「中堅・中小企業こそ大手企業並みのセキュリティを」CISO 那須慎二氏らが訴える“多層防御”の重要性

要請高まる「中堅・中小企業のセキュリティ強化」そのポイントは

　サイバー攻撃に遭ったという報道は後を絶たず、大手企業に連なる中堅・中小企業を狙った脅威も増加の一途を辿っている。「わが社のような企業は狙われない」と軽視するうちに、情報漏えいや製造ラインの停止、取引先にも攻撃を波及させてしまうなどの事態が散見されるように、もはやサイバーセキュリティ対策を後回しにすることは許されない。

　2025年5月にIPA（情報処理推進機構）が公開した『2024年度 中小企業における情報セキュリティ対策に関する実態調査』^[1]によれば、組織的なセキュリティ対策が進んでいないことが指摘されている一方、情報セキュリティ対策を講じることでサイバーインシデント被害を低減できること、セキュリティ体制の整備が取引につながるなど、苦労は伴えどビジネスにも好影響となることが示された。今や中堅・中小企業においても、セキュリティ対策を単純にコストとして見ることは、ナンセンスな時代となっている。

　今回、中堅・中小企業におけるセキュリティ対策のヒントをつかむため、筆者が訪れたのは広島だ。同市に本社を構える理研産業、中小企業の情報セキュリティ対策の支援を専門とするCISO社、セキュリティベンダーのウィズセキュアの3社は、「サイバーセキュリティ＆サウナセミナー in 広島」と題したセミナーを実施。フィンランドで創業されたウィズセキュアでは、同国の文化であるサウナを取り入れたセミナーを定期的に実施しており、山形、名古屋、東京につづいて広島で開催された。

　今回のセミナーには、地場の中堅・中小企業の担当者を中心として30名ほどが集まると、理研産業の長通政昭氏は「中国地方に『セキュリティのバリア』をつくりたい」と呼びかける。同社でも、継続的にサイバーセキュリティ対策の重要性を訴えかけてきた中、今回のセミナー開催に至ったといい、CISO社からは多方面で活躍する那須慎二氏も登壇した。

　「日本は危機意識が芽生えにくい、特徴的な国だ。性善説に基づく国民性、他国からの侵略も少ないという歴史的背景もあり、（世界各国と比較しても）常識が異なる。インターネット空間における侵略にも気づきにくいだけでなく、（セキュリティ対策をサポートするはずの）システムベンダーにも課題がみえる」（那須氏）

　登壇早々に口火を切った那須氏は、システムベンダーの水準が“ユーザー企業のセキュリティ水準”になるとも指摘。多くの中堅・中小企業では、セキュリティ侵害があったとしても、経営陣がフォレンジックなどに多額の費用が発生することが理解できない状況にあるとする。さらに「LockBit3.0」による暗号化のプロセスが紹介されると、セキュリティインシデント発生とともに「いつ被害にあったのか」「なんで早く報告しなかったんだ」「何が漏れたのか、リストにまとめて早く報告してほしい」といった要求が経営陣から求められ、セキュリティ要件に厳しい顧客との取引停止といった、深刻なリスクも抱えることになると話す。

　那須氏は「（被害に遭っている企業の多くは）UTMやセキュリティ対策ソフトを導入・更新し、バックアップもとっている。つまり、従来のセキュリティ対策だけでは防げない攻撃が増えてきた」と警鐘を鳴らす。

　SaaSの利用増加によるアタックサーフェスの拡大、VPNを狙った攻撃など、これまでの“境界防御”型の対策だけでは不十分となってきた。そこで近年、多くの企業で導入が進んでいるのが「EDR（Endpoint Detection and Response）」のようなソリューションだ。