現在、オーストラリアの中小企業にとってインターネットは困難な領域となっています。イノベーションのスピードが速く、限られたリソースで破壊的な新技術を導入しなければならないだけでなく、他の企業と同様にサイバー脅威にも対処しなければなりません。そして、侵害を受けた企業はその後倒産する可能性が高く、中小企業の60%は侵害を受けた後に廃業に追い込まれています。
規制当局も深い懸念を抱いている。
ASIC の最近のレポートによると、「中規模および大規模」の組織は小規模の組織よりも一貫して成熟したサイバー セキュリティ能力を報告しており、サプライ チェーンのリスク管理、データ セキュリティ、結果管理など、最も重要な領域で遅れをとっていることがわかりました。
こうした脅威への対応として、オーストラリア政府は中小企業支援策として2,000万豪ドル(約20億円)のパッケージを発表しました。これには、中小企業経営者が自社のサイバーセキュリティの成熟度をより深く理解できるよう支援する、自主的なサイバー「ヘルスチェック」プログラムの設置が含まれます。さらに、このパッケージのうち1,100万豪ドルは、中小企業がサイバー攻撃から回復できるよう、個別対応サービスを提供する「中小企業サイバーレジリエンス・サービス」に充てられます。
これらの取り組みは、中小企業が最も弱い分野に焦点を当てています。しかしながら、サイバー脅威の増大に直面している中小企業は、これまで以上にレジリエンス(回復力)に重点を置くよう自らに求める必要に迫られています。
ジャンプ先:
- 数字に見るリスク
- 中小企業のコスト
- 中小企業は何ができるでしょうか?
- 必須の8つから始めましょう
- すべての中小企業には危機管理計画が必要です
数字に見るリスク
ASIC のデータによると、脅威を検出して回復する能力など、一部の領域では、中小企業の有効性は中規模企業や大規模企業の半分よりわずかに優れているだけです (図 A )。
図A
全体的に、中小企業のかなりの割合が次の状況にあります。
- いかなるサイバー セキュリティ標準にも従っていない、またはベンチマークもしていない (34%)。
- サードパーティおよびベンダーのリスク評価を実行していない (44%)。
- 多要素認証を使用する能力がまったくないか、または限られている (33%)。
- アプリケーションにパッチを適用しない (41%)。
- 脆弱性スキャンを実行しない (45%)。
- バックアップが実施されていない (30%)。
これらの弱点は、フィッシング、ランサムウェア、ビジネスメール詐欺など、比較的基本的で対処可能なサイバー脅威に対して中小企業が依然として大きなリスクにさらされていることを意味します。
中小企業のコスト
オーストラリア通信信号局は、2022~2023年度サイバー脅威年次報告書を発表しました。報告書によると、サイバー犯罪の平均コストは過去1年間で14%増加しました。中小企業のコストは46,000ドル、中規模企業では97,200ドル、大企業では71,600ドルでした(図B)。
図B
もちろん、これはあらゆる企業にとってコスト負担となりますが、特に中小企業にとっては壊滅的な打撃となるようです。侵害を受けた中小企業の約60%が、その直接的な結果として廃業に追い込まれています。
言い換えれば、サイバーセキュリティはこれらの企業にとって真に存亡をかけた脅威です。侵害による直接的な損害を免れた企業でさえ、顧客やパートナーを失い、短期的なキャッシュフローに影響を及ぼす可能性のある風評被害に対処しなければなりません。最良のシナリオでも、サイバー侵害は中小企業の規模拡大と成長の能力を「阻害するだけ」です。
中小企業の保護におけるリソース不足は重大な課題
中小企業は小規模なITチーム、あるいはおそらくは1人のITプロフェッショナルを抱えており、その役割はジェネラリスト的な性質を帯びています。ITセキュリティの構築はもちろんのこと、サーバーやウェブサイトの管理、クラウド環境やデバイス群の維持管理など、様々な業務を担当することになります。そのため、特定のサイバーセキュリティプロジェクトに多くの時間を割くことは難しいでしょう。
参照:オーストラリアの非営利団体はリソース不足によりサイバーリスクに直面している。
たとえそうであったとしても、投資できる資金は限られているでしょう。オーストラリアの中小企業のほぼ半数(48%)は、サイバーセキュリティに年間500ドル未満しか費やしていません。
中小企業のIT担当者は、多忙で疲弊しており、サイバーセキュリティへのベストプラクティスを確立することが目標です。そのアプローチは、維持が難しくなく、専門的なリソースも必要としません。発表された新たな政府支援は、その実現に役立つでしょう。しかし、中小企業は政府の支援とは別に、すぐにでも着手できる多くの方法があります。
中小企業は「エッセンシャル8」から始めるべき
中小企業がアクセスできる範囲の限界を認識し、ASDとオーストラリアサイバーセキュリティセンターは、セキュリティと中小企業のためのベストプラクティスの推奨事項である「Essential Eight(エッセンシャルエイト)」をまとめました。その内容は以下のとおりです。
- 承認されたアプリケーションのホワイトリストを作成、実装、管理します。
- システム、ソフトウェア、アプリケーションを定期的に更新し、パッチを適用するプロセスを実装します。
- 特に必要な場合を除き、Microsoft Office アプリケーションのマクロを無効にし、迷惑メールの添付ファイルやドキュメントでマクロを有効にしないように従業員をトレーニングします。
- ウェブブラウザが悪意のあるコンテンツをブロックするように安全に設定されていることを確認することで、ユーザーアプリケーションを強化します。必要なブラウザ拡張機能のみを使用し、常に最新の状態に保ってください。
- 管理権限を、それを必要とするユーザーに制限します。
- オペレーティング システムにパッチを適用するための自動更新を設定します。
- 強力で固有のパスワードを使用し、多要素認証を有効にします。
- 重要なデータのバックアップを毎日実行し、バックアップをネットワークから分離します。
これらはすべて、テクノロジのベスト プラクティスの使用を管理するポリシーが整備されていない中小企業の従業員の多くにとっては、十分に簡単なことのように思えるかもしれませんが、組織全体がコンプライアンスに準拠し続けるように、IT 部門による継続的なトレーニングと監視が必要です。
同様に、これらに必要な投資は最小限であり、中小企業が追加のセキュリティ ソフトウェアやソリューションを導入する必要はありません。
すべての中小企業には危機管理計画が必要です
Essential Eight を実装することに加えて、中小企業で働く IT プロフェッショナルは、侵害が発生した場合の対応戦略を自ら考案する必要があります。
参照:インシデント対応計画を成功させるための 6 つのステップを確認してください。
これは、大企業でさえ見落としがちな点です。例えば、通信大手のオプタスが最近、システム障害に見舞われた際、人々が最も懸念したのは、コミュニケーションと対応の不足でした。しかし、結局のところ、これは危機管理計画の欠如が原因でした。
中小企業で働くITプロフェッショナルは、自社の脆弱性という現実を受け止める必要があります。多くの中小企業は人員不足と予算不足に悩まされているため、いずれは情報漏洩が発生する可能性は十分にあります。包括的な危機管理計画を策定することは、情報漏洩によるコストと損害の両方を軽減するために不可欠です。そして、そうすることで、組織がインシデントから回復できる大多数の企業の一つとなることに貢献できるのです。
