標的は中小企業に移行か……「1円も投資していない」30％超の企業に訴える、まずは“ゼロ円対策”から

北米では350％増も……世界中で中小企業が狙われている

　中小企業のセキュリティ投資への意識は、コロナ禍で一時的に高まった。情報処理推進機構（IPA）が実施した「中小企業における情報セキュリティ対策に関する実態調査」によると、2016年度は62.6％の企業がセキュリティに投資していなかったが、2021年度には33.1％まで減少。しかし2024年度の調査では55.2％まで再び増加し、コロナ禍前の水準に戻りつつあることが明らかになった。

　従業員数30名～300名程度の中小企業における情シス担当者を支援する、ひとり情シス協会の清水氏は、この状況を「不安な要素になってきている」と危機感を示す。コロナ禍ではリモートワークやバックアップなどIT化が急速に進んだが、平常時に戻ると投資意欲も後退してしまったようだ。

　しかし、セキュリティの脅威は減っていない。IPAによるランサムウェア被害の過去3年間のデータを見ると、被害件数は2022年度の230件から2023年度は197件に一旦減少したものの、2024年度は222件と増加している。

　全体の件数としてはそこまで大きな変化ではないが、問題は内訳だ。2022年度、2023年度は中小企業が全体の約半数だったのが、2024年度には63.1％まで大幅に上昇。大企業は対策が進んでいるが、中小企業はできていない。

　世界的に中小企業への攻撃が増加している。北米では100人未満の中小企業が大企業と比較して350％高い攻撃率に直面。英国では小企業の50％、中企業の70％が過去12ヵ月間に何らかのサイバーセキュリティ侵害や攻撃を経験している。豪州では平均すると10分ごとにサイバー攻撃が発生している状況で、これらの攻撃の43％が中小企業を標的にしているものだとした。

　清水氏は、かつては地域によって攻撃数に差があったが、今は「グローバルで起きていることがリアルタイムで日本でも起きるようになった」と指摘。かつてEmotetが流行したときのように、ランサムウェア被害が急激に増加するリスクもあると警告した。

　世界中で中小企業が狙われる理由は共通している。清水氏によると、人的リソースの不足、限られた予算、老朽化したシステムなど、各国とも同じ課題を抱えているという。高度化する脅威に中小企業の対策が追いついていないのだ。

　経済産業省とIPAは2015年に「サイバーセキュリティ経営ガイドライン」を策定し、経営者がリーダーシップを発揮することの重要性を訴えてきた。しかしIPAの調査では、セキュリティ対策の投資を行わない理由として「必要性を感じていない」が2021年度の40.5％から2024年度は44.3％に増加。実際に清水氏が経営者に聞くと「やりたいけど費用をかけたくない」という本音が見えてきたと話す。