリティの予算と人材のほとんどが米国に存在するという地域的な問題が表面化しています。中南米、中東、アフリカ、アジア太平洋などの市場では、セキュリティ分野のリソースははるかに限られています。世界の人口の大半がこうした地域に居住していることを考慮すると、この事実は大きなミスマッチを生み出しています。
さらに、米国や欧州のミドルマーケット企業の多くが新興市場に拠点を置くアウトソーシングテクノロジーやサポートを利用していますが、サイバーセキュリティの人材や能力は限定的です。実際に、市場においてリーズナブルに入手できる技術革新の多くは、今やそうした新興国からもたらされています。
したがって、攻撃者がこうした小規模な新興市場の企業に身を潜め、仕掛けたサービスをミドルマーケット企業が取得するのを待つことは比較的容易です。このようにして、ミドルマーケット企業は突然、自社がトロイの木馬攻撃の標的であったことに気付くのです。
先述のとおり、私たちが協働しているミドルマーケット企業はこうした現実を見て、問題を認識しています。しかしながら、一般的に対応の仕方がわからず、ビジネスに合ったセキュリティ計画も持ち合わせていません。ほとんどの場合、堅牢なサイバー計画が開発され実装されるのは、すでに侵害されてしまった後です。
ミドルマーケット企業が買収する中小企業の場合、優れたサイバーセキュリティを備えている可能性はさらに低くなります。そのため、ソフトウェアやサービスの購入や、中小企業の買収前の確認を怠ってはなりません。
中規模企業は多くの場合革新的であり、契約しているリソースに依存する傾向がありますが、統合するコードの品質を常にチェックするとは限りません。また、ネットワーク接続やITサービス、クラウドアプリケーションを購入すれば、サイバーセキュリティも万全と考える人もいますが、必ずしもそうではありません。ITサービスベンダーはそうしたサービスを提供可能ですが、中規模企業はシステムやデータの統合を行う前に必ず、事前に確認する必要があります。実際、コアテクノロジーのサプライヤーであるかどうかにかかわらず、自身のパートナーが適切なレベルのセキュリティを備えていると想定してはなりません。
こうした脆弱性のため、標的であるミドルマーケット企業が攻撃者にとってどれだけ大きな利益となっているかは明らかです。例えばスマートメーターでハードウェアを更新するなどのサービスを大企業に提供している企業の場合、自社がサイバー犯罪者にとっての主要な標的だとは思わないかもしれません。しかし実際には最大の攻撃対象なのです。規模や業界の観点からではなく、「私は他の人にどのようなリスクを与えているのか」を問いかけなければなりません。